こんばんは、小寺です。
AWS Verified AccessがKMSのカスタマーマネージドキーをサポートしました。
https://aws.amazon.com/about-aws/whats-new/2023/10/aws-verified-access-managed-kms-keys/
AWS Verified Accessについて簡単なまとめ
VPC 内のプライベートなアプリケーションに信頼されたIdpを使って、構成されたポリシーをクリアしている場合など一定条件を満たしているとパブリックなエンドポイントへアクセスができるサービスです。
・検証済みアクセス インスタンス
インスタンスはアプリケーションのリクエストを評価し、セキュリティ要件が満たされた場合にのみアクセスを許可します。
・Verified Access エンドポイント
各エンドポイントはアプリケーションを表します。ロード バランサー エンドポイントまたはネットワーク インターフェイス エンドポイントを作成できます。
・認証済みアクセス グループ
認証済みアクセス エンドポイントのコレクション。ポリシー管理を簡素化するために、同様のセキュリティ要件を持つアプリケーションのエンドポイントをグループ化することをお勧めします。たとえば、すべての販売アプリケーションのエンドポイントをグループ化できます。
・アクセス ポリシー
アプリケーションへのアクセスを許可するか拒否するかを決定するユーザー定義のルールのセット。
ユーザー ID やデバイスのセキュリティ状態などの要素の組み合わせを指定できます。認証済みアクセス グループごとにグループ アクセス ポリシーを作成し、グループ内のすべてのエンドポイントに継承されます。
オプションで、アプリケーション固有のポリシーを作成し、特定のエンドポイントにアタッチできます。
・信頼プロバイダー
Verified Access は、AWS とサードパーティの信頼プロバイダーの両方で動作します。各 Verified Access インスタンスに少なくとも 1つの信頼されたIdpをアタッチする必要があります。
単一の ID トラスト プロバイダーと複数のデバイス トラスト プロバイダーを各 Verified Accessインスタンスにアタッチできます。
・信頼データ
信頼プロバイダーが Verified Access に送信するユーザーまたはデバイスのセキュリティ関連データ。ユーザー クレームまたはトラスト コンテキストと呼ばれます。
たとえば、ユーザーの電子メール アドレスやデバイスのオペレーティング システムのバージョンなどです。
Verified Access は、アプリケーションへのアクセスリクエストがあれば、アクセス ポリシーと照合してデータを評価します。
KMSのキーとは
KMSキーについて、簡単に確認してみます。
AWS KMS keys (KMS キー) は、AWS KMS のプライマリリソースです。KMS キーを使用して、データの暗号化、復号、再暗号化を行うことができます。
AWSが作成するのが、AWSマネージドキー、利用者が作成するのがカスタマーマネージドキーです。
以下のような違いがあります。
KMS キーのタイプ | KMS キーメタデータ | KMS キー | AWS アカウント のみに使用 | 自動ローテーション | 料金表 |
---|---|---|---|---|---|
カスタマーマネージドキー | 管理〇 | 管理〇 | 〇 | オプション | 月額料金 (時間単位の日割り計算) |
AWS マネージドキー | 管理〇 | 管理× | 〇 | 必須。 | 月額料金なし従量課金料金 |
カスタマーマネージドキーでできることとしては、以下が挙げられます。
・キーポリシー、IAM ポリシー、グラントの確立と管理
・有効化と無効化
・暗号化マテリアルのローテーション
・タグの追加
・KMS キーを参照するエイリアスの作成
・KMS キー削除のスケジューリング
アップデート内容
Verified Access は、保存データを暗号化するため、顧客管理の KMS キー (CMK) をサポートするようになりました。
組織のコンプライアンスおよび規制要件を簡単に満たせるようになります。
AWS Verified Accessでは従来から保管時に AWSマネージドのKMS キーを使用して、信頼プロバイダー情報、グループ ポリシー、エンドポイント ポリシーを含めた全ての暗号化に対応していました。
本アップデートでカスタマーKMSキーもサポートするようになりました。
確認してみる
(1) マネージメントコンソールから「Verified Access インスタンスを作成」画面で「暗号化設定をカスタマイズする(高度)」画面が表示されるようになりました。
(2) 「暗号化設定をカスタマイズする(高度)」にチェックを入れて「AWS KMSキーを作成」をクリックすると、「カスタマー管理型キー」の作成画面に移動できます。