イントロ
データ暗号化と鍵管理
データの状態ごとに守り方を選ぶ
暗号化は、保存されているデータと通信中のデータで考える場所が変わります。SAAでは、KMSを含めた鍵管理の役割も合わせて読みます。
1 / 10 ブロック10%
イントロ
上下にスクロールするかキーボードの上下キーを使うと、次の学習カードへ進めます。
定義
データ暗号化
- 教科書では
- データを読めない形に変換し、必要な権限と鍵を持つ場合だけ元に戻せるようにする保護方法。
- 言いかえると
- 保存時暗号化はS3やEBSに置いたデータを守り、転送時暗号化は通信中のデータを守ります。AWS KMSは鍵管理の中心です。
比較
| 見る点 | 対象 | 例 |
|---|---|---|
| 保存時 | 置かれたデータ | S3、EBS、RDS |
| 転送時 | 通信中のデータ | HTTPS、TLS |
| 鍵管理 | 暗号鍵 | AWS KMS |
見る点保存時
- 対象
- 置かれたデータ
- 例
- S3、EBS、RDS
見る点転送時
- 対象
- 通信中のデータ
- 例
- HTTPS、TLS
見る点鍵管理
- 対象
- 暗号鍵
- 例
- AWS KMS
暗号化は、データがどこにあるかで読み分けます。
要点
判断の合図
問題文では、守りたいデータが保存中か通信中か、鍵を誰が管理するかを見る。
- 1
保存中と通信中を分ける
- 2
KMSは鍵を管理する
- 3
暗号化と権限は両方必要
例
- 場面
- 顧客が提出したPDFをS3に保存する。
- 順に考えると
- 保存時暗号化でS3上のデータを守り、アップロード通信はHTTPSで守ります。鍵管理の要件があればKMSキーを確認します。
- ここが結論
- 保存中、通信中、鍵管理の3点を分けると選択肢を整理できます。
注意
暗号化だけでは公開設定を直せない
確認
確認テスト
Q1
S3に保存されたファイル自体を守る考え方に最も近いものはどれですか。
まとめ
まとめ
- 1
保存時暗号化は置いたデータを守る
- 2
転送時暗号化は通信中を守る
- 3
KMSは鍵管理の中心
- 4
権限設計も別に必要