CloudHSM vs KMS — ハードウェアセキュリティモジュールの選択基準
AWS CloudHSMとKMSの根本的な違い、FIPS 140-2 Level 3準拠、シングルテナントHSM、KMSカスタムキーストアとしてのCloudHSM利用、コストと運用負荷の比較を解説。
← タグ一覧
#暗号化 (7 件)
保存時・転送時暗号化 — AWSサービス別の暗号化設計パターン
保存時暗号化(Encryption at Rest)と転送時暗号化(Encryption in Transit)の違い、S3/EBS/RDS/DynamoDBの暗号化設定、TLS強制方法、KMSとの統合、エンドツーエンド暗号化設計を解説。
KMSエンベロープ暗号化 — データキー・GenerateDataKey・パフォーマンスの仕組み
AWSサービスが内部で使うエンベロープ暗号化の仕組み、GenerateDataKeyとGenerateDataKeyWithoutPlaintext、データキーキャッシュによるKMSコスト削減、SDKでの実装方法を解説。
KMSキーの種類と管理モデル — AWS管理・カスタマー管理・CloudHSM
AWS KMSの3種類のキー(AWS管理キー、カスタマー管理キー、カスタムキーストア)の違い、ローテーション設定、対称/非対称キー、MACキー、削除待機期間を解説。
RDS暗号化 — 有効化のタイミング・スナップショット・クロスリージョンコピーの制約
RDSの暗号化(保存時)の設定方法、作成後の暗号化有効化の手順、暗号化スナップショットのクロスリージョンコピー、KMSキーの変更方法、転送時暗号化の設定を解説。
S3暗号化の全種類比較 — SSE-S3/SSE-KMS/SSE-C/クライアントサイド
S3の4種類の暗号化方式(SSE-S3, SSE-KMS, DSSE-KMS, SSE-C, クライアントサイド)を比較。鍵管理の違い、KMS API呼び出しコスト、バケットキー設定、試験頻出ポイントを解説。
Qubes OS のディスク暗号化とパスフレーズ管理
Qubes OSが使うLUKS2フルディスク暗号化の仕組み、安全なパスフレーズの選び方、LUKS鍵スロットの管理、ヘッダーバックアップまで解説します。