タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
こんにちは!ファンと共に時代を進める、Web3スタートアップのGaudiyでエンジニアをしている椿(@mikr29028944)です。 先日、Gaudiyではサーバーサイドウォレットの構築やEthereumにおけるECDSA署名の実装を行いました。 そこで今回は、少しニッチではありますが「ECDSA署名」をテーマに、Gaudiyの事業背景から、ECDSAの数学的な処理とコードまでを、実例をふまえてお伝えしてみたいと思います。 はじめに断っておくと、僕は大学時代にzk-SNARKsの理論を研究していたため、代数学を学んだことはありますが、この領域における専門家ではありません。なので理解が誤っている部分があれば、ぜひご指摘いただけると嬉しいです。 Web3スタートアップで働くことに興味がある方や、ブロックチェーンを業務で扱うエンジニアの方にご参考になればと思い、詳しく書いていたら1万5千字を超
歴史・年表でみるAWSサービス(AWS Key Management Service編) -機能一覧・概要・アップデートのまとめ・AWS KMS入門- - NRIネットコムBlog
小西秀和です。 「歴史・年表でみるAWS全サービス一覧 -アナウンス日、General Availability(GA)、AWSサービス概要のまとめ-」から始まったAWSサービスを歴史・年表から機能を洗い出してまとめるシリーズの第6弾です(過去、Amazon S3、AWS Systems Manager、Amazon Route 53、Amazon EventBridgeについて書きました)。 今回はAWS全体で高度な暗号化機能を提供するAWS Key Management Service(AWS KMS)について歴史年表を作成してみました。 今回もAWS KMSの誕生から機能追加やアップデートを追いながら主要機能を現在のAWS KMSの機能一覧と概要としてまとめています。 これらが、各AWSサービスの機能概要に加えてコンセプトや変わらないもの、変わってきたものを知る手がかりとなればと考え
Amazon Aurora の KMS キーをシュッと差し替える - カミナシ エンジニアブログ
こんにちは。ソフトウェアエンジニアの坂井 (@manabusakai) です。 カミナシでは RDB に Amazon Aurora MySQL を使っています(以下 Aurora と略します)。また、データ保護の追加レイヤーとして KMS を使って DB クラスターを暗号化しています。 docs.aws.amazon.com ここまでは良いのですが、KMS キーに AWS マネージドキーが設定されていました。普段から AWS を使っている方であれば「あちゃ〜」と思われるでしょう。 なぜ Aurora の KMS キーに AWS マネージドキーを使うのが「あちゃ〜」なのか KMS キーには、AWS マネージドキーとカスタマーマネージドキーの 2 種類があります。 AWS マネージドキーはユーザーに代わって作成されるキーで、RDS の場合は aws/rds というエイリアス名が付いています。
Amazon Web Services ブログ AWS KMS の新機能 公開鍵暗号によるデジタル署名 AWS Key Management Service で公開鍵暗号をサポートするようになりました。AWS SDK の新しい API を使ってアプリケーションデータを保護するために公開鍵、秘密鍵のキーペアを作成、管理、利用することが可能になりました。既に提供されている共通鍵暗号機能と同様に、公開鍵暗号の秘密鍵は KMS サービスの外側には出ないカスタマーマスターキー(CMK)として生成出来ます。また、データキーとしても生成可能で、データキーの秘密鍵の部分はアプリケーションに CMK で暗号化して渡すことが可能です。公開鍵 CMK の秘密鍵の部分は、AWS KMS のハードウェアセキュリティモジュールに格納されるため、AWS 従業員を含む誰も平文のキーマテリアルにアクセスすることは出来ません
こんにちは、ソフトエンジニアの宮川です。記念すべき Cloud Security Magazineの1本目は AWS の暗号化を司る AWS KMS の解説記事です。一般的に暗号化することで、万が一、システムに侵入されたときや、それに伴ってデータが漏えいしたときに機密情報の取得を困難にできます。KMS (Key Management Service)KMS とはKMS とは、AWS が提供するキー...
ZennではAPIサーバーを動かすためにGCPを使っています。具体的にはCI/CDサービスのCloudBuildからAppEngineデプロイするようにしています。 その中で少しややこしいのが機密データを含むファイルの管理です。 GCPのプロジェクトの場合にはCloud Key Management System(KMS)というものを合わせて使うとCloudBuildのステップの中で暗号化したファイルを復元できます。 例えば、秘匿情報を含む.envというファイルがあるとして、GitHub等にはプッシュしたくないが、AppEngineで動かすアプリの中で読み込みたいというケースを考えてみます。 GCPではCloudBuild + KMSを使うことで実現が可能です。 大まかな流れ .gitignoreに.envを指定 ローカルでKMSにより.envを暗号化(.env.encファイルが作成される
KubernetesのSecretをKMSと連携して管理する - SMARTCAMP Engineer Blog
スマートキャンプの入山です。 Kubernetes(k8s)を運用されている方々は、Podに受け渡す機密情報をどうやって管理していますか? k8sでの機密情報の管理といえばSecretリソースが一般的ですが、Secretリソースを管理する上では以下のような課題に悩む方が多いのではないでしょうか? SecretはBase64エンコードのみなので、内容が確認できれば簡単にデコードできてしまう SecretリソースのマニフェストにBase64エンコードのみの機密情報を含むため、GitHubなどにそのままコミットするのは危険 これらの対策として、kubesecやSealed Secretsなどを利用して暗号化を行う方法が主流だと思いますが、今回は外部のKMSなどに保存した機密情報をk8sに直接受け渡すことが可能なKubernetes External Secretsについて、EKSとAWS Sec
Amazon Web Services ブログ ポスト量子暗号 TLS が AWS KMS でサポートされました AWS Key Management Service (AWS KMS) が KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) ネットワーク暗号化プロトコルにおけるポスト量子暗号ハイブリッド鍵交換をサポートしました。この投稿では、ポスト量子暗号 TLS とは何か、 ハイブリッド鍵交換とは何か、 なぜこれらの技術が重要か 、この機能でどのようなメリットを得られるのか、そしてフィードバックの方法について説明します。 ポスト量子暗号 TLS とは? ポスト量子暗号 TLS は、ポスト量子暗号の暗号プロトコルを追加する機能です。 AWS はオープンソースの TLS 実装である s2n を使用しています。2019年6月に
SSE-KMSで暗号化したS3に対して、ファイルアップロードする際に必要な権限について整理する - NRIネットコムBlog
本記事は AWSアワード記念!夏のアドベントカレンダー 12日目の記事です。 🎆🏆 11日目 ▶▶ 本記事 ▶▶ 13日目 🏆🎆 はじめに こんにちは、西本です。AWSアワード記念!夏のアドベントカレンダー 12日目を担当させていただきます。 2024 Japan AWS All Certifications Engineersに選出 昨年に引き続き、「2024 Japan AWS All Certifications Engineers」に選出いただきました。受賞者数も激増、試験も新しいものが増えてきていますが、引き続き頑張っていきたいと思います。 今回のテーマ AWS Key Management Service(以降、KMS)は使われていますでしょうか?多くのシステムで利用しているサービスかと思います。 例えば、「Amazon S3の暗号化に使用している」、「AWS Syst
[アップデート] AWS KMS でタグもしくはエイリアスを利用した ABAC(Attribute-Based Access Control) がサポートされました! | DevelopersIO
コンバンハ、千葉(幸)です。 AWS KMS が、タグもしくはエイリアスを使用した ABAC (Attribute-Based Access Control)に対応しました! Attribute-Based Access Control (ABAC) for the AWS Key Management Service より細やかに権限制御できるようになりましたね。 ABAC(Attribute-Based Access Control)とは ABAC とは、属性に基づいてアクセス許可を定義する認証戦略です。属性は、多くの AWS リソースにおいてはタグが該当します。 以下のイメージをご覧ください。 (AWS の ABAC とは - AWS Identity and Access Managementより) 左側の IAM ロール、および右側の AWS リソース( S3 オブジェクト、 E
![[アップデート] AWS KMS でタグもしくはエイリアスを利用した ABAC(Attribute-Based Access Control) がサポートされました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a9193e920ea5a220e087d1e9a249ec25fe125a31/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-kms.png)
KMS 暗号化が有効な SSM セッションマネージャー接続を MFA + スイッチロール + AWS CLI で実行してエラーが発生した時の回避方法 | DevelopersIO
KMS 暗号化が有効な SSM セッションマネージャー接続を MFA + スイッチロール + AWS CLI で実行してエラーが発生した時の回避方法 AWS CLI での AssumeRole を「プロファイル指定で行うか」「手動で行うか」で、MFA コードの受け渡し可否に差がある場合がある……?というケースです コンバンハ、千葉(幸)です。 今回の事象が発生した構成は以下の通りです。 AWSアカウント スイッチ元:000000000000 スイッチ先:999999999999 スイッチ先アカウントの EC2 インスタンスに対して AWS CLI でセッションマネージャー接続を行う セッションマネージャー接続は KMS による暗号化が有効になっている スイッチ時には MFA による認証コードの入力を行う AWS CLI によるスイッチロールはプロファイルを指定して実行する 実行を試みると以
SSE-KMSのリクエストコストが最大99%削減可能 S3バケットキーについて調べてみた #reinvent | DevelopersIO
こんにちは、岩城です。 今年もre:Invent開幕しましたね!弊社は深夜にも関わらず多くの社員がワイワイガヤガヤしていたようですが、私は夜中に起きていられない人なのでいつもどおりの生活リズムで過ごす予定です。そういう意味でも現地で参加できたら良かった さて、What's Newを見ていると気になるアップデートがありましたので紹介したいと思います。 Amazon S3 Bucket Keys reduce the costs of Server-Side Encryption with AWS Key Management Service (SSE-KMS) なにやら「S3バケットキー」という見慣れない単語がありますね。 S3バケットキーを使用すればSSE-KMSのリクエストコストが最大99%も削減できるみたいです。 まずは、SSE-KMSの導入とS3バケットキーがないことによるKMSへの
AWS KMS のAWSマネージドキーとカスタマーマネージドキーの違いをまとめてみた | DevelopersIO
AWSマネージドキーは、AWSが作成、管理、使用するKMSキーです。 一方、カスタマーマネージドキーは、ユーザーが作成、所有、および管理できます。 カスタマーマネージドキーでできる管理内容 *1、まとめの表の「管理」項目では、カスタマーマネージドキーは、ユーザー管理と記載しておりますが、管理とは具体的に以下のことができます。 キーポリシー IAM ポリシー グラント 有効化と無効化 暗号化マテリアルのローテーション タグの追加 エイリアス キー削除のスケジューリング それぞれの機能について説明します。 キーポリシー キーポリシーは、AWS KMSキーのリソースポリシーであり、KMSキーへのアクセスを制御する役割を果たします。 IAMポリシーやグラントを使用しても、キーポリシーで明示的に許可されている必要があります。 キーポリシーで許可されていない場合は、IAMポリシーを使用してもKMSキー
[レポート] データ保護、アクセス制御、監査に AWS KMS を使用する #SEC340 #reinvent | DevelopersIO
こんにちは、岩城です。 セッション「Using AWS KMS for data protection, access control, and audit 」 を聴講しましたのでレポートします。 概要 This session focuses on how customers are using AWS Key Management Service (AWS KMS) to raise the bar for security and compliance with their workloads. Along with a detailed explanation of how AWS KMS fits into the AWS suite of services, we walk you through popular and sophisticated examples of ho
![[レポート] データ保護、アクセス制御、監査に AWS KMS を使用する #SEC340 #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9419c6cf4ac1d0e1323fa1560dfc995d191622f5/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_report_eyecatch.jpg)
AWS Key Management Service(KMS)は2019年末に非対称鍵にサポートするようになりました。 非対称鍵は データの暗号・復号 デジタル署名の署名・検証 などに利用できます。 今回は、KMSの非対称鍵を利用してデータを暗号・復号(公開鍵暗号)する方法を紹介します。 後者のデジタル署名については、以下のブログを参照ください。 [アップデート] KMS で非対称キーペア(公開鍵暗号方式)が利用できるようになったのでデジタル署名を試してみました! | Developers.IO AWS KMS の新機能 公開鍵暗号によるデジタル署名 | Amazon Web Services ブログ 対称鍵と非対称鍵の暗号化の使い分け AWS KMSでは従来から対称鍵を利用した暗号・復号にも対応していました。 違いを確認します。 対称鍵暗号は以下の流れで暗号・復号します。 [暗号データの
Amazon Web Services ブログ AWS KMS 外部キーストア (XKS) の発表 AWS Key Management Service (AWS KMS) の外部キーストアが利用可能になったことを発表できることを嬉しく思います。暗号化キーをオンプレミスまたは AWS クラウドの外部に保存して使用する必要がある規制上の必要性があるお客様は、そのようにできるようになりました。この新機能により、AWS KMS カスタマー管理キーを、オンプレミスまたは任意の場所で運用するハードウェアセキュリティモジュール (HSM) に保存できます。 大まかに言うと、AWS KMS は HSM と安全に通信するために API コールを転送します。キーマテリアルが HSM から離れることはありません。このソリューションでは、Amazon EBS、AWS Lambda、Amazon S3、Amazo
SSE-S3とSSE-KMSの違いを知る
January 10, 2019 KMSは大変便利で私の好きなAWSマネージドサービスのひとつなのですが、初見ではSSE-S3とSSE-KMSの違いはかなりわかりにくいかなと思います。そこで今回はS3のサーバーサイド暗号化においてよく使われるSSE-S3とSSE-KMSの違いについてまとめました。 結論言ってしまうとSSE-S3の場合は鍵を利用したかどうかの監査証跡が取れないことがネックになります。一方でSSE-S3は追加料金が発生せず、APIコールの制限を考慮する必要もないのがメリットです。 SSE-KMSの特徴 キーポリシーでCMK(カスタマーマスターキー)への個別のアクセス制御ができる KMSに対するAPIコールに当たるため、監査証跡(CloudTrail)を残すことが可能 暗号化キーの作成および管理ができる 当該AWSアカウントのリージョンごとに一意に作成されるデフォルトサービスキ
[アップデート] Control Tower で管理下アカウントに対して一括で KMS 暗号化設定ができる様になりました | DevelopersIO
Control Tower 管理下のアカウントに対して一括で KMS 暗号化を行う事ができる様になりました。一括設定系の機能は最高ですね こんにちは、大前です。 Control Tower に以下のアップデートがありましたので、お知らせします。 AWS Control Tower now provides support for KMS Encryption どんなアップデートか Control Tower によってセットアップされるサービス(現時点での対象は Config と Cloudtrail)や関連する S3 上のデータに対する KMS 暗号化の設定を Control Tower 経由で行う事ができるようになりました。 Control Tower 経由で設定を行うことにより、複数アカウントに対して一括で設定を入れられるので、これだけでも嬉しいケースはありそうです。 一方で、AWS
![[アップデート] Control Tower で管理下アカウントに対して一括で KMS 暗号化設定ができる様になりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/1486b2da4d87633e58aebde2114c02dc06f61935/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-control-tower.png)
本記事はNRIネットコム Advent Calendar 2021 14日目の記事です。 🧦 13日目 ▶▶ 本記事 ▶▶ 15日目 🎁 初めまして、NRIネットコム新入社員の西本です。 今回、アドベントカレンダー14日目の記事を書かせていただきました。AWS APN Ambassadorでもある上野さんの後というのは荷が重いですね(笑)私は、今年4月に新卒入社し、研修を経て7月からクラウドに関するお仕事をさせていただいています。入社当時はクラウドとは?AWSって何?っていうところからのスタートでした。入社してまだ間もないですが、業務で扱った一部を紹介したいと思います。 今回のテーマについて 本題ですが、上述したようにAWSのお話です。テーマは、「AWS Key Management ServiceのキーポリシーによるAmazon S3 オブジェクトのアクセス制限」についてです(以降、
Systems Managerの機能であるFleet Managerを使うと、EC2上のファイルシステムの情報をみたり、パフォーマンスの状態を確認できます。一部の機能はEC2とユーザー間をKMSによる暗号化をしないと使えません。暗号化を行い、ファイルのプレビューとパフォーマンスカウンターを使ってみました。 EC2を作成し、ファイルシステムをプレビューする パブリックサブネットにAmazon Linux 2を起動し、IAMロールを付与します。IAMロールにはAmazonSSMManagedInstanceCoreポリシーを付与します。このポリシーは、AWS Systems Managerサービスコア機能を使うために必要です。 Systems Managerコンソールのフリートマネージャーを選ぶと、作成したEC2が表示されます。 ファイルシステムを選ぶと、EC2のファイルシステムを確認できます
【Security Hub修復手順】[KMS.3] AWS KMS キーを意図せずに削除してはいけません | DevelopersIO
こんにちは、AWS事業本部の平井です。 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [KMS.3] AWS KMS キーを意図せずに削除してはいけません [KMS.3] AWS KMS keys should not be unintentionally deleted 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 コントロールの説明 このコントロールは、KMSキーのうちカスタマーマネージドキーの削除がスケジュール済みかどう
![【Security Hub修復手順】[KMS.3] AWS KMS キーを意図せずに削除してはいけません | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ba983f76286d716c33249c5cd7c5d87259ff98a9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-security-hub.png)
AWS KMS CMK(Customer Master Key)のキーポリシーとIAMポリシーの組み合わせのアクセス制御と、キーポリシーのみのアクセス制御を試して設定の違いをみてみた | DevelopersIO
AWS KMSのCMK(Customer Master Key)のアクセス制御方法について考えていました。キーポリシーとIAMポリシーを組み合わせたアクセス制御と、キーポリシーのみのアクセス制御を確認したかったので試しました。 本記事から得られるものはCMKのキーポリシーについて何かの参考になることがあるかもしれないくらいです。 Managing access to your AWS KMS resources - AWS Key Management Service キーポリシーとは アクセス元に設定するIAMポリシーとは別にKMSにはキーポリシーというアクセス制御の仕組みがあります。 以下はデフォルトのキーポリシーの例です。 { "Version": "2012-10-17", "Id": "key-default-1", "Statement": [ { "Sid": "Enable
AWS KMS再入門 - Qiita
概要 AWS認定セキュリティ - 専門知識の勉強の中でKMSは覚えることが多かったので、理解を深めるとともに後から見て思い出せるよう自分なりにまとめる。 ↓参考にした資料 AWS KMS(Key Management Service)とは データ暗号化に利用する暗号化キー(暗号鍵)の作成・管理を行うためのAWSのマネージドサービス AZをまたいだ冗長化により高可用性を担保 CMK(マスターキー)の耐久性は99.999999999%(イレブンナイン) 共通鍵(対称鍵)暗号にのみ対応 → Black Beltの資料は2018/11時点のもののため、非対称鍵には非対応と言っているが2019/11に非対称鍵にも対応している KMSの仕組み エンベロープ暗号化 データを暗号化する鍵(データキー)とデータキーを暗号化する鍵(マスターキー)を利用する方式 データの暗号化用キーを更に暗号化するので、よりセ
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた | DevelopersIO
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた SSE-KMS暗号化したS3バケットに対してファイルのアップロード、ダウンロードに必要なIAMポリシーを考えていました。S3バケットへの操作権限と、KMSのキーポリシーがデフォルトの場合はSSE-KMS暗号化したS3バケットの場合はKMSへの操作権限も必要です。KMSに必要なIAMポリシーについて失敗した例を元にKMSのIAMポリシーに着目した覚書です。 書き残したかったこと ファイルのアップロードは暗号化するためにkms:Decryptと、kms:GenerateDataKeyの2つ許可が必要です。 ファイルのダウンロードは復号するためにkms:Decryptの許可が必要です。 IAMポリシーサンプル { "Version": "2012-10-
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 ローテーション AWS KMS keys カスタマーマネージドキーの新しい暗号化マテリアルを作成するには、新しい KMS キーを作成し、アプリケーションまたはエイリアスを変更して新しい KMS キーを使用します。または、自動キーローテーションを有効にするか、オンデマンドローテーションを実行することで、既存の KMS キーに関連付けられたキーマテリアルをローテーションできます。 デフォルトでは、KMS キーの自動キーローテーションを有効にすると、 は KMS キーの新しい暗号化マテリアルを毎年 AWS KMS 生成します。カスタムを指定rotation-periodして、キーマテリアルを AWS KMS ローテーションする自動キーローテーションを有効にしてからの日数と
初めに本記事は自分が業務で経験した内容を忘れない為に備忘録的に記載しています。色々アドバイスをいただけるとありがたいです。 アジェンダ ・SSMとは ・KMSとは ・terraformでの記述方法 ・ECS タスク定義に変数として埋め込むSSMとはインスタンス管理を行う機能群であり、多様な機能があります。セッションマネージャ等々...ほんとに他種多様な機能があります。 ここでssm parameter storeに焦点を合わせて説明します。 parameter store AWS Systems Manager パラメータストア (パラメータストア) は、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、Amazon Machine Image (AMI) ID、ライセンスコードなどのデータをパラメータ値として保存することができます。par
【初心者】AWS Key Management Service (AWS KMS) を使ってみる - Qiita
1. 目的 AWSのセキュリティ関連サービスの復習をしている。AWS KMSについて、暗号鍵の登録や、ファイルの暗号化・復号といった基本的な処理を行い、動作イメージを把握する。 2. AWS KMSとは(自分の理解) データを暗号化するための鍵の管理を行ってくれるサービス。暗号鍵をAWSの責任範囲において保管したり、更新したりしてくれる。 3. やったこと CMK(カスタマーマスターキー) を作成する。 CMKに紐づくデータキーを作成する。 データキーで自分のファイルを暗号化する。 (暗号化されたデータキー及び暗号化されたファイルを残し、元のファイルを削除する。) 暗号化されたデータキーを復号し、復号したデータキーを用いて暗号化されたファイルも復号する。 4. 予習 先人のまとめを読んで勉強する。 「10分でわかる!Key Management Serviceの仕組み」 2014年の古い記
【AWS Tips】SSE-KMSとキーローテーションの目的・仕組み - 顧客フロントSEのIT勉強ブログ
Amazon S3の暗号化方式の1つにSSE-KMSがあります。 これはKMSというキー管理サービスを使った暗号化方式なのですが、 AWS認定セキュリティ-専門知識(SCS)の資格勉強をしているときに「キーローテーションってどういう仕組み?何のためにやるの?」という疑問がわいてきたので、少し手を動かしながら調べてみたことをまとめます。 KMSってなに? SSE-KMSってなに? キーローテーションってなに? キーローテーションとは キーローテーションの目的 キーローテーションの仕組み 実際に実機で確認してみる バケットの作成 ファイルの暗号化(マネジメントコンソールから) ファイルの暗号化(CLIから) ファイルの復号 キーローテーションしてみる S3のデフォルト暗号化のキーを変更する まとめ KMSってなに? AWS KMS(Key Management Service)は、暗号化鍵の作
[アップデート] AWS KMS 向けの Interface VPC endpoints がエンドポイントポリシーに対応しました!(おそらく)通算33個目! | DevelopersIO
コンバンハ、千葉(幸)です。 KMS 向けの VPC エンドポイント(インタフェース)がエンドポイントポリシーの設定に対応しました! AWS Key Management Service (AWS KMS) now supports VPC Endpoint Policies より細かいアクセス制御を行うことができるようになりましたね!(でもその分、全体の設計はややこしくなるぞ!) 目次 VPC エンドポイントとは ゲートウェイ型の場合 インタフェース型の場合 VPC エンドポイントポリシー とは ドキュメントを確認してみる パターン1. 特定のユーザーが特定のキーに対して特定のアクションを可能 パターン2. 外部アカウントのプリンシパルによるアクションを拒否 やってみた カスタマー管理 CMK の準備 VPC エンドポイントポリシーを設定しないで試してみる VPC エンドポイントポリシー
SCS受験前に押さえたい!AWS KMS初心者向けハンズオン | NHN テコラス Tech Blog | AWS、機械学習、IoTなどの技術ブログ
はじめに AWS KMS(Key Management Service)は暗号化/復号に利用する「鍵」を管理するサービスです。AWSの多くのサービスは暗号化機能を有していますが、暗号化に必要な「鍵」は、このKMS上で管理されています。 「管理」とは「鍵を安全に保管し、必要なときに、必要な相手に提供する」ことです。データは暗号化を行うことで保護されますが、暗号化に必要な「鍵」は自分で保護しなければなりません。ファイルとして自分のPCに保存しても良いですが、他のユーザやアプリケーションに鍵を利用させたい場合はどうでしょうか。ファイルとして鍵を渡してしまうと、相手は制限なく利用したり、複製する事が可能となってしまいます。 KMSでは、IAMポリシーによるアクセス許可や、Cloud Trailによる利用履歴のトレースなど、AWSの仕組みを利用した鍵の管理が実現出来ます。また、AWSのサービスだけで
【Security Hub修復手順】[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります | DevelopersIO
こんにちは、AWS事業本部の平井です。 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります [EFS.1] Elastic File System should be configured to encrypt file data at-rest using AWS KMS 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログ
ラウンド 2 の ポスト量子暗号 TLS が KMS でサポートされました | Amazon Web Services
Amazon Web Services ブログ ラウンド 2 の ポスト量子暗号 TLS が KMS でサポートされました AWS Key Management Service (AWS KMS) が AWS KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) 1.2 暗号化プロトコルにおいて新しいハイブリッド型のポスト量子暗号(耐量子暗号)鍵交換アルゴリズムをサポートするようになりました。これらの新しいハイブリッドポスト量子アルゴリズムは、古典的な鍵交換による実証済みのセキュリティと、標準化作業で評価中の新しいポスト量子鍵交換の潜在的な耐量子安全特性を組み合わせたものです。これらのアルゴリズムの中で最も高速なものは、古典的な TLS ハンドシェイクと比較して約 0.3 ミリ秒のオーバーヘッドがあります。追加された新しいポスト
今回、AWS Key Management Service (KMS) キーを使い、Amazon Elastic Kubernetes Service (EKS) に保存された Kubernetes Secrets に対するエンベロープ暗号化が行えるようになりました。エンベロープ暗号化の導入は、機密情報を保持するアプリケーションに対するセキュリティのベストプラクティスというべきものです。またこれは、多層防御セキュリティ戦略の一部分を成しています。 Kubernetes Secrets により、パスワード、Docker Registry の認証情報、Kubernetes API を使う TLS キーなどの機密情報を、保存および管理できるようになります。Kubernetes では、すべての機密オブジェクトのデータを etcd に保存します。さらに、Amazon EKS が使用するすべての et
はじめに 私が Terraform で AWS リソースの開発を進めるなかで DB の認証情報等の機密情報をどうやって取り扱うかという問題にぶつかりました。 tf ファイルに平文で記述してしまうと Git で tf ファイルを管理することができません。 あらかじめ Terraform 外で Secrets Manager や Parameter Store を作成しておいて、Data Source として扱う方法もありますが、そうすると SecretsManager や ParameterStore は Terraform での管理対象外になってしまいます。 なんとかして機密情報を直接 Terraform で扱う方法がないかと調べた結果、sops + AWS KMS がとても便利だったので紹介します。 前提 sops において AWS KMS で作成したキーを使用するにあたり、AWS Cr
S3データ格納時のサーバ側暗号化(SSE-S3、SSE-KMS、SSE-C)と、クライアント側暗号化(CSE-KMS、CSE-C) - Qiita
S3データ格納時のサーバ側暗号化(SSE-S3、SSE-KMS、SSE-C)と、クライアント側暗号化(CSE-KMS、CSE-C)AWSS3kms S3バケットへのデータ格納時にサーバーサイド暗号化のキーを指定できますが、SSE-S3だのSSE-KMSだの紛らわしい用語が出てきて混乱したので、整理してみた記事です。 1. 用語解説 SSE Server Side Encryptionの略です。暗号化・復号をサーバー側で行う暗号化方式です。 CSE Client Side Encryptionの略です。暗号化・復号をクライアント側で行う暗号化方式です。暗号化・復号のキーには、クライアント側で管理するキーだけでなく、KMSのカスタマー管理キーを使用することもできます。 CMK Customer Master Keyの略です。CDKを暗号化するキーです。CMKは、KMS上では暗号化された状態で管
Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch | Amazon Web Services
AWS Security Blog Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch AWS Key Management Service (KMS) publishes API usage metrics to Amazon CloudWatch and Service Quotas allowing you to both monitor and manage your AWS KMS API request rate quotas. This functionality helps you understand trends in your usage of AWS KMS and can help prevent API request throttling as you
はじめに SCSKの根岸です。 Amazon Simple Storage service (Amazon S3) はアマゾンウェブサービス (AWS) 内のサービスの中でも比較的よく利用されるサービスかと思います。オブジェクトを保管するという点で暗号化は気になるところになりますが、S3バケットに保管するオブジェクトの暗号化方法にはいくつか種類があり、違いが分かりにくいところもあるので今回まとめてみました。 そもそもSSEってなに? SSEは「Server Side Encryption」の略です。意味は言葉のとおり”サーバ側の暗号化”ということになります。Amazon S3の暗号化の話題でSSEという言葉が出てきたら「あー、S3バケットの方でオブジェクトを暗号化してくれるんだなあ」と考えればいいと思います。 SSEと対になる言葉としてしてはCSE(Client Side Encrypti
はじめに ご無沙汰です。 AWSでサポートに問合せた結果、AWS側で修正対応することになりましたのでメモ残しておきます。 事象について CloudWatchLogsのKMS暗号化方法については公式ドキュメントにあります。 https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html 公式ドキュメント通りステップ4まで実施して、結びつけたCMKを無効化すればログは見れないと思ってました。(復号化できないため) だけどログ見えてるやん~~~てなってました。 AWSサポートに問合せしてみた 【問合せ1】 ー中略ー CloudWatch Logsのロググループに設定済みKMSキーを無効化しましたが、 CloudWatch Logs上でログに確認ができている状況です。 サポート側でも動
こんにちは! AWS事業本部コンサルティング部のたかくに(@takakuni_)です。 今回は、KMSのデフォルトのキーポリシーについてブログを書いてみたいと思います。 デフォルトのキーポリシー いきなりまとめ 最終奥義「ルートユーザー」で修復するために必要 ユーザーポリシー(IAMポリシー)で制御するために必要 AWSリソースのアクセス制御方法とは まずはじめに、AWSリソースにアクセスする方法は大きく分けて2つあります。 ユーザーポリシーで管理する方法 リソースベースポリシーで管理する方法 ユーザーポリシーで管理する方法とは IAMユーザー、ユーザーグループ、ロールにIAMポリシーを設定しアクセスを管理する方法です。 リソースベースポリシーで管理する方法とは S3バケットポリシーや、KMSのキーポリシーなどリソースポリシーを定義してアクセスを管理する方法です。 リソースベースのポリシー
AWS SAP取得に向けて勉強する中で覚えてよかったもの 以下用語の違いについては押さえておいて損はありません。 ・AWS KMS ・CloudHSM AWS KMSとは AWS Key Management Serviceの略称。 (公式サイトにより引用) AWS Key Management Service (KMS) を使用することで、暗号化キーを簡単に作成して管理し、幅広い AWS のサービスやアプリケーションでの使用を制御できるようになります。AWS KMS はセキュアで弾力性の高いサービスで、キーを保護するために FIPS 140-2 の検証済みまたは検証段階のハードウェアセキュリティモジュールを使用します。AWS KMS は AWS CloudTrail と統合されており、すべてのキーの使用ログを表示できるため、規制およびコンプライアンスの要求に応えるために役立ちます。 Cl
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ECDSA署名の数学的理解とCloud KMSによる実装 - Gaudiy Tech Blog
AWS KMS の新機能 公開鍵暗号によるデジタル署名 | Amazon Web Services
KMS CMK を使って AWS のセキュリティを向上させる | Cloud Security Magazine
Google CloudのCloudBuild + KMSで機密ファイルを暗号化して管理する
ポスト量子暗号 TLS が AWS KMS でサポートされました | Amazon Web Services
AWS KMSで公開鍵暗号してみた | DevelopersIO
AWS KMS 外部キーストア (XKS) の発表 | Amazon Web Services
AWS KMS CMKを用いたS3オブジェクトのアクセス制限 - NRIネットコムBlog
Fleet ManagerをKMS暗号化を有効化して使う | DevelopersIO
ローテーション AWS KMS keys - AWS Key Management Service
AWS KMS SSMでセキュアに環境変数を扱う on Terraform|ハマー
Amazon EKS が AWS KMS を使った Secrets のエンベロープ暗号化に対応
【sops + AWS KMS】Terraformで安全に機密情報を扱う方法
Amazon S3バケットの暗号化 (SSE-S3とSSE-KMSとSSE-Cの比較)
もしもAWS CloudWatchLogsをKMS暗号化して、KMSキーを無効化したら - Qiita
【KMS】デフォルトのキーポリシーについて調べてみた | DevelopersIO
【AWS SAP】AWS KMS と CloudHSMの違い【頻出】 - Qiita
news.yahoo.co.jp
news.yahoo.co.jp
news.yahoo.co.jp
news.yahoo.co.jp
news.yahoo.co.jp
news.yahoo.co.jp