かべぎわブログ

技術的なことについてかけたらいいな…

AWSのキー管理を比較してみた【KMS/CloudHSM】

AWSで利用できるキー管理のそれぞれの利点についてまとめてみました。

KMS

キーの保存場所/制御方法
  • AWSにキーが保存される
  • AWSのサービスや、その環境で動作するアプリケーションでキーが利用できる
キーの管理
  • 定義ポリシーをAWSが実行してキーの仕様を制御する
  • AWSが責任をもって実行する
料金
  • キー単位と使用量単位で料金がかかる

CloudHSM

キーの保存場所/制御方法
  • AWS内で実行されるHSMにキーが保存される
  • AWSのサービスや、その環境で動作するアプリケーションでキーが利用できる
キーの管理
  • 自作のコードまたはSafenet APIでキーを管理することができる
  • 自分たちで責任を持って管理する
料金
  • 1時間あたりの課金
  • CloudHSM Classicを利用する場合は前払い料金が発生する

3rdparty製ツール(AWS MarketPlace)

キーの保存場所/制御方法
  • ツールによる(ローカル環境でもAWS内でも)
  • EC2インスタンスでキーが利用できる
キーの管理
  • ツール(ベンダー)による
料金
  • 1時間あたりの課金または1年単位での支払い

自作ツールでの管理

キーの保存場所/制御方法
  • ツールによる(ローカル環境でもAWS内でも)
  • EC2インスタンスでキーが利用できる
キーの管理
  • ツール(ベンダー)による
料金
  • ツール(ベンダー)による(場合によっては安くすむかも)