[AWS] KMSのCMK(カスタママスターキー)の違いまとめ
AWSで提供されている暗号化ソリューションKMSにおいて、マスターキーの種類が3種類か存在する。
わかりにくいのでまとめてみた
AWS所有CMK | AWS管理CMK | カスタマー管理CMK | |
管理 | AWSが管理 | AWSが管理 | ユーザが管理 |
作成 | AWSが作成 | AWSが作成 | ユーザが作成 外部から持ち込み カスタムキーストア(CloudHSM) |
自分の AWS アカウントでのみ使用 | 不可 | 可能 | 可能 |
ローテーション周期 | 可変 | 1095 日 (3 年) ごと。 | 365 日 (1 年) ごと。 |
通常KMS操作におけるマスターキーはAWS管理CMKかカスタマー管理CMKのどちらかになるかと思われる
ちなみにAWS所有CMKとは
AWS 所有 CMK は、AWS のサービスが複数の AWS アカウントで使用するために所有および管理する CMK のコレクションです。AWS 所有 CMK は AWS アカウントにはありませんが、AWS サービスは AWS 所有 CMK を使用してアカウント内のリソースを保護できます。
参考:https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/concepts.html