比較は以下の表の通りとなります。
| 比較表 | KMS | CloudHSM | ユーザの暗号化キー持ち込み | AWS サービスの暗号化 |
| 特徴 | ・CloudHSMと比較して手軽に暗号化キーを管理。 ・他のAWSと連携しやすい。(S3オブジェクトの暗号化など) ・AWSへデータを送信する前にユーザ側で暗号化する場合のキーとして使用可能。 | ・不正防止機能を装備したハードウェアデバイス内でキーを操作。 ・主にコンプライアンス対応。 ・オンプレミス あるいは AWS上で使用が可能。 | ユーザ側が暗号化キーを生成して持ち込む。 利用者は完全に暗号化キーを管理することが可能。 | S3やEBSなどの暗号化機能。 利用者は暗号化キーを管理することはできない。 |
| AWSサービスから | 使える | 一部のサービス以外は使えない。(例えばS3暗号化のキーとしては使用できない) | 使えない | 特定のサービスのみ |
| タイプ | マルチテナント | 占有(Amazonの管理者もアクセスできない) | マルチテナント | マルチテナント |
| 価格 | 低 | 高 | 無 | - |
参考:
AWS KMS と AWS CloudHSM にはどのような違いがありますか?
https://aws.amazon.com/jp/kms/faqs/
AWS CloudHSM では、Amazon Virtual Private Cloud (VPC) でのキーの保存と使用のために、FIPS 140-2 レベル 3 検証済みシングルテナント HSM クラスターを利用できます。ユーザーは、AWS とは独立した認証メカニズムで、ユーザーのキーがどのように使われるかについて自分だけのコントロールができます。ユーザーは、Amazon EC2 で実行するアプリケーションを操作するのと同様のやり方で、ユーザーの AWS CloudHSM クラスター内のキーを操作します。AWS CloudHSM を使用して様々なユースケースをサポートでき、これには Digital Rights Management (DRM)、パブリックキーインフラストラクチャー (PKI)、ドキュメントへの署名、また PKCS#11、Java JCE、またはMicrosoft CNG インターフェイスを用いた暗号化機能などを含みます。
AWS KMS では、アプリケーションおよびサポートされている AWS サービスが世界中の複数のリージョンで使用する暗号化キーを単一のコンソールから作成、管理できます。これらのサービスは FIPS 140-2 で検証された HSM を用いて、キーのセキュリティを保護します。AWS KMS ですべてのキーを一元管理することにより、キーを使用できるユーザーとその条件、更新する時期、管理できるユーザーを設定できます。AWS KMS は AWS CloudTrail との統合により、キーの使用状況の監視を可能にし、規制およびコンプライアンスを満たすために役立ちます。アプリケーションからの AWS KMS の操作は、直接サービス API を呼び出したい場合は AWS SDK を用いて、またはクライアント側の暗号化をしたい場合は AWS 暗号化 SDK を用いて行います。
関連リンク:
暗号化キーであるSSE-S3、SSE-KMS、SSE-Cの違いとは
KMS における暗号化キーの違い
AWS まぎわらしい用語一覧へ戻る