内容についての注意点 本資料料では 2016 年年 9 月 28 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト (http://aws.amazon.com) にてご確認ください 資料料作成には 十分注意しておりますが 資料料内の価格と AWS 公式

Similar documents
Presentation Title Here

PowerPoint Presentation

Presentation Title Here

そこが知りたい!AWSクラウドのセキュリティ

AWS 上でのサーバーレスアーキテクチャ 入 門 AWS Black Belt Online Seminar 2016 アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト清 水崇之 , Amazon Web Services, Inc. or its Aff

AWS Black Belt Online Seminar AWS上の暗号化ソリューション アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト 布目 拓也

_AWS-Blackbelt-Organizations

Slide 1

D. Amazon EC2 のインスタンスストアボリュームへ 1 時間ごとに DB のバックアップ取得を行うと共に Amazon S3 に 5 分ごとのトランザクションログを保管する 正解 = C 会社のマーケティング担当ディレクターから " 何気ない親切 " と思われる善行を目にしたら 80 文字

Presentation Title Here

Webhard_Users manual

PowerPoint Presentation

内容についての注意点! AWS クラウドのサービスは ご利利 用いただいた時間や量量により費 用が変動する従量量課 金金です そのため 事前に料料 金金確定 見見積を作成することはできない旨はご了了承ください! 特に断りがない場合 本資料料では 2014 年年 7 月 24 日現在の東京リージョンの

Enterprise Cloud + 紹介資料


Presentation Title Here

PowerPoint Presentation

Juniper Networks Corporate PowerPoint Template

PassSureExam Best Exam Questions & Valid Exam Torrent & Pass for Sure

PowerPoint プレゼンテーション

AWS Deck Template

AWS Black Belt Online Seminar Amazon Inspector アマゾンウェブサービスジャパン株式会社 セキュリティソリューションアーキテクト桐 山隼 人

2016, Amazon Web Services, Inc. or its affiliates. All rights reserved. 注意 本書は 情報提供の目的のみのために提供されるものです 本書の発行時点における AWS の現行製品と慣行を表したものであり それらは予告なく変更されるこ

Presentation Title Here

使用する前に

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

パスワード暗号化の設定

データベースの近代化:シンプルなクロスプラットフォーム、最小のダウンタイムで実現するクラウド移行

スライド 1

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

Secure the AWS Cloud with SafeNet Solutions eBook

PowerPoint プレゼンテーション

内容についての注意点 本資料料では 2016 年年 8 月 17 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト ( ) にてご確認ください 資料料作成には 十分注意しておりますが 資料料内の価格と AWS

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

製品概要

自 己紹介 アマゾンウェブサービス ジャパン株式会社 ソリューションアーキテクト Amazon Kinesis うちうみえいいちろう 内海英 Java LMAX Disruptor

PowerPoint Presentation

Oracle SQL Developerの移行機能を使用したOracle Databaseへの移行

Microsoft Word - AWSBlueprint final.docx

電子申告の達人とは 申告書作成ソフト ( 達人シリーズ ) で作成した申告 申請等データを電子申告データに変換し 署名 送信からメッセージボックスの確認までの一連の操作を行うことができます 2

IBM 次世代クラウド・プラットフォーム コードネーム “BlueMix”ご紹介

VPN 接続の設定

AWS からのメール配信の選択肢 1. EC2 上に Mail Transfer Agent (MTA) を構築して配信 2. Amazon Simple Service (SES) の利利 用 3. 外部 配信サービスの利利 用 3. については AWS 特有の 手順はない

CheckPoint Endpoint Security メトロリリース製品について 株式会社メトロ 2018 年 07 月 25 日

Mobile Access簡易設定ガイド

パスワード暗号化の設定

新製品 Arcserve Backup r17.5 のご紹介 (SP1 対応版 ) Arcserve Japan Rev. 1.4

Oracle Real Application Clusters 10g: 第4世代

PowerPoint プレゼンテーション

Microsoft PowerPoint - AWS-RatesSystem-JP_ pptx

FUJITSU Cloud Service K5 認証サービス サービス仕様書

PowerPoint Presentation

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

VPCスターターパック説明資料

よくある問題を解決する~ 5 分でそのままつかえるソリューション by AWS ソリューションズビルダチーム

電子申告の達人とは 法人税の達人 などの 申告書作成ソフト で作成した申告 申請等データを電子申告データに変換し 署名 送信から受信確認までの一連の操作を行うことができます 2

Cisco Unity と Unity Connection Server の設定

自 己紹介 名前 渡邉源太 所属 アマゾンウェブサービスジャパン株式会社 技術本部レディネスソリューション部 ソリューションアーキテクト (Windows Specialist) 好きな AWS サービス Amazon WorkSpaces

Symantec AntiVirus の設定

proventia_site_protector_sp8_sysreq

FileMaker Cloud App FileMaker Pro FileMaker Go FileMaker WebDirect App FileMaker Cloud Amazon Web Services (AWS) Marketplace AWS FileMaker Server File

PowerPoint Presentation

<4D F736F F F696E74202D2082A282DC82B382E795B782AF82C882A FC96E CF68A4A A2E >

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

機能マニュアル

AWS におけるマルチアカウント管理の手法とベストプラクティス

_BlackBelt_ApplicationAuthPatterns

手順例_Swivel_SSL証明書

Office 365監査ログ連携機能アクティブ化手順書

Agenda Active Directory on AWS 基礎からわかる Active Directory Active Directory on AWS 構成のシナリオ ADFS と IAM による ID 連携 AWS Directory Service ディレクトリタイプの選択 ディレクトリ

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

PowerPoint Presentation

PowerPoint Presentation

Elastic MapReduce bootcamp

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

PowerPoint Presentation

データ送信手順 2

PacnetでAPACをカバーする アマゾンのクラウドサービス

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

KSforWindowsServerのご紹介

AWS セキュリティ入門

ネットアップクラウドデータサービス

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

Shibboleth Office365 Education , Office365, 8 26 Office365 Shibboleth., Shibboleth, Office365,. 1.,,,,., LMS.,,, ICT,, Google App

目次 1. e-tax の登録情報の変更 1-1. 暗証番号の変更 ( 参考 ) 複数の利用者の暗証番号をまとめて変更する 1-2. 暗証番号の保存 ( 電子申告の達人のデータベースに保存する ) ( 参考 ) 暗証番号の削除 ( 電子申告の達人のデータベースから削除する ) 2. eltax の登

2D/3D CAD データ管理導入手法実践セミナー Autodesk Vault 最新バージョン情報 Presenter Name 2013 年 4 月 2013 Autodesk

CheckPoint Endpoint Security メトロリリース製品について 株式会社メトロ 2017 年 12 月 27 日

CheckPoint Endpoint Security メトロリリース製品について

Microsoft Word - Win-Outlook.docx

MS SQL の Point-in-Time リストア A - - v6.5 Update4 以降サポート Active Directory 詳細レベルリストア A A A v5 Update2 以降サポート 小さいパーティションへのBMR A A A v5 Update2 以降サポート リモートレ

AWS Artifact - ユーザーガイド

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

storage-sdk-Java

2016/6/3 IMJ ClickTracks Ver.6 の販売を開始! リリース情報 Press Room ClickTracks Ver.6 の販売を開始! 2007/04/04 IMJ ビジネスコンサルティング 株式会社株式会社インフィネット 株式会社アイ エム ジェイ ( 本社 : 東京

AWS Black Belt Online Seminar Amazon Kinesis アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト 内海英 一郎郎

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

ハイブリッド デバイス管理 ~Microsoft Intune~

Presentation Title Here

Oracle Business Rules

Transcription:

AWS Black Belt Online Seminar AWS Key Management Service (AWS KMS) アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト布 目拓拓也 2016.09.28 1

内容についての注意点 本資料料では 2016 年年 9 月 28 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト (http://aws.amazon.com) にてご確認ください 資料料作成には 十分注意しておりますが 資料料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます 価格は税抜表記となっています 日本居住者のお客様が東京リージョンを使 用する場合 別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 2

アジェンダ KMSの概要 KMSの暗号鍵管理理 KMSの暗号化処理理 KMS 利利 用TIPS ログ HSMとの 比較 制限 料料 金金等 まとめ 3

アジェンダ KMSの概要 KMSの暗号鍵管理理 KMSの暗号化処理理 KMS 利利 用TIPS ログ HSMとの 比較 制限 料料 金金等 まとめ 4

暗号化を利利 用したデータ保護 通信の暗号化 (Data encryption in transit) 通信路路の盗聴からデータを守る SSL/TLS IPSec 無線 LAN 暗号化 保管データの暗号化 (Data Encryption at rest) 保管されたデータが意図しない第三者から読み出されるのを防ぐ ファイル暗号化 暗号化ファイルシステム データベース暗号化 ブロックデバイス暗号化 in transit at rest 5

暗号化の鍵管理理において考慮すべき問題 鍵はどこに保管されるのか? 自 身が所有するハードウェア? AWS のハードウェア? 鍵はどこで使われるのか? 自分で管理理するクライアントソフトウェア上? AWS がコントロールを提供するサーバソフトウェア上? 誰が鍵を使えるのか? 許可をもつユーザーやアプリケーション? ユーザーが許可を与えた AWS 上のアプリケーション? 鍵関連の確かなセキュリティを担保する仕組みがあるのか? 6

Key Management Infrastructure KMI(Key Management infrastructure) とは? 暗号鍵の保管 鍵のアクセス制御等 鍵 自 身のセキュリティを管理理するインフラストラクチャ KMI は 2 つのサブコンポーネントから成り 立立つ : 平 文の鍵を保護するためのストレージレイヤー 鍵の利利 用を認可する管理理レイヤー コンプライアンス要件が 高い環境ではハードウェアセキュリティモジュール (HSM) が利利 用される事が多い 鍵保管のための占有ストレージ 耐タンパー性 認可の無いユーザーからの保護 7

AWS における暗号化モデルと KMI 暗号化 方式 暗号化 方式 暗号化 方式 鍵の保管 鍵の保管 鍵の保管 鍵の管理理 鍵の管理理 鍵の管理理 KMI KMI KMI モデル A モデル B モデル C 8 お客様が管理理 AWS が管理理

AWS Key Management Service (AWS KMS) 暗号鍵の作成 管理理 運 用サービス 可 用性 物理理的セキュリティ ハードウェアの管理理を AWS が担当するマネージドサービス 暗号化キーを保存および使 用するための安全なロケーションを提供 暗号鍵の可 用性 機密性を確保 低コストで使 用可能 S3, EBS, Redshift 等の AWS サービスとの統合 SDK との連携でお客様の独 自アプリケーションデータも暗号化 AWS CloudTrail と連動したログの 生成による組み込み型監査 中国リージョンを除く全てのリージョンで利利 用可能 9

10 KMS で使 用する重要な 用語 Customer Master Key(CMK) 暗号鍵のヒエラルキーの頂点に位置する KMS 上の鍵 外部にエクスポートされない 暗号化された上で可 用性の 高いストレージに保管される KMS 内での直接暗号化 / 復復号に利利 用される ( ただし 4KB までのデータ ) Customer Data Key (CDK) CMK から 生成される暗号鍵 大量量のデータの暗号化に使 用 暗号化されない形でもエクスポートが可能 Envelope Encryption マスターキーをデータ暗号化に直接利利 用するのではなく暗号化に利利 用するためのデータキーを暗号化 / 復復号に利利 用 暗号化したデータと CMK で暗号化されたデータキーを 一緒に保管することで鍵管理理の複雑性を軽減 暗号化されているデータキーを CMK で復復号すれば データ本体の復復号も可能 ラージデータの暗号化に対応可能

KMS における暗号鍵のヒエラルキー 2- Tier の暗号鍵ヒエラルキー 個別のデータキーによるユーザーデータの暗号化 AWS KMS マスターキーによるデータキーの暗号化 Customer Master Key(s) AWS KMS Envelope Encryption を利利 用 Data Key 1 Data Key 2 Data Key 3 Data Key 4 Envelope Encryption をの利利点 : データキーの漏漏洩リスクを限定化 ラージデータを暗号化する場合のパフォーマンスメリット 少数のマスターキーを管理理することで管理理性を向上 鍵利利 用に関する中央集中アクセスと監査 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Custom Application 11

KMS のアーキテクチャー KMS Interface KMS host KMS host KMS host Domain HSA HSA HSA (Hardened Security Appliance) Customer Master Keys 暗号鍵の 一元管理理を 行行うマネージド型鍵管理理サービス 暗号化キーのニーズに合わせて 自動でスケール 暗号鍵は 高耐久 低レイテンシーのストレージに保存 複数のアベイラビリティーゾーンによる 高可 用性 12

13 KMS の基本動作 4 Data key Encrypted data key + 5 HSA クライアント ( ユーザーアプリまたは AWS サービス ) Client AuthN and AuthZ 1 KMS Interface KMS host Durable Encrypted Key Store 1. クライアントは AWS アカウント内の KMS マスターキーの ID を渡して kms:generatedatakey を Call する クライアントのリクエストは呼び出したユーザーの権限と鍵のアクセス権限の両 方に基づき認証される 2. KMS がユニークなデータキーを 生成 3. 暗号化されたカスタマースターキーを 高耐久ストレージから取り出し HSA の中で復復号する 4. KMS はカスタマーマスターキーを使ってデータキーを暗号化し 平 文のデータキーと暗号化されたデータキーがクライアントに返される 5. クライアントは 平 文のデータキーを使ってデータを暗号化し データとともに暗号化されたデータキーを保存する 復復号 : 復復号の際は クライアントがデータに含まれる暗号化されたデータキーを KMS に渡す 暗号化されたデータキーは復復号のために必要 2 3 暗号化処理

KMS でできること / できないこと できること 暗号鍵の 生成と安全な保管 鍵利利 用の権限管理理 鍵利利 用の監査 対称鍵暗号 4KB までのデータ暗号化 AWS サービスとのインテグレーション 現時点でできないこと シングルテナント 非対称鍵暗号 4KB を超えるデータの直接的な暗号化 鍵のエクスポート 鍵データの暗号化を対象

KMS とインテグレーションされている AWS サービス 様々な AWS サービスとのインテグレーションにより 容易易に利利 用可能 カテゴリ ストレージ コンテンツ配信 データベース 開発者ツール 分析 アプリケーションサービス エンタープライズアプリケーション サービス Amazon S3, Amazon EBS, AWS Import/Export Snowball Amazon RDS, Amazon Redshift, AWS Database Migration Service AWS CodeCommit Amazon EMR, Amazon Kinesis Firehose Amazon Elastic Transcoder, Amazon SES Amazon WorkSpaces, Amazon WorkMail https://aws.amazon.com/jp/kms/details/ 15 2016/09 現在 CodeCommit は AWS 管理キーのみサポート

主要な KMS API 鍵管理理 用 API CreateKey, CreateAlias DisableKey EnableKeyRotation PutKeyPolicy ListKeys, DescribeKey データ API Encrypt Decrypt ReEncrypt GenerateDataKey 26 API actions and growing http://docs.aws.amazon.com/kms/latest/apireference/welcome.html

アジェンダ KMSの概要 KMSの鍵管理理 KMSの暗号化処理理 KMS 利利 用TIPS ログ HSMとの 比較 制限 料料 金金等 まとめ 17

18 KMS の暗号鍵管理理機能 単 一のエイリアスおよびDescriptionを付けたCMKの作成 キーを管理理するIAM ユーザーおよびロールの定義 キーを使 用できるIAM ユーザーおよびロールの定義 CMKの無効化 / 有効化 / 削除 1 年年ごとの 自動キーローテーションの設定 CMKのインポート

KMS の鍵管理理 KMS 内部では以下の鍵データが存在する Domain Key(DK) 管理理 用の鍵 リージョン内の全ての HSA がメモリ上に保持 日次でローテーション HSA Backing Key(HBK) CMK の実体となる平 文の鍵データ CMK 生成時に HSA にて 生成される HSA のメモリ上にのみ存在 平 文での Export 不不可 Exported Key Token(EKT) DK で暗号化された HBK KMS 内の Durable Storage に保管される 必要に応じて HSA 上で復復号化される CMK は論論理理キー ( 鍵のコンテナ ) HBK EKT が関連付けられている ユーザーは CMK から CDK を 生成して暗号化処理理に利利 用 KMS KMS host KMS host host HSA Backing Key マスターキーの実体 ( 平 文 ) メモリ上のみで利利 用される CMK1 EKT1 CMK2 EKT2 Durable storage Exported Key Token 暗号化されストレージ上に保管されるマスターキー Hardened Security Appliance (HSA) HBK1 Domain Key Customer Data Key HBK よりつくられ ユーザーが暗号化に使 用できる HBK2 CDK2 CT2

暗号鍵 (CMK) のライフサイクル Rotation CMK Create Key Key Generation Active Schedule key for deletion Deleted CMK は 実体となる鍵の入れ物 ( コンテナ ) 1 つの CMK に対して Active な鍵は常に 1 つ CDK のライフサイクルは利用者が管理 Active Active Deactivated 20

カスタマーマスターキーの 生成 IAM の Encryption Keys より作成 暗号鍵はリージョン単位で作成 エイリアスは 1 ~ 32 文字の 長さで 英数字 ダッシュ スラッシュ (/) またはアンダースコア エイリアスは aws で始まってはいけない 暗号鍵に対するアクセスポリシーとして下記に対して管理理者及び使 用者のパーミッションを設定 IAM User IAM Role 外部の AWS アカウント ( 使 用者のみ ) 設定した Key ポリシーの確認 Description は最 大 256 文字 21

カスタマーマスターキーの Enable/Disable ライフサイクルに関係なく鍵管理理者により 自由に Enable/Disable が可能 Disable すると鍵の使 用に関する操作が不不能 Disable された鍵も課 金金対象 $ aws kms generate- data- key - - key- id cc00b8b3- f647-4090- 99ab- 0ab58XXXXXX - - key- spec AES_ 256 A client error (DisabledException) occurred when calling the GenerateDataKey operation: arn:aws:kms:us- east- 1:336580663XXX:key/cc00b8b3- f647-4090- 99ab- 0ab58eeXXXXX is disabled. 22

カスタマーマスターキーの削除 Disable した鍵を削除する事が可能 7 日 - 30 日の待機期間を設定 デフォルトは 30 日 待機期間中であれば削除のキャンセルが可能 削除については慎重に! 削除した鍵を利利 用していたデータは復復号不不可 CloudTrail 等を利利 用して鍵が利利 用されていないことを確認してから削除 23

カスタマーマスターキーのローテーション コンソール (Key Summary Page) AWS CLI enable-key-rotation --key-id <value> 24 一年年おきの暗号鍵 (CMK) のローテーションを設定可能 有効にした時点から 1 年年後にローテーション 現時点ではローテーション期間は固定 古い鍵は保管され続け 復復号にのみ利利 用可能 古いバージョンの鍵も課 金金対象となるので注意 利利 用者は透過的に新旧の暗号鍵を利利 用できる 同じ Key ID, 同じ Alias 暗号化リクエストには新しい鍵を利利 用 ReEncrypt API を利利 用して明 示的に新しい鍵への 入れ替えが可能

ローテーションの仕組み Hardened Security Appliance (HSA) Durable storage ローテーションが 行行われると HBK が世代交代する 古いものも保持される Domain Key アクティブな HBK CMK EKT1 EKT2. HBK1 HBK2 HBKn HBKn+1 Active CDK1 CT1 CDK2 CT2 CDKn CTn 25

新機能 Bring Your Own Keys (2016/8/11 リリース ) 鍵のインポートが可能に CMK の 生成を利利 用者がコントロール マスターキーのコピーを 自社 KMI 環境に保持可能 持ち込んだ鍵を KMS とインテグレートされている AWS サービスで利利 用可能 256bit 対称鍵のみサポート 鍵の有効期限指定が可能 鍵の削除 再インポートが可能 CMK コンテナの作成 ラッピングキーのダウンロード ラッピングキーで Import 鍵を暗号化 有効期限を指定して KMS へ Import KMS KMS 自社 KMI 作成 ダウンロード エクスポート 空の CMK コンテナ RSA public key KMS の公開鍵で暗号化した 256bit 鍵 26

CMK のインポート (1/3) CMK コンテナの作成 IAM コンソールで Import 用に空の CMK コンテナを作成 Advanced Options で Key Material Origin に External( 外部 ) を指定 通常の CMK 作成と同様に管理理者と利利 用者の IAM ユーザーを指定 27

CMK のインポート (2/3) Wrapping key と Import token のダウンロード 自社の KMI 環境に合わせてラッピングアルゴリズムを指定 RSAES_ OAEP_ SHA_ 256( 推奨 ) RSAES_ OAEP_ SHA1 RSAES_ PKCS1_ V1_ 5 指定したアルゴリズム 用の wrapping key と import token をダウンロード Import token は 24 時間で Expire CMK コンテナの作成完了了後に実施することも可能 以下の 3 ファイルが含まれた zip ファイルがダウンロードされる README_<KeyID>_<Timestamp>.txt importtoken_<keyid>_<timestamp> wrappingkey_<keyid>_<timestamp> 28

CMK のインポート (3/3) 自 身の鍵マテリアルのラッピング 指定したアルゴリズムを利利 用してラッピング ( 例例 )openssl を利利 用して RSAES_ OAEP_ SHA_ 1 でラップする場合 $ openssl rsautl -encrypt -in plain_text_aes_key.bin -oaep \ -inkey wrappingkey_<keyid>_<timestamp> \ -pubin -keyform DER -out enc.aes.key 29 ラッピングした鍵と ImportToken ファイルを指定して鍵をインポート 有効期限も同時に指定 UTC での 日付 & 時刻指定または無期限 鍵のステータスが Pending Import Enable になれば完了了

CMK をインポートする際の注意点 鍵のエクスポートは不不可 自社 KMI での継続的な鍵管理理が必要 インポートする鍵 長は 256bit のみ 鍵の 自動ローテーションは利利 用不不可 有効期限が過ぎた鍵は KMS によって削除される CMK にキーマテリアルの Import を再度度 行行えば期限は変更更可能 有効期限内の鍵削除は通常の CMK と同様 猶予期間 (7-30 日間 ) の後 CMK ごと削除される 同じ鍵を複数リージョンに Import することは可能 但し あるリージョンの KMS で暗号化したデータ ( データキー ) を別リージョンの KMS で復復号することは出来ない HBK ID が異異なるため 30

Key Policy 暗号鍵に対するリソースベースのパーミッション 暗号鍵作成時に定義 管理理コンソール CLI/SDK により変更更可能 GetKeyPolicy: ポリシーの取得 PutKeyPolicy: ポリシーの設定 31 暗号鍵に対する Key Policy の他に IAM User や IAM Role で設定されている Policy でもアクセス制御が可能

32 暗号鍵のデフォルトポリシー例例 { "Id": "key- consolepolicy- 2", "Version": "2012-10- 17", AWS rootアカウ "Statement": [ ントを許可する { default policy "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::336580663xxx:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::336580663xxx:user/superuser" ] }, "Action": [ "kms:create*", "kms:describe*", "kms:enable*", "kms:list*", "kms:put*", "kms:update*", "kms:revoke*", "kms:disable*", "kms:get*", "kms:delete*" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { 暗号鍵管理者向けポリシー "AWS": [ Dev","arn:aws:iam::336580663xxx:role/ EC2_ Admin","arn:aws:iam::912412960xxx:root" ] }, 暗号鍵利用者向けポリシー "arn:aws:iam::336580663xxx:user/

暗号鍵のデフォルトポリシー例例 "Action": [ "kms:encrypt", "kms:decrypt", "kms:reencrypt*", "kms:generatedatakey*", "kms:describekey" ], "Resource": "*" }, { 暗号鍵利用のためのアクション "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::33658066xxxx:user/ Dev","arn:aws:iam::33658066XXXX:role/ EC2_ Admin","arn:aws:iam::91241296XXXX:root" ] }, "Action": [ "kms:creategrant", "kms:listgrants", "kms:revokegrant" ], "Resource": "*", "Condition": { "Bool": { "kms:grantisforawsresource": true } } } ] } KMS と統合された AWS サービスが キーを使用するための設定 33

Policy の評価 暗号鍵に付与されたリソースベースのパーミッションと IAM User/ Role に付与したユーザーベースのパーミッションの両 方を評価 暗号鍵に付与される Default Policy はアカウントオーナーに対して全ての権限を持つ KMS のアクセス権の評価は通常の IAM の Policy 評価と同じロジック アクセス権限に Allow の条件があった場合 アクセス許可 ただしアクセス権限に 1 つでも Deny の条件があった場合 アクセス拒否 ( 明 示的な Deny) デフォルト Deny < Allow < 明 示的な Deny

Grant Key Policy と同じくリソースベースのアクセスコントロール機能 CMK の使 用を他の Principal に委任 AWS サービスからの KMS の利利 用等 より細かいアクセス権の設定が可能 5 つの要素 Key : カスタマーマスターキーの ID GranteePrincipal : パーミッションを受ける対象 Operations : 許可されるオペレーション Constraints :Grants が有効になる Condition を定義 RetiringPrincipal :Grants を retire させるこのとのできる対象 35 許可されるオペレーションに CreateGrant が含まれている場合 この Grant で許可されたプリンシパルは 制限が同じまたは制限がより厳しい Grant のみ作成可能

36 Encryption Context 暗号化機能を利利 用する際に KMS に渡すことのできる Key/Value ペア 暗号化の際に指定すると復復号の際にも同 一の値が必要とされる 暗号化されたデータの Additional Authenticated Data(AAD) として利利 用可能 CloudTrail のログに平 文で出 力力されるため Encryption Context には機微情報を利利 用しない Grants の Constraints の中でも利利 用 EncryptionContextSubset:EncryptionContext 中に含まれていればよい EncryptionContextEquals:EncryptionContext が完全に 一致した場合 EBS 暗号化の際に 暗号化を 行行う volume ID を利利 用して Grants を作成することで 特定ボリュームのみの暗号化を 行行う

Constraints の例例 EncryptionContextSubset { Department : Finance, classification : critcal } { Department : Finance, classification : critical, customer : 12345 } - > OK { Department : Finance } - > NG EncryptionContextEquals { Department : Finance, classification : critical } { Department : Finance, classification : critical } - > OK { Department : Finance, classification : critical, customer : 12345 } - > NG 37

Grants の利利 用例例 "eventname":"creategrant", "awsregion":"us- east- 1", "sourceipaddress":"aws Internal", "useragent":"aws Internal", "requestparameters":{ "retiringprincipal":"137640147550", "constraints":{ }, "encryptioncontextsubset":{ "aws:ebs:id":"vol- 9a98axxx } }, EBS 暗号化を 行行う場合 Volume をアタッチした際のログ "operations":["decrypt"], "granteeprincipal":"33658066xxxx:aws:ec2- infrastructure:i- 5439cxxx", "keyid":"arn:aws:kms:us- east- 1:33658066xxxx:key/6f712a31-88ba- 4975- a4bf- 0a87faxxxx 38

サービスデフォルトキー AWS が管理理する各サービスのデフォルトキー エイリアスは aws/< サービス名 > 対応したサービスで暗号化機能を利利 用する際にアカウント リージョン毎に 自動 生成される ex) EBS ボリュームの暗号化時 3 年年毎に 自動ローテーション 各サービスの暗号化に利利 用できるが ポリシーの定義等 鍵に対するアクセス権の変更更は不不可 39

アジェンダ KMSの概要 KMSの鍵管理理 KMSの暗号化処理理 KMS 利利 用TIPS ログ HSMとの 比較 制限 料料 金金等 まとめ 40

KMS の暗号化処理理 KMS ホスト ユーザーのリクエストを受け HSA 経由で処理理 HSA 鍵の 生成 利利 用 データの暗号化 / 復復号に関わる暗号化機能提供 認証されたリクエスト以外の処理理は受け付けない 現時点で暗号化アルゴリズムは AES- GCM 256bit のみ対応 仮想化層を持たない暗号化処理理に特化した物理理デバイス KMS 内部の通信は全て暗号化されている KMS Interface KMS host KMS host KMS host HSA HSA (Hardened Security Appliance) HSA 41 Customer Master Keys

KMS の暗号化と重要な API Encrypt API データを暗号化するための API 鍵データの暗号化 用 4KB までの平 文データに対応 生成される暗号 文にはヘッダが付与される HBKID Encryption Context などの情報 元データおよび 生成された暗号 文は AWS 内には保持されない Decrypt API データを復復号するための API CMK の指定は不不要 暗号 文のヘッダから該当する CMK を特定 暗号 文および平 文は AWS 内には保持されない GenerateDataKey ユーザーがデータの暗号化に利利 用する CDK を 生成 平 文の鍵と Encrytpt API で暗号化された鍵を返す CMK ID,EC+ Ciphertext Plaintext Header Encrypted Data EC+ Ciphertext Plaintext Encrypt Decrypt KMS 暗号 文にはヘッダが含まれる KMS 暗号 文のヘッダから HBKID を読み取り該当する HBK を利利 用して復復号 42

KMS のワークフロー (1/2) 暗号化 データキーの 生成 アプリケーションからキーのリクエストがあると KMSはデータキーと暗号化されたデータキーの両 方を返す データキーはアプリケーションのメモリ上に配置し データの暗号化に利利 用 データキーの管理理はアプリケーション側 決してキーをディスクに置かない 暗号化処理理が終了了したら即座に削除する 暗号化されたデータキーは暗号化されたデータと共に保存する 管理理を容易易にするため KMS キーのリクエスト App データキー + 暗号化されたデータキー 対象データ 暗号化されたデータ 43

KMS のワークフロー (2/2) 復復号 アプリケーションから暗号化されたデータキーをKMSに送信 KMSは該当するマスターキーを利利 用してデータキーを復復号し アプリケーションに返す アプリケーションでデータキーを使ってデータを復復号 データキーの管理理はアプリケーション側 App 暗号化されたデータキー 暗号化されたデータキー を送信 データキー KMS 44 暗号化されたデータ データの復復号 対象データ データキーの復復号

45 KMS を利利 用したデータ暗号化の選択肢 Client- side encryption ユーザーアプリケーションでのデータ暗号化に KMS を利利 用 各種 AWS SDK を利利 用 より上位の SDK やクライアントを利利 用すれば Envelope Encryption を容易易にハンドル可能 AWS Encryption SDK Amazon S3 Client AWS SDK for Java,.NET, Ruby でサポート Amazon EMR File System (EMRFS) Client- side Encryption for Amazon DynamoDB https://github.com/awslabs/aws- dynamodb- encryption- java Server- side encryption 各種サービスとインテグレーションされている AWS サービスでデータが受信された後にサービスが KMS を利利 用してデータを暗号化 利利 用可能なサービス : S3, Amazon Elastic Block Store (Amazon EBS), Amazon RDS, Amazon Redshift, Amazon WorkMail, Amazon WorkSpaces, AWS CloudTrail, Amazon Simple Email Service (Amazon SES), Amazon Elastic Transcoder, AWS Import/Export Snowball, Amazon Kinesis Firehose, Amazon EMR

AWS SDK を利利 用した Client- side Encryption KMS のマスターキー データキーを生成 Envelope Encryption は自分でハンドルする必要がある

47 AWS Encryption SDK AWS が提供するクライアントサイド暗号化のための暗号化ライブラリ マスターキープロバイダー を定義して利利 用するための API と トップレベルの鍵もしくはデータを暗号化するための複数の鍵へのインターフェースを提供 データ暗号化キー (DEK) の追跡と保護 鍵アクセスのための低レベルの暗号化処理理をライブラリ内で実施 トップレベルのマスターキーを指定すれば SDK が残りの作業を実施 SDK が低レベルの暗号化処理理とトップレベルのマスターキーを結びつける 鍵プロバイダーを抽象化 複数の鍵を単 一のマスターキープロバイダーにまとめて利利 用 複数の鍵プロバイダーを利利 用した暗号化 (AWS KMS と CloudHSM の同時利利 用など ) Java ライブラリとして提供 https://github.com/awslabs/aws- encryption- sdk- java

AWS Encryption SDK による暗号化 鍵プロバイダを利用した Envelope Encryption コードを大幅に簡素化 暗号化処理を呼び出す 平文データ AwsCrypto.encryptData() AWS Encryption SDK MasterKeyProvider.getMasterKey() MasterKey.generateDataKey() encrypted data key plaintext data key 暗号化された encrypted data データ+ 暗号鍵 48 アプリケーションコード 鍵関連の処理は SDK 内で実施

AWS Encryption SDK で KMS を利利 用した Client- side Encryption 暗号化 // インスタンス化 KMS 用のMasterKeyProvider final AwsCrypto crypto = new AwsCrypto(); // KmsMasterKeyProviderをセットアップ final KmsMasterKeyProvider prov = new KmsMasterKeyProvider(keyId); // 暗号化 final byte[] ciphertext = crypto.encryptdata(prov, message); データキーの生成等は SDK が処理平文のデータキーは暗号化処理終了後に SDK が削除 復復号 生成される ciphertext は 暗号化されたデータキーと暗号文が結合されている final AwsCrypto crypto = new AwsCrypto(); final KmsMasterKeyProvider prov = new KmsMasterKeyProvider(keyId); // 復復号 final CryptoResult<byte[], KmsMasterKey> res = crypto.decryptdata(prov, ciphertext); // 正しい鍵が使われていたかチェック if (!res.getmasterkeyids().get(0).equals(keyid)) { throw new IllegalStateException("Wrong key id!"); } byte[] plaintext = res.getresult(); KMS としては復号には Key ID は不要だが データに使われていた鍵が想定していたものかをチェックしている

AWS サービスでの Server- side Encryption with KMS EBS の例例 Console 各サービスで CMK を指定するのみ Envelope Encryption のハンドルはサービス側で行われる AWS CLI/SDK create- volume [- - dry- run - - no- dry- run] [- - size <value>] [- - snapshot- id <value>] - - availability- zone <value> [- - volume- type <value>] [- - iops <value>] [--encrypted --no-encrypted] [--kms-key-id <value>] [- - cli- input- json <value>] [- - generate- cli- skeleton] 50

AWS サービスでの Server- Side Encryption with KMS EBS の例例 1. EBS が TLS セッションで暗号化されたボリュームキーを KMS から取得 KMS は指定されたキーへのアクセス権をチェックし 暗号化されたデータキーを EBS に送信 (EBS は次回のアタッチに備え 暗号化されたデータキーをボリュームのメタデータに保存 ) 2. EBS ボリュームがマウントされると EC2 がボリュームのメタデータから暗号化されたボリュームキーを取得 3. KMS への復復号リクエストが 生成され EC2 インスタンスが稼働するホストが復復号されたボリュームキーを受け取る 4. ボリュームキーはアタッチされた EBS ボリュームに対する全ての 入出 力力データの暗号化 / 復復号に利利 用される 51

アジェンダ KMSの概要 KMSの鍵管理理 KMSの暗号化処理理 KMS 利利 用TIPS ログ HSMとの 比較 制限 料料 金金等 まとめ 52

KMS の制限事項 各 AWS のアカウントごとに以下のリソース制限があります 上限緩和には AWS Support Center よりチケットをあげてください リソース デフォルトの制限 CMK 1000( リージョン毎 ) エイリアス 1100( リージョン毎 ) CMK あたりの Grant 2500 CMK あたりの特定プリンシパルの Grant 1 秒あたりのリクエスト 30 可変 (Encrypt/Decrypt/ReEncrypt/ GenerateRandom/GenerateDataKey/ GenerateDataKeyWithoutPlaintext は合計で 100) 53 http://docs.aws.amazon.com/ja_ jp/kms/latest/developerguide/limits.html

54 KMS 利利 用 TIPS 直接暗号化 / 復復号できるデータは 4KB まで Envelope Encryption 方式での利利 用を推奨 API リクエストのスロットリングに注意 暗号化 EBS ボリュームを複数もつインスタンスの同時起動や 大量量オブジェクトの S3 への Upload/Download 等に注意 必要に応じて上限緩和申請 https://docs.aws.amazon.com/ja_ jp/kms/latest/developerguide/limits.html 対称鍵暗号 方式のみサポート 公開鍵暗号 方式では利利 用できない リージョン間での鍵の共有は出来ない

KMS with AWS サービス TIPS Amazon EBS サポートされているインスタンスタイプに注意 ボリュームの 生成時に CMK を指定して暗号化 暗号化されていないボリュームの直接の暗号化 暗号化ボリュームの直接の 非暗号化は不不可 暗号化されていないボリュームのスナップショットをコピーする時に暗号化することは可能 暗号化されたスナップショットをコピーする時に異異なる CMK を指定して再暗号化することは可能 暗号化スナップショットを他の AWS アカウントへ共有することが可能 CMK に対するアクセス権も付与する必要がある デフォルトキーで暗号化されたスナップショットは共有不不可 共有されたスナップショットからボリュームを作成する場合は 一旦コピーが必要 KMS の CMK で暗号化されたスナップショットはリージョン間コピー不不可 1 インスタンスにアタッチできる同じ CMK で暗号化したボリュームは 30 個まで 55 http://docs.aws.amazon.com/ja_jp/awsec2/latest/userguide/ebsencryption.html

KMS with AWS サービス TIPS Amazon RDS ストレージ暗号化で利利 用 新規インスタンスの作成時に暗号化指定 暗号化可能なインスタンスタイプに注意 暗号化されたインスタンスの暗号化解除は不不可 暗号化されていないスナップショットをコピーして暗号化することは可能 (Aurora では不不要 ) リードレプリカも同じキーを利利 用して暗号化する必要がある 暗号化されていないバックアップ / スナップショットを暗号化インスタンスにリストアすることは出来ない Aurora では暗号化されていないスナップショットから暗号化クラスターに復復元可能 暗号化された MySQL スナップショットを Aurora に復復元することはできない KMS で暗号化されたスナップショットのリージョン間コピーは不不可 リージョン間レプリケーションも不不可 暗号化スナップショットを他の AWS アカウントへ共有することが可能 CMK に対するアクセス権限を付与する必要がある 共有されたスナップショットからインスタンスを作成する場合は 一旦コピーが必要 https://docs.aws.amazon.com/ja_ jp/amazonrds/latest/userguide/user_ ShareSnapshot.html 不不 用意なキーの Disable は避ける キーを Disable すると Terminal ステートになり リカバリー不不能となる バックアップからのリストアが必要になる 56 http://docs.aws.amazon.com/ja_jp/amazonrds/latest/userguide/overview.encryption.html

57 KMS with AWS サービス TIPS Amazon S3 KMS で暗号化されたオブジェクトに対する操作は Version4 署名が必要 オブジェクトの暗号化に利利 用されたデータキーもオブジェクトと共に暗号化されて保管される レスポンスに含まれる ETag はオブジェクトの MD5 ではない バケットポリシーで SSE- KMS の強制化が可能 s3:putobject に対して s3:x- amz- server- side- encryption : aws:kms の条件を利利 用 Amazon SES 受信したメッセージの暗号化に KMS を利利 用可能 S3 暗号化クライアントを利利 用してメッセージを S3 に保管 Encryption Context にルール メッセージ ID を指定 SES に対して CMK のアクセス権限を付与する必要がある SES には復復号権限が無いため アプリケーションで S3 からデータを取得して復復号する必要がある S3 Client の利利 用を推奨 https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/services-ses.html

アジェンダ KMSの概要 KMSの鍵管理理 KMSの暗号化処理理 KMS 利利 用TIPS ログ HSMとの 比較 制限 料料 金金等 まとめ 58

CloudTrail による KMS のログ集約 CloudTrail により KMS の管理理コンソールでの操作や SDK での操作で利利 用した API のログを取得 CreateAlias CreateGrant CreateKey Decrypt DeleteAlias DescribeKey DisableKey EnableKey Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext GenerateRandom GetKeyPolicy ListAliases ListGrants ReEncrypt CloudTrail により取得できるログ 誰が いつ どの API を どの AWS リソースから どの AWS リソースに対して 59 http://docs.aws.amazon.com/ja_ jp/kms/latest/developerguide/logging- using- cloudtrail.html

60 KMS のセキュリティ 鍵の管理理はお客様が実施 マスターキーには誰もアクセスできない 幅広い堅牢牢化技術を使 用してマスターキーを保護するように設計 プレーンテキストのマスターキーをディスクに保存しない メモリ上に存続させ続けない デバイスに接続できるシステムを制限するなど サービス内でソフトウェアをアップデートするためのアクセスは複数段階の承認プロセスによって管理理 Amazon の独 立立したグループによって監査およびレビューを実施 キーは作成されたリージョンにのみ保存 他のリージョンに移動できない 一年年おきのマスターキーの 自動ローテーションが可能 AWS CloudTrail による管理理操作 暗号化操作の記録 KMS の統制は第三者認証を取得している : Service Organization Control (SOC 1) PCI- DSS 詳細は AWS コンプライアンスパッケージを参照

AWS KMS と Cloud HSM の違い 専有性 AWS CloudHSM VPC にお客様専 用のハードウェアデバイス ( Safe Net Luna SA 7000 HSM) をインストール AWS Key Management Service マルチテナントのマネージドサービス 可 用性 可 用性と耐久性はお客様が管理理 高可 用性 耐久性の 高い鍵保管 用ストレージと鍵管理理 Root of trust root of trust はお客様が管理理 root of trust は AWS が管理理 コンプライアンス 操作 サードパーティ製品 FIPS 140-2 レベル 2 及び情報セキュリティ国際評価基準 EAL4+ 標準に準拠 耐タンパー性を備える CloudTrail にも対応 現在のところ管理理コンソール対応無し (CloudHSM CLI 等 CLI で操作 ) EBS 用 SafeNet ProtectV ボリューム暗号化 Apache Microsoft SQL Server( 透過的データ暗号化 ) 等 CloudTrail との統合による監査機能 管理理コンソール SDK AWS CLI ( カスタムソフトウェア AWS SDK は提供 ) AWSサービス Redshift, RDS(Oracle TDE) S3, EBS, RDS( 全エンジン ),Redshift, Elastic Transcoder, WorkMail, EMRFS 暗号化機能 共通及び公開鍵暗号に対応 現在のところ共通鍵暗号のみ コスト 概ね固定費 従量量課 金金 61

CloudHSM と KMS の使い分け 規制や法令令の対応により 認定を受けた鍵管理理モジュールが必要 現在 SafeNet の HSM をオンプレミスで利利 用している 公開鍵暗号化も 行行いたい 暗号化処理理をオフロードしたい 暗号化リクエストのピークが 高い 隔離離された専 用環境で厳格に鍵管理理したい 共通鍵暗号のみ利利 用 鍵管理理は 自分で 行行いたい 手軽かつ安全に暗号化処理理を利利 用したい より低コストに鍵管理理の仕組みを利利 用したい AWS サービスで簡単に利利 用したい 保管されるデータの暗号化がメイン CloudTrail による監査を 行行いたい CloudHSM KMS 62

KMS の料料 金金 $1/key version/ 月 KMS で 生成 インポートにかかわらない ローテーションを有効にした場合 料料 金金は更更新した各バージョンにつき 月間 $1 課 金金対象外の key AWS 管理理のサービスデフォルトキー 削除を予定された CMK 待機期間中に削除をキャンセルした場合 削除を予定されなかったものとして課 金金 GenerateDataKey/GenerateDataKeyWithoutPlaintext で 生成された CDK $0.03 per 10,000 API リクエスト (Gov Cloud を除く全てのリージョン ) 20,000 req/ 月の無償利利 用枠 ( 全リージョン合計 ) 価格は 2016 年 9 月現在のものです CloudTrail を有効にして API アクセスログを取得する場合は別途 S3,SNS の料金がかかります 63 http://aws.amazon.com/jp/kms/pricing/

アジェンダ KMSの概要 KMSの鍵管理理 KMSの暗号化処理理 KMS 利利 用TIPS ログ HSMとの 比較 制限 料料 金金等 まとめ 64

KMS の特徴 1. S3 EBS 等に実装された AWS による暗号化 (SSE) 2. User による暗号鍵の持ち込みに よる S3 暗号化 (CSE) 3. Cloud HSM を 用いた暗号化 利利 用者が暗号化鍵に対するコントロールをもっていない 暗号化の範囲指定 暗号化鍵のローテション等 実 行行管理理が煩雑である Hardware アプライアンスを 用いており 高価である 65 AWS Key Management Service を使うことで 1. 暗号鍵は AWS 上に Secure に保管 管理理は User にて実施 2. SDK と連携することで 3rd Party 製ソフトにも適応可能 3. 比較的安価に KMI を利利 用可能

まとめ AWS Key Management Service は データを保護するための暗号化キーの 一元管理理を可能にする低コストなマネージドサービスです AWS サービスとの統合により容易易にデータの暗号化を 行行うことができますし アプリケーション上のデータの暗号化にも利利 用することができます 66 暗号鍵のセキュアな管理理を可能にし CloudTrail との統合による組み込み型の監査対応機能も利利 用できます

参考資料料 AWS Key Management Service Developer Guide http://docs.aws.amazon.com/ja_ jp/kms/latest/developerguide/overview.html AWS Key Management Service API Reference http://docs.aws.amazon.com/ja_ jp/kms/latest/apireference/welcome.html AWS Key Management Service FAQ http://aws.amazon.com/jp/kms/faqs/ AWS Key Management Service Pricing http://aws.amazon.com/jp/kms/pricing/ AWS Key Management Service whitepaper https://d0.awsstatic.com/whitepapers/kms- Cryptographic- Details.pdf 67

オンラインセミナー資料料の配置場所 AWS クラウドサービス活 用資料料集 http://aws.amazon.com/jp/aws- jp- introduction/ 68 AWS Solutions Architect ブログ 最新の情報 セミナー中の Q&A 等が掲載されています http://aws.typepad.com/sajp/

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_ jp 検索索 もしくは http://on.fb.me/1vr8ywm 最新技術情報 イベント情報 お役 立立ち情報 お得なキャンペーン情報などを 日々更更新しています! 69

AWS の導 入 お問い合わせのご相談 AWS クラウド導 入に関するご質問 お 見見積り 資料料請求をご希望のお客様は 以下のリンクよりお気軽にご相談ください https://aws.amazon.com/jp/contact- us/aws- sales/ 70 AWS 問い合わせ で検索索してください

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック