AWS KMSについて

連続でご回答いただき、ありがとうございます。 ケース想定ですが、例えば「ある物」を月に10000台製造し、それを動かすために作成する鍵が2種類あるとします。2種類とも、公開鍵、秘密鍵のペアキーと仮定します。公開鍵は別サーバに預け、秘密鍵はKMSに保存します。 保管期限は3年とします。 上記条件で、「ある物」を1台毎に鍵を2種類作成しなければならないため、KMSに保存される鍵(秘密鍵)の量は月に20000個となります。年換算では24万個となります。 保管期限が3年のため、3年後、KMSに保管される鍵の量は72万個想定となります。 このようなケース想定を考えておりました。 コスト面は容認される想定です。 やはり、現実的ではない設計ですよね、、、。 いやぁ、設計難しいです。。。

それは公開鍵と秘密鍵のペア、といいつつ実質やってるのは共通鍵じゃないですか？ というか、KMSというサービスの使い方を誤解されているように感じます。 KMSを単に鍵の保管庫として使うつもりなのであれば、そういうサービスではないので別の場所に保管されることをおすすめします。 鍵があればいいのであれば、例えば適切にアクセス制御をしたS3バケットの上においておき、必要なタイミングで適切な権限を与えて使用できるようにする、など考えられますし、KMSに保存する意味が正直感じられないです。 そもそもなぜKMSを使いたいのでしょうか？ CMKを使うにしても、KMSの役割は鍵を使った暗号化/復号がメインであり、単なる保管庫としては非常にコストパフォーマンスが悪いですし、KMSに秘密鍵が保存されている必要もパッと見てあまりないように感じられます。 ちなみにコスト面も、普通はおよそ容認されないです。 自分が書いたのは鍵を補完しておくのに必要な料金だけで、使用するなら他にも料金は発生します。 何となくですけど、やりたいことはデバイス認証に近いんじゃないでしょうか。 それならKMSに置く必要はなくてデバイス側が何らかの形で鍵を保持する必要があるかなと思うのですが…。 デバイスに鍵を置きたくないにしても秘密鍵をわざわざKMSに保管するのは違和感があります。 デバイス側で鍵を発行する前提で、KMSにはCA鍵を補完しておき使用する、というのなら個人的には違和感がないです。