Upgrade to Pro — share decks privately, control downloads, hide ads and more …

機密情報をKMS+RDS,S3とParameter Storeを使って保存した話

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for MATSUURA, yosuke MATSUURA, yosuke
February 02, 2020
Technology
3.4k
0

機密情報をKMS+RDS,S3とParameter Storeを使って保存した話

機密性が高い情報をAWSに保存するために、KMSを活用してRDS, S3, Parameter Storeに保存したという話

Avatar for MATSUURA, yosuke

MATSUURA, yosuke

February 02, 2020

More Decks by MATSUURA, yosuke

See All by MATSUURA, yosuke
CircleCIとSchemaSpyを使ったMySQLドキュメントの自動生成
Avatar for MATSUURA, yosuke bateleurx
1
960
WebRTC配信システムをAWSからオンプレミスに切り替えている話
Avatar for MATSUURA, yosuke bateleurx
14
13k
AWS Keymanagement Serviceを知ろう
Avatar for MATSUURA, yosuke bateleurx
0
710
VAddy導入案内
Avatar for MATSUURA, yosuke bateleurx
0
300
0から始まるかもしれない固定長整数をINT型に入れたい
Avatar for MATSUURA, yosuke bateleurx
0
2k

Other Decks in Technology

See All in Technology
Microsoft 365 / Microsoft 365 Copilot : 自分の状態を確認する「ラベル」について
Avatar for Taichi Nakamura taichinakamura
0
430
MySQL 9.7がやってきた ~これまでのあらすじと基本情報~ @ 日本MySQLユーザ会会2026年04月 / mysql97-yattekita
Avatar for sakaik sakaik
0
160
生成AIが変える SaaS の競争原理と弁護士ドットコムのプロダクト戦略
Avatar for 弁護士ドットコム bengo4com
1
3.2k
Google Cloud Next '26 の裏でこっそりリリースされたCloud Number Registry & Cloud Hub コスト分析 を試してみた
Avatar for hikaru hikaru1001
0
140
需要創出(Chatwork)×供給(BPaaS) フライホイールとMoat 実行能力の最適配置とAI戦略
Avatar for kubell kubell_hr
0
1.7k
要件定義の精度を高めるための型と生成AIの活用 / Using Types and Generative AI to Improve the Accuracy of Requirements Definition
Avatar for haru860 haru860
0
270
大学職員のための生成AI最前線 :最前線を、AIガバナンスとして読み直すためのTips
Avatar for gmoriki | 森木銀河 gmoriki
0
2.7k
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
Avatar for oracle4engineer oracle4engineer
PRO
2
7.9k
Angular Architecture Revisited Modernizing Angular Architectural Patterns
Avatar for Rainer Hahnekamp rainerhahnekamp
0
120
VespaのParent Childを用いたフィードパフォーマンスの改善
Avatar for 小野崇之 taking
0
180
音声言語モデル手法に関する発表の紹介
Avatar for Kazuki Inamura kzinmr
0
150
Cortex Codeのコスト見積ヒントご紹介
Avatar for Yosuke Katsuki yokatsuki
0
130

Featured

See All Featured
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3.4k
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
6
610
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
410
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
210
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
49
9.9k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8.1k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
780
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
940
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
77
5.3k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k

Transcript

  1. 機密情報を と を 使って保存した話 京王線 勉強会

  2. 自己紹介 • 蟒蛇 • 名前 松浦 庸介 • • 所属

    株式会社  • 表紙のキャラクターは弊社サービス のマスコット「てんちょ」で す •

  3. なのでいきなりオチから • は 内で暗号鍵を統一的に取り扱うための機能 • 機密情報を種類別にそれぞれ以下の方法で保存している • クレデンシャル ( の透過的暗

    号化) • 個人情報(テキスト) (自前で暗号化) • 個人情報( ) (自前で暗号化)  アンチパターンによれば、 型で に入れた方がよかったらし い・・・ • を呼び出すときの キーは、 でもよいが が便利

  4. と の関係 • はその名の通りパラメーターを保 存する  の は で透過的に暗号化される 

    は とほぼ同じサービス • は暗号鍵を管理するサービス  暗号化は自分でやるか などマネージドサービスで行う  経由で鍵を生成、取得できる  この表現は厳密ではないので、参考資料を読んでください

  5. 機密性が高い情報を格納したい • 「機密性が高い情報」といっても タイプある  設定情報  たとえば、各種 のクレデンシャルや のパスワード

     ユーザー入力情報  たとえば、クレジットカード番号などテキスト  免許証の画像など • 設定情報は • ユーザー入力情報のうち、テキストは も使えるが、 バックアップを考えると のほうがよかった • は暗号化して か

  6. 鍵を取得するための キーは • の鍵は で生成・取得する • を利用するための キーの管理はどうすれば • に入れてもよいが、

    のほうがお すすめ  キーで認証するのではなく、インスタンスメタデータから一時的な認証情 報を生成する • に限らず、 などでも キーより が おすすめ  キーの管理は辛いですよね

  7. 参考資料 • はだいたいこのあたりを見ればわかります • 開発者ガイド  • シリーズ  •

    再入門 編 

  8. 発表後に聞かれた質問について

  9. を に保存するのが推奨され ない理由は • 操作の原子性を保証するため • 確かに は に保存した方がストレージコストが安く、削除した容 量が課金されないためコストメリットがあります。

    • 一方で と違って の書き込みと の書き込みのどちらかが失敗 したときのエラー処理が必要になります。 で トランザクションで 処理した場合はこの心配がいりません。 • コストと開発効率を天秤にかけてどちらかを選べばよいかと思います。

  10. のデータはすべて暗号化して いる • カラムを暗号化しているのは一部のデータだけですが、 クラス ター全体に透過的暗号化を行っています • 暗号化したカラムは検索などもできないので、重要なデータが入ってい るカラムだけ暗号化して、他は検索できるように平文カラムになってい ます。

    • クラスターや ボリュームの透過的暗号化はあまり意味がない気 もしているのですが、運用コストはほとんど変わらないので有効化して います。もしかしたら、対外的にアピールできる日が来るのかもしれま せん・・・