製品ガイドはdocs.box.comに移動しました。詳細についてはこちらをご覧ください。

Box Status
印刷

KeySafeのキーレス認証

authentication , KeySafe , keyless auth

現在、Boxの暗号化サービスをクラウドKMSに接続する場合、デフォルトの認証方法としてKeySafeのキーレス認証が使用されます。 キーレス認証では、Boxが有効期限の短い資格情報とクラウドネイティブなIDを使用してお客様のカスタマーマスターキー (CMK) に接続するため、有効期限の長いAWSアクセスキーやシークレットを保存する必要がありません。

この記事では、キーレス認証の仕組み、従来の認証方法との比較、アップグレードによる企業への影響について説明します。

  • KeySafeのドキュメントにおける「認証」とは、Boxが暗号化および復号化の操作を実行する際に、KMSに対してBoxのIDを証明する方法を指します。 Boxのユーザーログイン、SSO、アプリケーションのセッションを指すものではありません。
  • この記事ではAWS KMSのキーレス認証について説明します。 GCP Cloud KMSのキーレス認証の利用状況に関する最新情報については、Box担当者までお問い合わせください。

キーレス認証とは

キーレス認証を利用すると、Boxは、お客様が発行した資格情報を使用することなく、お客様のKMSに対してBoxのIDを証明できます。

  1. お客様は、AWSネイティブの標準的で監査可能なメカニズムであるCMKキーポリシーでBoxのクラウドIDへのアクセスを許可します。
  2. Boxは、独自のクラウドワークロードIDを通じて取得した有効期限の短い資格情報を使用して、KMSから認証を受けます。 お客様が発行した資格情報は一切関与しません。
  3. お客様のKMSキーポリシーがアクセスを制御します。 KMSキーポリシーはいつでも、AWSで直接確認および変更できます。

Boxに保存されるのは、お客様の企業のキー識別子と構成メタデータのみです。 お客様のAWSシークレットがBoxに保存されることはありません。

暗号化アーキテクチャに変更はありません。異なるのは、Boxとお客様のKMS間の信頼メカニズムのみです。

  従来の認証 キーレス認証
Boxによる認証方法 有効期限の長い、お客様のAWS資格情報 (Boxに保存) 有効期限の短い資格情報を使用したBoxのクラウドID
提供する内容 IAMアクセスキー、ロールARN、または資格情報 Box IDへのアクセスを許可するCMKキーポリシー
Boxに保存される内容 お客様のAWSアクセスキーとシークレット、またはロールの詳細 キー識別子と構成メタデータのみ
資格情報のローテーション 定期的に実施が必要 - Boxの資格情報と連携 不要 - お客様の資格情報のローテーションは必要なし
取り消し方法 IAMユーザー/キーを削除してBoxと調整を行う KMSキーポリシーをAWSで直接編集する

従来の認証方法

従来、AWSのKeySafeでは、お客様が有効期限の長いAWS資格情報を共有するか、Boxとの間で有効なIAM信頼を確立する必要がありました。 使用される具体的なメカニズムにかかわらず、専用IAMユーザー、クロスアカウントロールの引き受け、キーポリシーと保存された資格情報チェーンといったいずれのアプローチでも、Boxは、手動でローテーションされるまで有効なままとなる、お客様の資格情報を保存する必要がありました。

これにより、運用上のオーバーヘッドが発生していました。資格情報をローテーションするにはお客様のチームとBoxの間で連携して手順を実行する必要があったほか、リージョンごとに個別の資格情報セットが増大するおそれがありました。そのうえ、アクセスを取り消すには二者間の調整が必要で、一方的なポリシー変更で済ますことはできませんでした。

キーレス認証のメリット

  • すべてのKMSアクセスは、他のKMSコンシューマと同様、監査サービスのAWS CloudTrailに記録されます。
  • ゼロトラストや有効期限の短い資格情報のベストプラクティスに準拠しています。
  • 監査の説明が容易になります。サードパーティの資格情報をローテーションしたり管理したりする必要はありません。
  • マルチリージョン展開では、リージョンごとに個別の資格情報セットを使用するのではなく、単一の信頼モデル (リージョンのCMKごとのキーポリシー) を使用します。
  • 日常的なセキュリティ業務におけるお客様のチームとBox間の連携ポイントを減らします。

マルチリージョンに関する考慮事項

マルチリージョンAWS KMSを使用している企業の場合、キーレス認証によってリージョンごとの資格情報管理が一貫したキーポリシーベースの信頼モデルに置き換えられることで、業務が簡素化されます。 各リージョンのCMKが、BoxのIDへのアクセスを許可するキーポリシーステートメントを受け取るため、各リージョンで個別の資格情報を管理する必要がなくなります。

キーレス認証へのアップグレード

従来の認証方法からキーレス認証へのアップグレードで変更されるのは、認証のみです。

  • CMKは変更されません。
  • 暗号化されたデータも変更されません。
  • 再暗号化 (キーの再生成) はデフォルトで必要ありません。 キーのローテーション (CMK自体の交換または移行) は認証方法から独立しており、このアップグレードの影響を受けません。

アップグレードには、BoxのIDを信頼するようにKMSキーポリシーを更新し、Box側で検証を完了する作業が含まれます。 このプロセスはサービスの中断を招くことがないように設計されています。 このアップグレードは、必ずBox Consultingとの契約を通じて実施する必要があります。Box Consultingがプロセスを管理し、新しい構成が機能することを確認したうえで変更を確定します。

アップグレードを確認した後、これまでBoxで使用されていた専用IAMユーザー、アクセスキー、またはロールを削除できます。 そのタイミングはBox Consultingの担当者と調整します。

重要: キーレス認証へのアップグレードなど、KeySafeの構成変更はセルフサービスではありません。 アップグレードを開始するには、Box担当者までお問い合わせください。

Boxのアクセス権限の取り消し

キーレス認証では、AWSでKMSキーポリシーを編集し、BoxのIDへのアクセスを許可する記述を削除することで、Boxのアクセス権限を取り消します。 削除後は以下のようになります。

  • お客様の企業のファイル操作 (アップロード、ダウンロード、プレビュー) はすべて失敗します。
  • コンテンツは削除されず、暗号化されたまま状態で保持されます。
  • アクセス権限は、BoxのIDをキーポリシーに再度追加することで復元できます。

関連情報

関連記事