AWS KMS、AWS CloudHSM、AWS Secrets Managerは、それぞれ異なるセキュリティ要件とユースケースに対応する鍵・機密情報管理サービスです。

KMSは暗号化キーの管理に特化したマネージドサービスで、S3、EBS、RDSなどのAWSサービスと統合され、簡単に暗号化を実装できます。CloudHSMは専用ハードウェアセキュリティモジュールを提供し、FIPS 140-2 Level 3認証を受けた物理デバイスで鍵を管理します。Secrets Managerはアプリケーションの機密情報（パスワード、APIキーなど）を管理し、自動ローテーション機能を提供します。

資格試験では、セキュリティ要件とコンプライアンス要求に応じて適切なサービスを選択する能力が問われます。

AWS資格試験では、KMS、CloudHSM、Secrets Managerの選択において、セキュリティ要件とユースケースに基づいた適切な判断が求められます。

以下のフローチャートは、AWS資格試験で重要な判断基準を体系化したものです。各ステップで重要なキーワードを確認しながら、最適なサービスを選択できるようになります。

前セクションで学んだ判断基準を、AWS資格試験対策で確認してみましょう。ここでは、KMS、CloudHSM、Secrets Managerの使い分けが問われる代表的な問題パターンを3つのカテゴリに分けて解説します。

各問題では、要件分析から最適解の導出まで、AWS資格試験で重要な思考プロセスを体験できます。

AWS KMSは、AWSサービスと統合された暗号化キー管理に最適なフルマネージドサービスで、低コストで簡単に暗号化を実装できます。

AWS CloudHSMは、FIPS 140-2 Level 3認証が必要な場合や、鍵の完全な制御が必要な高セキュリティ要件に対応する専用HSMデバイスを提供します。

AWS Secrets Managerは、データベースパスワードやAPIキーなどの機密情報を管理し、自動ローテーション機能により運用負荷を軽減します。

資格試験での選択基準は、ユースケース（暗号化キー vs 機密情報）→コンプライアンス要件→鍵の制御レベル→自動ローテーション要件の順で判断することが重要です。