耐久性の保護

オフライン HSM の使用、エクスポートされたドメイントークンの複数の不揮発性ストレージ、および暗号化された KMS キーの冗長ストレージにより、サービスによって生成されたキーに対するサービスの耐久性が強化されます。オフライン HSM は、既存のドメインのメンバーです。オンラインではなく、通常のドメイン操作に参加している場合を除き、オフライン HSM は既存の HSM メンバーと同じドメイン状態で表示されます。

AWS でオンライン HSM またはプライマリストレージシステムに格納されている一連の KMS キーの損失が広範囲に発生する懸念を考慮して、耐久性の設計は、リージョン内のすべての KMS キーを保護することを目的としています。インポートされたキーマテリアルを含む AWS KMS keys は、他の KMS キーの耐久性保護の下には含まれていません。AWS KMS でリージョン全体の障害が発生した場合は、インポートされたキーマテリアルを KMS キーに再インポートする必要がある場合があります。

オフラインの HSM と、それらにアクセスするための認証情報は、複数の独立した地理的場所にある監視された安全室内の金庫に保存されます。各金庫からこれらのマテリアルを取得するには、AWS の 2 つの独立したチームから、少なくとも 1 人の AWS セキュリティオフィサーと 1 人の AWS KMS オペレーターが必要です。これらのマテリアルの使用には、内部ポリシーで定める定足数の AWS KMS オペレーターの立ち合いが必要です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

マルチリージョンキーのレプリケーションプロセス

リファレンス