翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
マルチリージョンのプライマリキーは、 AWS KMS コンソールで作成することも、 AWS KMS API を使用して作成することもできます。プライマリキーは、 がマルチリージョンキー AWS KMS をサポートしている任意の AWS リージョン で作成できます。
マルチリージョンのプライマリキーを作成するには、プリンシパルに、任意の KMS キーを作成するのと同じアクセス許可 (IAM ポリシーの kms:CreateKey など) が必要です。プリンシパルには iam:CreateServiceLinkedRole 許可も必要です。kms:MultiRegionKeyType 条件キーを使用して、マルチリージョンのプライマリキーを作成するアクセス許可を許可または拒否できます。
注記
マルチリージョンのプライマリキーを作成するときは、キーの管理と使用のために選択した IAM ユーザーとロールを慎重に検討してください。IAM ポリシーでは、他の IAM ユーザーおよびロールに、KMS キーを管理するアクセス許可を付与できます。
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。
AWS KMS コンソールでマルチリージョンのプライマリキーを作成するには、KMS キーの作成に使用するのと同じプロセスを使用します。[Advanced options (アドバンストオプション)] でマルチリージョンキーを選択します。詳細な手順については、「KMS キーを作成する」を参照してください。
重要
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/kms
で AWS Key Management Service (AWS KMS) コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
[Create key] (キーの作成) を選択します。
-
対称または非対称のキータイプを選択します。デフォルトは [Symmetric] (対称) キーです。
マルチリージョンの対称キーと非対称キーを作成できます。これには、対称であるマルチリージョン HMAC KMS キーが含まれます。
-
キーの用途を選択します。デフォルトは [Encrypt and decrypt] (暗号化および復号化) です。
ヘルプについては、「KMS キーを作成する」、「非対称 KMS キーを作成する」、または「HMAC KMS キーを作成する」を参照してください。
-
[詳細オプション] を展開します。
-
キーマテリアルのオリジンで、プライマリキーとレプリカキーが共有するキーマテリアルを で AWS KMS 生成するには、KMS を選択します。キーマテリアルをプライマリキーとレプリカキーにインポートするには、[External (Import key material)] (外部 (キーマテリアルのインポート) ) を選択します。
-
[リージョナリティ] 列で、[マルチリージョンキー] を選択します。
KMS キーの作成後は、この設定を変更できません。
-
プライマリキーのエイリアスを入力します。
エイリアスは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じエイリアスまたは異なるエイリアスを指定できます。 AWS KMS は、マルチリージョンキーのエイリアスを同期しません。
注記
エイリアスを追加、削除、更新すると、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「の ABAC AWS KMS」および「エイリアスを使用して KMS キーへのアクセスを制御する」を参照してください。
-
(オプション) プライマリキーの説明を入力します。
説明は、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じ説明または異なる説明を指定できます。 AWS KMS は、マルチリージョンキーのキーの説明を同期しません。
-
(オプション) タグキーとオプションのタグ値を入力します。プライマリキーに複数のタグを割り当てるには、[Add tag] (タグを追加する) を選択します。
タグは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じタグまたは別のタグを割り当てることができます。 AWS KMS は、マルチリージョンキーのタグを同期しません。KMS キーのタグはいつでも変更できます。
注記
KMS キーのタグ付けまたはタグ解除により、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「の ABAC AWS KMS」および「タグを使用して KMS キーへのアクセスを制御する」を参照してください。
-
プライマリキーを管理できる IAM ユーザーとロールを選択します。
メモ
-
このステップでは、キーポリシーをプライマリキー用に作成するプロセスをスタートします。キーポリシーは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じキーポリシーまたは異なるキーポリシーを付与できます。 AWS KMS は、マルチリージョンキーのキーポリシーを同期しません。KMS キーのキーポリシーは、いつでも変更できます。
-
マルチリージョンのプライマリキーを作成するときは、コンソールで生成されたデフォルトのキーポリシーを使用することを検討してください。このポリシーを変更した場合、コンソールには、レプリカキーの作成時にキー管理者とユーザーを選択する手順も、対応するポリシーステートメントも追加されません。そのため、これらを手動で追加する必要があります。
AWS KMS コンソールは、ステートメント識別子 の下のキーポリシーにキー管理者を追加します
"Allow access for Key Administrators"。このステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。
-
-
(オプション) 選択した IAM ユーザーとロールがこの KMS キーを削除しないようにするには、ページの下部にある [Key deletion] (キーの削除) セクションで、[Allow key administrators to delete this key] (キー管理者にこのキーの削除を許可する) のチェックボックスをオフにします。
-
[Next (次へ)] を選択します。
-
暗号化オペレーションで KMS キーを使用できる IAM ユーザーとロールを選択します。
メモ
AWS KMS コンソールは、ステートメント識別子
"Allow use of the key"および のキーポリシーにキーユーザーを追加します"Allow attachment of persistent resources"。これらのステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。 -
(オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他の に許可できます。これを行うには、ページの下部にある [Other AWS アカウント] セクションで、[Add another AWS アカウント] を選択し、外部アカウントの AWS アカウント ID 番号を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。
注記
外部アカウントでプリンシパルが KMS キーを使用できるようにするには、外部アカウントの管理者が、これらのアクセス許可を付与する IAM ポリシーを作成する必要があります。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。
-
[Next (次へ)] を選択します。
-
キーのキーポリシーステートメントを確認します。キーポリシーを変更するには、編集を選択します。
-
[Next (次へ)] を選択します。
-
選択したキー設定を確認します。戻って、すべての設定を変更することもできます。
-
完了 を選択して、マルチリージョンのプライマリキーを作成します。
マルチリージョンのプライマリキーを作成するには、CreateKey オペレーションを使用します。値が True の MultiRegion パラメータを使用します。
たとえば、次のコマンドは、呼び出し元の AWS リージョン (us-east-1) にマルチリージョンのプライマリキーを作成します。キーポリシーを含む、他のすべてのプロパティはデフォルト値を受け入れます。マルチリージョンのプライマリキーのデフォルト値は、他のすべての KMS キーのデフォルト値と同じです (デフォルトのキーポリシーを含む)。この手順は、対称暗号化キー、デフォルト KMS キーを作成します。
レスポンスには、MultiRegion 要素と典型的なサブ要素を持つ MultiRegionConfiguration 要素、およびレプリカキーを持たないマルチリージョンのプライマリキーの値が含まれます。マルチリージョンキーのキー ID は、必ず mrk- で始まります。
重要
Description フィールドまたは Tags フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
$ {
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1606329032.475,
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [ ]
}
}
}