マルチリージョンのプライマリキーを作成する
マルチリージョンのプライマリキーは、AWS KMS コンソールで、または AWS KMS API を使用して作成できます。プライマリキーは、AWS KMS がマルチリージョンキーをサポートする任意の AWS リージョン で作成できます。
マルチリージョンのプライマリキーを作成するには、プリンシパルに、任意の KMS キーを作成するのと同じアクセス許可 (IAM ポリシーの kms:CreateKey など) が必要です。プリンシパルには iam:CreateServiceLinkedRole 許可も必要です。kms:MultiRegionKeyType 条件キーを使用して、マルチリージョンのプライマリキーを作成するアクセス許可を許可または拒否できます。
マルチリージョンのプライマリキーを AWS KMS コンソールで作成するには、KMS キーを作成するのと同じプロセスを使用します。[Advanced options (アドバンストオプション)] でマルチリージョンキーを選択します。詳細な手順については、「KMS キーを作成する」を参照してください。
重要
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
-
AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms
) を開きます。 -
AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
[Create key] (キーの作成) を選択します。
-
対称または非対称のキータイプを選択します。デフォルトは [Symmetric] (対称) キーです。
マルチリージョンの対称キーと非対称キーを作成できます。これには、対称であるマルチリージョン HMAC KMS キーが含まれます。
-
キーの用途を選択します。デフォルトは [Encrypt and decrypt] (暗号化および復号化) です。
ヘルプについては、「KMS キーを作成する」、「非対称 KMS キーを作成する」、または「HMAC KMS キーを作成する」を参照してください。
-
[詳細オプション] を展開します。
-
[Key material origin] (キーマテリアルのオリジン) で、プライマリキーとレプリカキーが共有するキーマテリアルを AWS KMS に生成させるには、[KMS] を選択します。キーマテリアルをプライマリキーとレプリカキーにインポートするには、[External (Import key material)] (外部 (キーマテリアルのインポート) ) を選択します。
-
[リージョナリティ] 列で、[マルチリージョンキー] を選択します。
KMS キーの作成後は、この設定を変更できません。
-
プライマリキーのエイリアスを入力します。
エイリアスは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じエイリアスまたは別のエイリアスを割り当てることができます。AWS KMS は、マルチリージョンキーのエイリアスを同期しません。
注記
エイリアスを追加、削除、更新すると、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「AWS KMS の ABAC」および「エイリアスを使用して KMS キーへのアクセスを制御する」を参照してください。
-
(オプション) プライマリキーの説明を入力します。
説明は、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じ説明または別の説明を割り当てることができます。AWS KMS は、マルチリージョンキーのキーの説明を同期しません。
-
(オプション) タグキーとオプションのタグ値を入力します。プライマリキーに複数のタグを割り当てるには、[Add tag] (タグを追加する) を選択します。
タグは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じタグまたは別のタグを割り当てることができます。AWS KMS は、マルチリージョンキーのタグを同期しません。KMS キーのタグはいつでも変更できます。
注記
KMS キーのタグ付けまたはタグ解除により、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「AWS KMS の ABAC」および「タグを使用して KMS キーへのアクセスを制御する」を参照してください。
-
プライマリキーを管理できる IAM ユーザーとロールを選択します。
注記
IAM ポリシーでは、他の IAM ユーザーおよびロールに、KMS キーを管理するアクセス許可を付与できます。
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。
このステップでは、キーポリシーをプライマリキー用に作成するプロセスをスタートします。キーポリシーは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じキーポリシーまたは別キーポリシーを割り当てることができます。AWS KMS は、マルチリージョンキーのキーポリシーを同期しません。KMS キーのキーポリシーは、いつでも変更できます。
-
キーユーザーの選択など、キーポリシーを作成するステップを完了します。キーポリシーを確認したら、[Finish] (完了) を選択して KMS キーを作成します。
マルチリージョンのプライマリキーを作成するには、CreateKey オペレーションを使用します。値が True の MultiRegion パラメータを使用します。
例えば、次のコマンドでは、発信者の AWS リージョン (us-east-1) でマルチリージョンのプライマリキーを作成します。キーポリシーを含む、他のすべてのプロパティはデフォルト値を受け入れます。マルチリージョンのプライマリキーのデフォルト値は、他のすべての KMS キーのデフォルト値と同じです (デフォルトのキーポリシーを含む)。この手順は、対称暗号化キー、デフォルト KMS キーを作成します。
レスポンスには、MultiRegion 要素と典型的なサブ要素を持つ MultiRegionConfiguration 要素、およびレプリカキーを持たないマルチリージョンのプライマリキーの値が含まれます。マルチリージョンキーのキー ID は、必ず mrk- で始まります。
重要
Description フィールドまたは Tags フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
aws kms create-key --multi-region${ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }
