翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチリージョンのプライマリキーを作成する
<a name="create-primary-keys"></a>

[マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)は、 AWS KMS コンソールまたは AWS KMS API を使用して作成できます。プライマリキーは、 がマルチリージョンキー AWS KMS をサポートしている任意の AWS リージョン で作成できます。

マルチリージョンのプライマリキーを作成するには、プリンシパルに、任意の KMS キーを作成するのと[同じアクセス許可](create-keys.md#create-key-permissions) (IAM ポリシーの [kms:CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) など) が必要です。プリンシパルには [iam:CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) 許可も必要です。[kms:MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type) 条件キーを使用して、マルチリージョンのプライマリキーを作成するアクセス許可を許可または拒否できます。

**注記**  
マルチリージョンのプライマリキーを作成するときは、キーの管理と使用のために選択する IAM ユーザーとロールを慎重に検討してください。IAM ポリシーでは、他の IAM ユーザーおよびロールに、KMS キーを管理するアクセス許可を付与できます。  
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

## AWS KMS コンソールの使用
<a name="create-primary-console"></a>

 AWS KMS コンソールでマルチリージョンのプライマリキーを作成するには、KMS キーの作成に使用するのと同じプロセスを使用します。[**Advanced options (アドバンストオプション)**] でマルチリージョンキーを選択します。詳細な手順については、「[KMS キーを作成する](create-keys.md)」を参照してください。

**重要**  
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。

1. **[Create key]** (キーの作成) を選択します。

1. [対称または非対称](symmetric-asymmetric.md)のキータイプを選択します。デフォルトは [Symmetric] (対称) キーです。

   マルチリージョンの対称キーと非対称キーを作成できます。これには、対称であるマルチリージョン HMAC KMS キーが含まれます。

1. キーの用途を選択します。デフォルトは **[Encrypt and decrypt]** (暗号化および復号化) です。

   ヘルプについては、「[KMS キーを作成する](create-keys.md)」、「[非対称 KMS キーを作成する](asymm-create-key.md)」、または「[HMAC KMS キーを作成する](hmac-create-key.md)」を参照してください。

1. **[詳細オプション]** を展開します。

1. **キーマテリアルオリジン**で、プライマリキーとレプリカキーが共有するキーマテリアルを で AWS KMS 生成するには、**KMS** を選択します。[キーマテリアルをプライマリキーとレプリカキーにインポートする](importing-keys-create-cmk.md)には、**[External (Import key material)]** (外部 (キーマテリアルのインポート) ) を選択します。

1. **[リージョナリティ]** 列で、**[マルチリージョンキー]** を選択します。

   KMS キーの作成後は、この設定を変更できません。

1. プライマリキーの[エイリアス](kms-alias.md)を入力します。

   エイリアスは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じエイリアスまたは異なるエイリアスを指定できます。 AWS KMS は、マルチリージョンキーのエイリアスを同期しません。
**注記**  
エイリアスを追加、削除、更新すると、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「[の ABAC AWS KMS](abac.md)」および「[エイリアスを使用して KMS キーへのアクセスを制御する](alias-authorization.md)」を参照してください。

1. (オプション) プライマリキーの説明を入力します。

   説明は、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じ説明または異なる説明を与えることができます。 AWS KMS は、マルチリージョンキーのキー説明を同期しません。

1. (オプション) タグキーとオプションのタグ値を入力します。プライマリキーに複数のタグを割り当てるには、[**Add tag**] (タグを追加する) を選択します。

   タグは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じタグまたは別のタグを割り当てることができます。 AWS KMS は、マルチリージョンキーのタグを同期しません。KMS キーのタグはいつでも変更できます。
**注記**  
KMS キーのタグ付けまたはタグ解除により、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「[の ABAC AWS KMS](abac.md)」および「[タグを使用して KMS キーへのアクセスを制御する](tag-authorization.md)」を参照してください。

1. プライマリキーを管理できる IAM ユーザーとロールを選択します。
**注意事項**  
このステップでは、[キーポリシー](key-policies.md)をプライマリキー用に作成するプロセスをスタートします。キーポリシーは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じキーポリシーまたは異なるキーポリシーを付与できます。 AWS KMS は、マルチリージョンキーのキーポリシーを同期しません。KMS キーのキーポリシーは、いつでも変更できます。
マルチリージョンのプライマリキーを作成するときは、コンソールで生成された[デフォルトのキーポリシー](key-policy-default.md)を使用することを検討してください。このポリシーを変更した場合、コンソールでは、レプリカキーの作成時にキー管理者とユーザーを選択するステップは提供されず、対応するポリシーステートメントも追加されません。そのため、これらを手動で追加する必要があります。
 AWS KMS コンソールは、ステートメント識別子 のキーポリシーにキー管理者を追加します`"Allow access for Key Administrators"`。このステートメント識別子を変更すると、コンソールでステートメントに加えた更新が表示される方法に影響する可能性があります。

1. (オプション) 選択した IAM ユーザーとロールがこの KMS キーを削除しないようにするには、ページの下部にある [**Key deletion**] (キーの削除) セクションで、[**Allow key administrators to delete this key**] (キー管理者にこのキーの削除を許可する) のチェックボックスをオフにします。

1. [**次へ**] を選択します。

1. [暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で KMS キーを使用できる IAM ユーザーとロールを選択します。
**注意事項**  
 AWS KMS コンソールは、ステートメント識別子 `"Allow use of the key"`および のキーポリシーにキーユーザーを追加します`"Allow attachment of persistent resources"`。これらのステートメント識別子を変更すると、コンソールでステートメントに加えた更新が表示される方法に影響する可能性があります。

1. (オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他のユーザーに許可できます。これを行うには、ページの下部にある **[他の AWS アカウントアカウント]** セクションで、**[別の AWS アカウントアカウントを追加する]** を選択し、外部アカウントの AWS アカウント ID 番号を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。
**注記**  
外部アカウントでプリンシパルが KMS キーを使用できるようにするには、外部アカウントの管理者が、これらのアクセス許可を付与する IAM ポリシーを作成する必要があります。詳細については、「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. キーのキーポリシーステートメントを確認します。キーポリシーに変更を加えるには、**[編集]** を選択します。

1. [**次へ**] を選択します。

1. 選択したキー設定を確認します。戻って、すべての設定を変更することもできます。

1. **[完了]** を選択して、マルチリージョンのプライマリキーを作成します。

## AWS KMS API の使用
<a name="create-primary-api"></a>

マルチリージョンのプライマリキーを作成するには、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用します。値が `True` の `MultiRegion` パラメータを使用します。

たとえば、次のコマンドは、発信者の AWS リージョン (us-east-1) にマルチリージョンのプライマリキーを作成します。キーポリシーを含む、他のすべてのプロパティはデフォルト値を受け入れます。マルチリージョンのプライマリキーのデフォルト値は、他のすべての KMS キーのデフォルト値と同じです ([デフォルトのキーポリシー](key-policy-default.md)を含む)。この手順は、対称暗号化キー、デフォルト KMS キーを作成します。

レスポンスには、`MultiRegion` 要素と典型的なサブ要素を持つ `MultiRegionConfiguration` 要素、およびレプリカキーを持たないマルチリージョンのプライマリキーの値が含まれます。マルチリージョンキーの[キー ID](concepts.md#key-id-key-id) は、必ず `mrk-` で始まります。

**重要**  
`Description` フィールドまたは `Tags` フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```