翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーマテリアルをマルチリージョンキーにインポートする
独自のキーマテリアルをマルチリージョン KMS キーにインポートできます。独自のキーマテリアルを使用して作成するマルチリージョンキーは相互運用可能です。関連するマルチリージョンキーを使用してあるリージョンでデータを暗号化し、別のリージョンでデータを復号できます。
ただし、キーマテリアルを管理する必要があります。
-
AWS KMS は、キーマテリアルがインポートされたプライマリキーからそのレプリカキーに、キーマテリアルをコピーまたは同期しません。同じキーマテリアルを、関連するプライマリキーとレプリカキーにインポートする必要があります。
-
キーマテリアルをインポートするときに、各キーの有効期限モデルと有効期限を個別に設定します。関連するマルチリージョンキーに対して、同じ、または異なる有効期限モデルと有効期限を設定できます。キーマテリアルが有効期限に近づいた場合は、影響を受けるマルチリージョンキーにそのキーマテリアルを再インポートする必要があります。
関連するマルチリージョンキーのキーステータスは、お互いに独立しています。例えば、プライマリキーのキーマテリアルが有効期限切れになっても、そのレプリカキーは影響を受けません。
同じレプリカキーのリージョン要件が、インポートされたキーマテリアルを持つマルチリージョンキーに適用されます。同じキーマテリアルを単一リージョンキーまたは関連のないマルチリージョンキーにインポートした場合、これらの KMS キーは相互運用できません。
インポートされた対称キーマテリアル、非対称キーマテリアル、または HMAC キーマテリアルを含むマルチリージョンキーを作成できます。 AWS KMS は カスタムキーストアでインポートされたキー マテリアルをサポートしていません。キーマテリアルがインポートされた KMS キーの自動キーローテーションを有効にすることもできません。
マルチリージョンの機能を除いて、インポートされたキーマテリアルを持つマルチリージョンキーは、インポートされたキーマテリアルを持つ他の KMS キーと同じです。インポートされたキーマテリアルを持つ単一リージョンキーを作成し、設定する方法の詳細については、インポートしたキーマテリアルについて を参照してください。
インポートされたキーマテリアルを持つすべての KMS キーが相互運用できない理由
インポートされたキーマテリアルを持つ単一リージョン KMS キーは、同じキーマテリアルを持つ場合でも相互運用できません。AWS KMS が KMS キーを使用してデータを暗号化する際は、キーメタデータの一部を暗号化テキストに暗号でバインドします。これにより、暗号化テキストが保護され、データを暗号化した KMS キーのみがそのデータを復号できます。
マルチリージョンキーは相互運用できるように設計されています。キーマテリアルが同じであるだけでなく、キー ID と他のメタデータも同じです。したがって、それらが生成する暗号化テキストは、関連する任意のマルチリージョンキーで復号できます。結果として、マルチリージョンキーの信頼プロパティは、単一リージョンキーの信頼プロパティとは異なります。ただし、一部のお客様にとって、複数のリージョンで復号する利点は、単一 AWS リージョン の 1 つの KMS キーの暗号化テキストによるセキュリティバリューを上回ります。
キーマテリアルがインポートされたプライマリキーを作成する
キーマテリアルがインポートされたプライマリキーを作成するには、最初にキーマテリアルなしで KMS キーを作成します。キーマテリアルなしでプライマリキーを作成する場合は、インポートする予定のキーマテリアルのタイプを反映したキー仕様を指定する必要があります。次に、キーマテリアルをプライマリキーにインポートします。
キーマテリアルを持たないマルチリージョンのプライマリキーを作成する手順は、キーマテリアルを持たない単一リージョンキーを作成する手順とほぼ同じです。唯一の違いは、キーがマルチリージョンキーであることを指定することです。
インポートされたキーマテリアルを使用してマルチリージョンのプライマリキーを作成するアクセス許可は、IAM ポリシーの kms:CreateKey および iam:CreateServiceLinkedRole アクセス許可など、AWS KMSキーマテリアルを使用してマルチリージョンのプライマリキーを作成するために必要なアクセス許可と同じです。kms:MultiRegionKeyType および kms:KeyOrigin 条件キーを使用して、インポートされたキーマテリアルを持つマルチリージョンのプライマリキーを作成するアクセス許可を許可または拒否できます。
AWS KMS コンソールで、キーマテリアルがインポートされたプライマリキーを作成するには、[Advanced options] (アドバンストオプション) セクションの設定を使用します。KMS キー作成後にこれらのプロパティを変更することはできません。
-
キーマテリアルのオリジンを EXTERNAL (キーマテリアルのインポート) に設定します。
-
[Multi-Region replication (マルチリージョンレプリケーション)] を [Allow this key to be replicated into other Regions (このキーを他のリージョンにレプリケートすることを許可する)] に設定します。
CreateKey オペレーションを使用して、インポートされたキーマテリアルを持つプライマリキーを作成する場合は、 Origin
および MultiRegion
パラメータを使用し、 KeySpec
および を指定しますKeyUsage
。次の例では、ECC_NIST_P384
キーマテリアルをインポートできる EXTERNAL
KMS キーを作成します。
$
aws kms create-key --origin EXTERNAL --key-specECC_NIST_P384
--key-usageSIGN_VERIFY
--multi-region
結果として、キーマテリアルを持たない、キーステータスが PendingImport
のマルチリージョンのプライマリキーが作成されます。
この KMS キーを有効にするには、公開キーとインポートトークンをダウンロードし、公開キーを使用してキーマテリアルを暗号化してから、キーマテリアルをインポートする必要があります。手順については、「キーの AWS KMS キーマテリアルのインポート」を参照してください。
キーマテリアルがインポートされたレプリカキーを作成する
AWS KMS コンソールで、または AWS KMS API オペレーションを使用して、マルチリージョンのレプリカキーを作成できます。キーマテリアルがインポートされたマルチリージョンのプライマリキーをレプリケートするには、AWS KMS キーマテリアルを持つレプリカキーを作成するのと同じ手順を使用します。ただし、結果は異なります。レプリケーションプロセスは、プライマリキーと同じキーマテリアルを持つレプリカキーを返す代わりに、キーステータスが PendingImport
の、キーマテリアルを持たないレプリカキーを返します。 レプリカキーを有効にするには、プライマリキーにインポートしたのと同じキーマテリアルをレプリカキーにインポートする必要があります。
キーマテリアルはレプリケートされませんが、AWS KMS は、プライマリキーと同じキー ID、キー仕様、キーの用途、キーマテリアルのオリジンを持つレプリカキーを作成します。また、レプリカキーにインポートするキーマテリアルが、プライマリキーにインポートしたキーマテリアルと同一であることも保証されます。
キーマテリアルがインポートされたレプリカキーを作成するには
-
キーマテリアルがインポートされたマルチリージョンのプライマリキーを作成します。
-
以下のいずれかを行ってください。
AWS KMS コンソールで、キーマテリアルがインポートされたマルチリージョンのプライマリキーを選択します。次に、その [Regionality (リージョナリティー)] タブで、[Create new replica keys (新しいレプリカキーの作成)] を選択します。。手順については、「レプリカキーを作成する (コンソール)」を参照してください。
または、 ReplicateKeyオペレーションを使用します。
KeyId
パラメータに、キーマテリアルがインポートされたマルチリージョンのプライマリキーのキー ID またはキー ARN を入力します。手順については、「レプリカキーを作成する (AWS KMS API)」を参照してください。 -
新しいレプリカキーごとに、公開キーとインポートトークンをダウンロードするステップを実行します。公開キーを使用してプライマリキーのキーマテリアルを暗号化し、プライマリキーのキーマテリアルをレプリカキーにインポートします。レプリカキーごとに、異なる公開キーとインポートトークンが必要です。
レプリカキーにインポートしようとするキーマテリアルがプライマリキーと異なる場合、オペレーションは失敗します。AWS KMS では、有効期限モデルと有効期限の連携は不要ですが、マルチリージョンキーのビジネスルールを確立する必要があります。手順については、「キーの AWS KMS キーマテリアルのインポート」を参照してください。
インポートされたキーマテリアルを持つキーをレプリケートする許可
キーマテリアルがインポートされたレプリカキーを作成するには、次のアクセス許可が必要です。
プライマリキーリージョンで:
-
kms:ReplicateKey プライマリキー (プライマリキーのリージョン内)。プライマリキーのキーポリシーまたは IAM ポリシーにこのアクセス許可を含めます。
レプリカキーリージョンで:
-
kms:CreateKey IAM ポリシーの 。
-
kms:GetParametersForImport レプリカキーのキーポリシーまたは IAM ポリシーにこのアクセス許可を含めることができます。
-
kms:ImportKeyMaterial レプリカキーのキーポリシーまたは IAM ポリシーにこのアクセス許可を含めることができます。
-
kms:TagResource レプリケート時にタグを割り当てるには が必要です。レプリカリージョンの IAM ポリシーにこのアクセス許可を含めます。
-
kms:CreateAlias AWS KMSコンソールでキーをレプリケートするには が必要です。詳細については、「エイリアスへのアクセスの制御」を参照してください。