翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
マルチリージョンのキーを管理する
ほとんどのアクションでは、単一リージョンキーを使用および管理するのと同じ方法で、マルチリージョンキーを管理します。キーを有効または無効にしたり、エイリアス、キーポリシー、権限、タグを設定したり、更新したりできます。ただし、マルチリージョンキーの管理は、次の点で異なります。
-
プライマリリージョンを更新できます。これにより、レプリカキーの 1 つがプライマリキーに変更され、現在のプライマリキーがレプリカに変更されます。
-
自動キーローテーションはプライマリキーでのみ管理します。
-
関連する任意のプライマリキーまたはレプリカキーから非対称マルチリージョンキーの公開キーを取得できます。
KMS キーの作成時に設定するマルチリージョンのプロパティはイミュータブルです。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。
プライマリリージョンを更新する
関連するマルチリージョンのキーのセットはすべて、プライマリキーを持つ必要があります。ただし、プライマリキーは変更できます。このアクションは、プライマリリージョンの更新と呼ばれ、現在のプライマリキーをレプリカキーに変換し、関連するレプリカキーの 1 つをプライマリキーに変換します。これは、レプリカキーを維持しながら現在のプライマリキーを削除する必要がある場合、またはキー管理者と同じリージョンでプライマリキーを検索する必要がある場合に実行できます。
関連する任意のレプリカキーを選択して、新しいプライマリキーにすることができます。オペレーションのスタート時に、プライマリキーとレプリカキーの両方が Enabled キーステータスである必要があります。
このオペレーション完了後も、プライマリリージョンの更新プロセスは、さらに数秒間進行中である可能性があります。この間、新旧プライマリキーのキーステータスは、一時的に更新中となります。キーステータスが Updating の間も暗号化オペレーションでキーを使用できますが、新しいプライマリキーをレプリケートしたり、これらのキーを有効または無効にするなどの、特定の管理オペレーションを実行することはできません。などのオペレーションでは、古いプライマリキーと新しいプライマリキーの両方がレプリカとして表示DescribeKeyされる場合があります。更新が完了すると、Enabled キーステータスは復元されます。
米国東部 (バージニア北部) (us-east-1) にプライマリキーがあり、欧州 (アイルランド) (eu-west-1) にレプリカキーがあるとします。更新機能を使用して、米国東部 (バージニア北部) (us-east-1) のプライマリキーをレプリカキーに変更し、欧州 (アイルランド) (eu-west-1) のレプリカキーをプライマリキーに変更できます。
更新プロセスが完了すると、欧州 (アイルランド) (eu-west-1) リージョンのマルチリージョンキーがマルチリージョンのプライマリキーになり、米国東部 (バージニア北部) (us-east-1) リージョンのキーがそのレプリカキーになります。関連するレプリカキーが他に存在する場合、それらは新しいプライマリキーのレプリカになります。次回、AWS KMS はマルチリージョンキーの共有プロパティを同期し、共有プロパティを新しいプライマリキーからコピーして、それらを以前のプライマリキーを含むレプリカキーにコピーします。
更新オペレーションは、任意のマルチリージョンキーのキー ARN には影響を及ぼしません。また、キーマテリアルなどの共有プロパティや、キーポリシーなどの独立したプロパティにも影響を及ぼしません。ただし、新しいプライマリキーのキーポリシーの更新が必要になります。例えば、kms:ReplicateKey 信頼されたプリンシパルの アクセス許可を新しいプライマリキーに追加し、新しいレプリカキーから削除できます。
Updating キーステータス
プライマリリージョンの更新プロセスには、多くの AWS KMS オペレーションに影響を及ぼす結果整合性の短い遅延よりも、若干長い時間がかかります。UpdatePrimaryRegion オペレーションが復帰した後、またはコンソールで更新手順が完了した後も、プロセスがまだ進行中である可能性があります。などのオペレーションでは、プロセスが完了するまで、古いプライマリキーと新しいプライマリキーの両方がレプリカとして表示DescribeKeyされることがあります。
プライマリリージョンの更新プロセス中、新旧のプライマリキーは、Updating キーステータスとなります。更新プロセスが正常に完了すると、両方のキーは Enabled キーステータスに戻ります。Updating ステータスの間、キーの有効化や無効化などの、一部の管理オペレーションは使用できません。ただし、暗号化オペレーションでは、両方のキーを中断なしで使用し続けることができます。Updating キーステータスの影響の詳細については、AWS KMS キーのキーステータス を参照してください。
プライマリリージョンを更新する (コンソール)
プライマリキーは AWS KMS コンソールで更新できます。現在のプライマリキーのキーの詳細ページをスタートします。
-
AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms
) を開きます。 -
AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
マルチリージョンのプライマリキーのキー ID またはエイリアスを選択します。これにより、プライマリキーのキーの詳細ページが開きます。
マルチリージョンのプライマリキーを識別するには、右上隅にあるツールアイコンを使用して [Regionality] (リージョナリティー) 列をテーブルに追加します。
-
[Regionality] (リージョナリティー) タブを選択します。
-
[Primary key (プライマリキー)] セクションで、[Change primary Region (プライマリリージョンの変更)] を選択します
-
新しいプライマリキーのリージョンを選択します。メニューから選択できるリージョンは 1 つだけです。
[Change primary Region (プライマリリージョンの変更)] メニューには、関連するマルチリージョンキーを持つリージョンのみが含まれます。メニュー上のすべてのリージョンに対するプライマリリージョンを更新するアクセス許可は持っていない可能性があります。
-
[Change primary Region (プライマリリージョンの変更)] を選択します。
プライマリリージョンを更新する (AWS KMS API)
関連するマルチリージョンキーのセットのプライマリキーを変更するには、 UpdatePrimaryRegionオペレーションを使用します。
KeyId パラメータを使用して、現在のプライマリキーを識別します。PrimaryRegion パラメータを使用して、新しいプライマリキーの AWS リージョン を表示します。プライマリキーに新しいプライマリリージョンのレプリカがまだない場合、オペレーションは失敗します。
次の例では、プライマリキーを us-west-2 リージョンのマルチリージョンキーから eu-west-1 リージョンのレプリカに変更します。KeyId パラメータは、現在のプライマリキーを us-west-2 リージョンで識別します。PrimaryRegion パラメータは、新しいプライマリキー、eu-west-1 の AWS リージョン を指定します。
$aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1
成功すると、このオペレーションは出力を返さず、HTTP ステータスコードのみを返します。効果を確認するには、マルチリージョンキーのいずれかで DescribeKeyオペレーションを呼び出します。キーステータスが Enabled に戻るまで待機する必要がある場合があります。キーステータスが更新中の間は、キー値がまだ流動的である可能性があります。
例えば、次の DescribeKey 呼び出しにより、eu-west-1 リージョンでマルチリージョンキーの詳細を取得します。出力は、eu-west-1 リージョンのマルチリージョンキーが現在、プライマリキーであることを示します。関連する us-west-2 リージョンのマルチリージョンキー (同じキー ID) は現在、レプリカキーです。
$aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }
マルチリージョンキーをローテーションする
マルチリージョンキーでキーマテリアルの自動ローテーションを、有効または無効にすることができます 自動キーローテーションは、マルチリージョンキーの共有プロパティです。
自動キーローテーションはプライマリキーでのみ、有効または無効にできます。
-
AWS KMS がマルチリージョンキーを同期すると、キーローテーションプロパティの設定がプライマリキーから関連するすべてのレプリカキーにコピーされます。
-
AWS KMS がキーマテリアルをローテーションすると、プライマリキーの新しいキーマテリアルが作成され、リージョンの境界を越えて、新しいキーマテリアルが関連するすべてのレプリカキーにコピーされます。キーマテリアルが暗号化されないまま AWS KMS から出ていくことはありません。このステップは、暗号化オペレーションでキーが使用される前にキーマテリアルが完全に同期されるよう、慎重に制御されます。
-
AWS KMS では、プライマリキーとそのすべてのレプリカキーでキーマテリアルが使用可能になるまで、新しいキーマテリアルでデータを暗号化しません。
-
ローテーションされたプライマリキーをレプリケートすると、新しいレプリカキーに、現在のキーマテリアルと関連するマルチリージョンキーのキーマテリアルの以前のすべてのバージョンが含まれます。
このパターンにより、関連するマルチリージョンキーが完全に相互運用可能であることが保証されます。すべてのマルチリージョンキーは、キーが作成される前に暗号化テキストが暗号化されていても、関連するマルチリージョンキーによって暗号化された暗号化テキストを復号できます。
自動キーローテーションは、非対称 KMS キーまたはインポートされたキーマテリアルを持つ KMS キーではサポートされません。自動キーローテーションの詳細と、キーローテーションを有効または無効にする手順については、AWS KMS keys ローテーション を参照してください。
パブリックキーのダウンロード
マルチリージョンの作成時に、非対称 KMS キー、AWS KMS はプライマリキーの RSA または楕円曲線 (ECC) キーペアを作成します。次に、そのキーペアをプライマリキーのすべてのレプリカにコピーします。その結果、プライマリキーまたはそのいずれかのレプリカキーから公開キーをダウンロードできます。ユーザーは常に同じキーマテリアルを取得します。
AWS KMS の外部で公開キーをダウンロードして使用する方法については、パブリックキーのダウンロードに関する特別な考慮事項 を参照してください。手順については、「パブリックキーのダウンロード」を参照してください。
