マルチリージョンのキーを管理する - AWS Key Management Service

マルチリージョンのキーを管理する

ほとんどのアクションでは、単一リージョンキーを使用および管理するのと同じ方法で、マルチリージョンキーを管理します。キーを有効または無効にしたり、エイリアス、キーポリシー、権限、タグを設定したり、更新したりできます。ただし、マルチリージョンキーの管理は、次の点で異なります。

  • プライマリリージョンを更新できます。これにより、レプリカキーの 1 つがプライマリキーに変更され、現在のプライマリキーがレプリカに変更されます。

  • 自動キーローテーションはプライマリキーでのみ管理します。

  • 関連する任意のプライマリキーまたはレプリカキーから非対称マルチリージョンキーの公開キーを取得できます。

KMS キーの作成時に設定するマルチリージョンのプロパティはイミュータブルです。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。

プライマリリージョンを更新する

関連するマルチリージョンのキーのセットはすべて、プライマリキーを持つ必要があります。ただし、プライマリキーは変更できます。このアクションは、プライマリリージョンの更新と呼ばれ、現在のプライマリキーをレプリカキーに変換し、関連するレプリカキーの 1 つをプライマリキーに変換します。これは、レプリカキーを維持しながら現在のプライマリキーを削除する必要がある場合、またはキー管理者と同じリージョンでプライマリキーを検索する必要がある場合に実行できます。

関連する任意のレプリカキーを選択して、新しいプライマリキーにすることができます。オペレーションのスタート時に、プライマリキーとレプリカキーの両方が Enabled キーステータスである必要があります。

このオペレーション完了後も、プライマリリージョンの更新プロセスは、さらに数秒間進行中である可能性があります。この間、新旧プライマリキーのキーステータスは、一時的に更新中となります。キーステータスが Updating の間も暗号化オペレーションでキーを使用できますが、新しいプライマリキーをレプリケートしたり、これらのキーを有効または無効にするなどの、特定の管理オペレーションを実行することはできません。DescribeKey などのオペレーションは、新旧のプライマリキー両方をレプリカとして表示することがあります。更新が完了すると、Enabled キーステータスは復元されます。

米国東部 (バージニア北部) (us-east-1) にプライマリキーがあり、欧州 (アイルランド) (eu-west-1) にレプリカキーがあるとします。更新機能を使用して、米国東部 (バージニア北部) (us-east-1) のプライマリキーをレプリカキーに変更し、欧州 (アイルランド) (eu-west-1) のレプリカキーをプライマリキーに変更できます。


                プライマリキーを更新する

更新プロセスが完了すると、欧州 (アイルランド) (eu-west-1) リージョンのマルチリージョンキーがマルチリージョンのプライマリキーになり、米国東部 (バージニア北部) (us-east-1) リージョンのキーがそのレプリカキーになります。関連するレプリカキーが他に存在する場合、それらは新しいプライマリキーのレプリカになります。次回、AWS KMS はマルチリージョンキーの共有プロパティを同期し、共有プロパティを新しいプライマリキーからコピーして、それらを以前のプライマリキーを含むレプリカキーにコピーします。

更新オペレーションは、任意のマルチリージョンキーのキー ARN には影響を及ぼしません。また、キーマテリアルなどの共有プロパティや、キーポリシーなどの独立したプロパティにも影響を及ぼしません。ただし、新しいプライマリキーのキーポリシーの更新が必要になります。例えば、信頼できるプリンシパルの kms:ReplicateKey アクセス許可を新しいプライマリキーに追加し、新しいレプリカキーから削除します。

Updating キーステータス

プライマリリージョンの更新プロセスには、多くの AWS KMS オペレーションに影響を及ぼす結果整合性の短い遅延よりも、若干長い時間がかかります。UpdatePrimaryRegion オペレーションが復帰した後、またはコンソールで更新手順が完了した後も、プロセスがまだ進行中である可能性があります。DescribeKey などのオペレーションは、プロセスが完了するまで、新旧のプライマリキー両方をレプリカとして表示することがあります。

プライマリリージョンの更新プロセス中、新旧のプライマリキーは、Updating キーステータスとなります。更新プロセスが正常に完了すると、両方のキーは Enabled キーステータスに戻ります。Updating ステータスの間、キーの有効化や無効化などの、一部の管理オペレーションは使用できません。ただし、暗号化オペレーションでは、両方のキーを中断なしで使用し続けることができます。Updating キーステータスの影響の詳細については、AWS KMS キーのキーステータス を参照してください。

プライマリリージョンを更新する (コンソール)

プライマリキーは AWS KMS コンソールで更新できます。現在のプライマリキーのキーの詳細ページをスタートします。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

  4. マルチリージョンのプライマリキーのキー ID またはエイリアスを選択します。これにより、プライマリキーのキーの詳細ページが開きます。

    マルチリージョンのプライマリキーを識別するには、右上隅にあるツールアイコンを使用して [Regionality] (リージョナリティー) 列をテーブルに追加します。

  5. [Regionality] (リージョナリティー) タブを選択します。

  6. [Primary key (プライマリキー)] セクションで、[Change primary Region (プライマリリージョンの変更)] を選択します

  7. 新しいプライマリキーのリージョンを選択します。メニューから選択できるリージョンは 1 つだけです。

    [Change primary Region (プライマリリージョンの変更)] メニューには、関連するマルチリージョンキーを持つリージョンのみが含まれます。メニュー上のすべてのリージョンに対するプライマリリージョンを更新するアクセス許可は持っていない可能性があります。

  8. [Change primary Region (プライマリリージョンの変更)] を選択します。

プライマリリージョンを更新する (AWS KMS API)

関連するマルチリージョンキーのセットでプライマリキーを変更するには、UpdatePrimaryRegion オペレーションを使用します。

KeyId パラメータを使用して、現在のプライマリキーを識別します。PrimaryRegion パラメータを使用して、新しいプライマリキーの AWS リージョン を表示します。プライマリキーに新しいプライマリリージョンのレプリカがまだない場合、オペレーションは失敗します。

次の例では、プライマリキーを us-west-2 リージョンのマルチリージョンキーから eu-west-1 リージョンのレプリカに変更します。KeyId パラメータは、現在のプライマリキーを us-west-2 リージョンで識別します。PrimaryRegion パラメータは、新しいプライマリキー、eu-west-1 の AWS リージョン を指定します。

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

成功すると、このオペレーションは出力を返さず、HTTP ステータスコードのみを返します。効果を確認するには、DescribeKey オペレーションをマルチリージョンキーのいずれかで呼び出します。キーステータスが Enabled に戻るまで待機する必要がある場合があります。キーステータスが更新中の間は、キー値がまだ流動的である可能性があります。

例えば、次の DescribeKey 呼び出しにより、eu-west-1 リージョンでマルチリージョンキーの詳細を取得します。出力は、eu-west-1 リージョンのマルチリージョンキーが現在、プライマリキーであることを示します。関連する us-west-2 リージョンのマルチリージョンキー (同じキー ID) は現在、レプリカキーです。

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

マルチリージョンキーをローテーションする

マルチリージョンキーでキーマテリアルの自動ローテーションを、有効または無効にすることができます 自動キーローテーションは、マルチリージョンキーの共有プロパティです。

自動キーローテーションはプライマリキーでのみ、有効または無効にできます。

  • AWS KMS がマルチリージョンキーを同期すると、キーローテーションプロパティの設定がプライマリキーから関連するすべてのレプリカキーにコピーされます。

  • AWS KMS がキーマテリアルをローテーションすると、プライマリキーの新しいキーマテリアルが作成され、リージョンの境界を越えて、新しいキーマテリアルが関連するすべてのレプリカキーにコピーされます。キーマテリアルが暗号化されないまま AWS KMS から出ていくことはありません。このステップは、暗号化オペレーションでキーが使用される前にキーマテリアルが完全に同期されるよう、慎重に制御されます。

  • AWS KMS では、プライマリキーとそのすべてのレプリカキーでキーマテリアルが使用可能になるまで、新しいキーマテリアルでデータを暗号化しません。

  • ローテーションされたプライマリキーをレプリケートすると、新しいレプリカキーに、現在のキーマテリアルと関連するマルチリージョンキーのキーマテリアルの以前のすべてのバージョンが含まれます。

このパターンにより、関連するマルチリージョンキーが完全に相互運用可能であることが保証されます。すべてのマルチリージョンキーは、キーが作成される前に暗号化テキストが暗号化されていても、関連するマルチリージョンキーによって暗号化された暗号化テキストを復号できます。

自動キーローテーションは、非対称 KMS キーまたはインポートされたキーマテリアルを持つ KMS キーではサポートされません。自動キーローテーションの詳細と、キーローテーションを有効または無効にする手順については、AWS KMS keys ローテーション を参照してください。

パブリックキーのダウンロード

マルチリージョンの作成時に、非対称 KMS キー、AWS KMS はプライマリキーの RSA または楕円曲線 (ECC) キーペアを作成します。次に、そのキーペアをプライマリキーのすべてのレプリカにコピーします。その結果、プライマリキーまたはそのいずれかのレプリカキーから公開キーをダウンロードできます。ユーザーは常に同じキーマテリアルを取得します。

AWS KMS の外部で公開キーをダウンロードして使用する方法については、パブリックキーのダウンロードに関する特別な考慮事項 を参照してください。手順については、パブリックキーのダウンロード を参照してください。