のマルチリージョンキー AWS KMS - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のマルチリージョンキー AWS KMS

AWS KMS はマルチリージョンキー をサポートします。マルチリージョンキー は、複数のリージョン AWS KMS keys で同じキーを持っていたかのように AWS リージョン 、同じ意味で使用できる異なるキーです。関連するマルチリージョンキーの各セットには同じキーマテリアルとキー ID があるため、データを 1 つの で暗号化 AWS リージョン し、別の で復号できます。ただし、再暗号化や へのクロスリージョン呼び出しは AWS リージョン 行いません AWS KMS。

すべてのKMSキーと同様に、マルチリージョンキーは暗号化 AWS KMS されていないままになることはありません。暗号化または署名用の対称または非対称のマルチリージョンキーの作成、HMACタグを生成および検証するためのHMACマルチリージョンキーの作成、および が生成する AWS KMS インポートされたキーマテリアルまたはキーマテリアルを使用したマルチリージョンキーの作成を行うことができます。エイリアスおよびタグの作成、キーポリシーとグラントの設定、有効化/無効化の選択など、各マルチリージョンキーを個別に管理する必要があります。単一リージョンキーで実行できるすべての暗号化オペレーションで、マルチリージョンキーを使用できます。

マルチリージョンキーは、多くの一般的なデータセキュリティシナリオに対応する、柔軟で強力なソリューションです。

ディザスタリカバリ

バックアップおよびリカバリアーキテクチャでは、マルチリージョンキーを使用すると、 AWS リージョン 停止が発生した場合でも、暗号化されたデータを中断することなく処理できます。バックアップリージョンで保持されるデータはバックアップリージョンで復号し、バックアップリージョンで新たに暗号化されたデータは、そのリージョンの復元時にプライマリリージョンで復号することができます。

グローバルなデータ管理

グローバルに展開されるビジネスには、グローバルに配信され、 AWS リージョン全体で一貫して利用可能なデータが必要です。データが存在するすべてのリージョンでマルチリージョンキーを作成し、クロスリージョン呼び出しのレイテンシーや、各リージョンで異なるキーのデータの再暗号化に掛かるコストなしで、単一リージョンキーであるかのようにキーを使用できます。

配信署名アプリケーション

クロスリージョン署名機能を必要とするアプリケーションでは、マルチリージョンの非対称署名キーを使用して、異なる AWS リージョンで同一のデジタル署名を、一貫して繰り返し生成することができます。

単一のグローバルトラストストア (単一のルート認証局 (CA) と、ルート CA によってCAs署名されたリージョン中間で証明書チェーンを使用する場合、マルチリージョンキーは必要ありません。ただし、システムがアプリケーション署名CAsなどの中間 をサポートしていない場合は、マルチリージョンキーを使用してリージョン認証に一貫性を持たせることができます。

複数のリージョンにまたがるアクティブ-アクティブアプリケーション

一部のワークロードとアプリケーションは、アクティブ-アクティブアーキテクチャで複数のリージョンにまたがることができます。これらのアプリケーションでは、マルチリージョンキーを使用して、リージョンの境界を越えて移動する可能性のあるデータに対する暗号化と復号の同時オペレーションに同じキーマテリアルを提供し、複雑さを軽減できます。

マルチリージョンキーは、、AWS データベース暗号化 SDK AWS Encryption SDKAmazon S3 クライアント側の暗号化 などのクライアント側の暗号化ライブラリで使用できます。

保管時の暗号化またはデジタル署名のために AWS と統合される のサービスは AWS KMS、現在、マルチリージョンキーを単一リージョンキーであるかのように扱います。リージョン間で移動されたデータを再ラップまたは再暗号化する場合があります。例えば、Amazon S3 クロスリージョンレプリケーションは、マルチリージョンKMSキーで保護されたオブジェクトをレプリケートする場合でも、レプリケート先リージョンのキーでデータを復号および再暗号化します。

マルチリージョンキーはグローバルではありません。マルチリージョンのプライマリキーを作成し、そのキーを AWS パーティション内で選択するリージョンにレプリケートします。次に、各リージョンでマルチリージョンキーを個別に管理します。お客様に代わってマルチリージョンキーを作成またはレプリケート AWS AWS KMS することはありません。 AWS サービスがアカウントで作成するKMSキーAWS マネージドキーである は、常に単一リージョンキーです。

既存の単一リージョンキーをマルチリージョンキーに変換することはできません。この設計により、既存の単一リージョンキーで保護されているすべてのデータが、同じデータ常駐プロパティとデータ主権プロパティを維持できます。

ほとんどのデータセキュリティニーズでは、リージョンリソースのリージョン分離と耐障害性により、標準の AWS KMS 単一リージョンキーが最適なソリューションになります。ただし、複数のリージョンにまたがるクライアント側のアプリケーションでデータを暗号化または署名する必要がある場合は、マルチリージョンキーがソリューションとなることがあります。

リージョン

マルチリージョンキーは、中国 (北京) と中国 (寧夏) を除く AWS KMS がサポート AWS リージョン するすべての でサポートされています。

料金とクォータ

関連するマルチリージョンキーのセット内のすべてのキーは、料金とクォータの 1 つのKMSキーとしてカウントされます。AWS KMS クォータは、アカウントのリージョンごとに個別に計算されます。各リージョンのマルチリージョンキーの使用と管理は、そのリージョンのクォータでカウントされます。

サポートされているKMSキータイプ

次のタイプのマルチリージョンKMSキーを作成できます。

  • 対称暗号化KMSキー

  • 非対称KMSキー

  • HMAC KMS キー

  • KMS インポートされたキーマテリアルを持つキー

カスタムキーストアでマルチリージョンキーを作成することはできません。

詳細はこちら

用語と概念

マルチリージョンキーでは、次の条件と概念を使用します。

マルチリージョンキー

マルチリージョンキーは、異なる で同じKMSキー ID とキーマテリアル (およびその他の共有プロパティ) を持つキーのセットの 1 つです AWS リージョン。各マルチリージョンキーは、関連するマルチリージョンKMSキーとは完全に独立して使用できる完全に機能するキーです。関連するすべてのマルチリージョンキーは同じキー ID とキーマテリアルを持つため、相互運用可能です。つまり、任意の の関連するマルチリージョンキーは、他の関連するマルチリージョンキーによって暗号化された暗号文を復号 AWS リージョン できます。

KMS キーの作成時に、キーのマルチリージョンプロパティを設定します。既存のキーでマルチリージョンプロパティを変更することはできません。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。既存のワークロードをマルチリージョンシナリオに移動するには、データを再暗号化するか、新しいマルチリージョンキーを使用して新しい署名を作成する必要があります。

マルチリージョンキーは対称または非対称にすることができ、 AWS KMS キーマテリアルまたはインポートされたキーマテリアル を使用できます。カスタムキーストアでマルチリージョンキーを作成することはできません。

関連するマルチリージョンキーのセットには、常に 1 つだけプライマリキーがあります。他の AWS リージョンで、そのプライマリキーのレプリカキーを作成できます。プライマリリージョンを更新すると、プライマリキーがレプリカキーに変更され、指定されたレプリカキーがプライマリキーに変更されます。ただし、各 に保持できるプライマリキーまたはレプリカキーは 1 つだけです AWS リージョン。リージョンはすべて、同じ AWS パーティションである必要があります。

関連するマルチリージョンキーの複数のセットを、同じまたは異なる AWS リージョンで持つことができます。関連するマルチリージョンキーは相互運用可能ですが、関連しないマルチリージョンキーは相互運用できません。

プライマリキー

マルチリージョンプライマリキーは、同じパーティション AWS リージョン 内の他の にレプリケートできるKMSキーです。マルチリージョンキーの各セットには、プライマリキーが 1 つしかありません。

プライマリキーは、次の点でレプリカキーとは異なります。

プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。

プライマリキーをレプリケートする必要はありません。任意のKMSキーと同じように使用でき、便利な場合はレプリケートできます。ただし、マルチリージョンキーには単一リージョンキーとは異なるセキュリティプロパティがあるため、プライマリキーをコレプリケートする場合にのみ、マルチリージョンキーを作成することをお勧めします。

レプリカキー

マルチリージョンレプリカキーは、プライマリKMSキーおよび関連するレプリカキーと同じキー ID およびキーマテリアルを持つキーですが、別の に存在します AWS リージョン。 プライマリキー

レプリカキーは、KMSキーポリシー、許可、エイリアス、タグ、その他のプロパティを持つ完全に機能するキーです。レプリカキーは、プライマリキーまたは他のキーのコピーまたはポインタではありません。プライマリキーと関連するすべてのレプリカキーが無効になっている場合でも、レプリカキーを使用できます。また、レプリカキーをプライマリキーに変換し、プライマリキーをレプリカキーに変換することもできます。レプリカキーが作成されると、レプリカキーはそのプライマリキーにキーローテーションおよびプライマリリージョンの更新のみを依存します。

プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。プライマリキーまたはレプリカキーで暗号化されたデータは、同じキー、または関連する任意のプライマリキーまたはレプリカキーで復号できます。

レプリケーション

マルチリージョンのプライマリキーを同じパーティション AWS リージョン 内の別の にレプリケートできます。これを行うと、 は、プライマリキーと同じキー ID と他の共有プロパティを使用して、指定されたリージョンにマルチリージョンレプリカキー AWS KMS を作成します。 キー ID 共有プロパティ次に、キーマテリアルをリージョンの境界を越えて安全に転送し、すべて AWS KMS内で、新しいレプリカキーに関連付けます。

共有プロパティ

共有プロパティは、レプリカキーと共有されるマルチリージョンプライマリキーのプロパティです。 は、プライマリキーと同じ共有プロパティ値を持つレプリカキー AWS KMS を作成します。次に、プライマリキーの共有プロパティ値をレプリカキーに定期的に同期します。レプリカキーでは、これらのプロパティを設定できません。

以下は、マルチリージョンキーの共有プロパティです。

関連するマルチリージョンキーのプライマリおよびレプリカの指定は、共有プロパティと考えることもできます。新しいレプリカキーを作成する、プライマリキー を更新すると、 は関連するすべてのマルチリージョンキーに変更を AWS KMS 同期します。これらの変更が完了すると、関連するすべてのマルチリージョンキーが、プライマリキーとレプリカキーを正確に一覧表示します。

マルチリージョンキーのその他のプロパティはすべて、独立したプロパティです (説明、キーポリシーグラント有効および無効キーステータスエイリアスタグを含む)。関連するすべてのマルチリージョンキーでこれらのプロパティに同じ値を設定できますが、独立したプロパティの値を変更すると、 AWS KMS は同期しません。

マルチリージョンキーの共有プロパティの同期を追跡できます。 AWS CloudTrail ログで、SynchronizeMultiRegionKeyイベントを探します。