翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のマルチリージョンキー AWS KMS
AWS KMS はマルチリージョンキー をサポートします。マルチリージョンキー は、複数のリージョン AWS KMS keys で同じキーを持っていたかのように AWS リージョン 、同じ意味で使用できる異なるキーです。関連するマルチリージョンキーの各セットには同じキーマテリアルとキー ID があるため、データを 1 つの で暗号化 AWS リージョン し、別の で復号できます。ただし、再暗号化や へのクロスリージョン呼び出しは AWS リージョン 行いません AWS KMS。
すべてのKMSキーと同様に、マルチリージョンキーは暗号化 AWS KMS されていないままになることはありません。暗号化または署名用の対称または非対称のマルチリージョンキーの作成、HMACタグを生成および検証するためのHMACマルチリージョンキーの作成、および が生成する AWS KMS インポートされたキーマテリアルまたはキーマテリアルを使用したマルチリージョンキーの作成を行うことができます。エイリアスおよびタグの作成、キーポリシーとグラントの設定、有効化/無効化の選択など、各マルチリージョンキーを個別に管理する必要があります。単一リージョンキーで実行できるすべての暗号化オペレーションで、マルチリージョンキーを使用できます。
マルチリージョンキーは、多くの一般的なデータセキュリティシナリオに対応する、柔軟で強力なソリューションです。
- ディザスタリカバリ
-
バックアップおよびリカバリアーキテクチャでは、マルチリージョンキーを使用すると、 AWS リージョン 停止が発生した場合でも、暗号化されたデータを中断することなく処理できます。バックアップリージョンで保持されるデータはバックアップリージョンで復号し、バックアップリージョンで新たに暗号化されたデータは、そのリージョンの復元時にプライマリリージョンで復号することができます。
- グローバルなデータ管理
-
グローバルに展開されるビジネスには、グローバルに配信され、 AWS リージョン全体で一貫して利用可能なデータが必要です。データが存在するすべてのリージョンでマルチリージョンキーを作成し、クロスリージョン呼び出しのレイテンシーや、各リージョンで異なるキーのデータの再暗号化に掛かるコストなしで、単一リージョンキーであるかのようにキーを使用できます。
- 配信署名アプリケーション
-
クロスリージョン署名機能を必要とするアプリケーションでは、マルチリージョンの非対称署名キーを使用して、異なる AWS リージョンで同一のデジタル署名を、一貫して繰り返し生成することができます。
単一のグローバルトラストストア (単一のルート認証局 (CA) と、ルート CA によってCAs署名されたリージョン中間で証明書チェーンを使用する場合、マルチリージョンキーは必要ありません。ただし、システムがアプリケーション署名CAsなどの中間 をサポートしていない場合は、マルチリージョンキーを使用してリージョン認証に一貫性を持たせることができます。
- 複数のリージョンにまたがるアクティブ-アクティブアプリケーション
-
一部のワークロードとアプリケーションは、アクティブ-アクティブアーキテクチャで複数のリージョンにまたがることができます。これらのアプリケーションでは、マルチリージョンキーを使用して、リージョンの境界を越えて移動する可能性のあるデータに対する暗号化と復号の同時オペレーションに同じキーマテリアルを提供し、複雑さを軽減できます。
マルチリージョンキーは、、AWS データベース暗号化 SDK AWS Encryption SDK、Amazon S3 クライアント側の暗号化 などのクライアント側の暗号化ライブラリで使用できます。
保管時の暗号化またはデジタル署名のために AWS と統合される のサービスは AWS KMS
マルチリージョンキーはグローバルではありません。マルチリージョンのプライマリキーを作成し、そのキーを AWS パーティション内で選択するリージョンにレプリケートします。次に、各リージョンでマルチリージョンキーを個別に管理します。お客様に代わってマルチリージョンキーを作成またはレプリケート AWS AWS KMS することはありません。 AWS サービスがアカウントで作成するKMSキーAWS マネージドキーである は、常に単一リージョンキーです。
既存の単一リージョンキーをマルチリージョンキーに変換することはできません。この設計により、既存の単一リージョンキーで保護されているすべてのデータが、同じデータ常駐プロパティとデータ主権プロパティを維持できます。
ほとんどのデータセキュリティニーズでは、リージョンリソースのリージョン分離と耐障害性により、標準の AWS KMS 単一リージョンキーが最適なソリューションになります。ただし、複数のリージョンにまたがるクライアント側のアプリケーションでデータを暗号化または署名する必要がある場合は、マルチリージョンキーがソリューションとなることがあります。
リージョン
マルチリージョンキーは、中国 (北京) と中国 (寧夏) を除く AWS KMS がサポート AWS リージョン するすべての でサポートされています。
料金とクォータ
関連するマルチリージョンキーのセット内のすべてのキーは、料金とクォータの 1 つのKMSキーとしてカウントされます。AWS KMS クォータは、アカウントのリージョンごとに個別に計算されます。各リージョンのマルチリージョンキーの使用と管理は、そのリージョンのクォータでカウントされます。
サポートされているKMSキータイプ
次のタイプのマルチリージョンKMSキーを作成できます。
-
対称暗号化KMSキー
-
非対称KMSキー
-
HMAC KMS キー
-
KMS インポートされたキーマテリアルを持つキー
カスタムキーストアでマルチリージョンキーを作成することはできません。
詳細はこちら
-
マルチリージョンKMSキーへのアクセスを制御する方法については、「」を参照してくださいマルチリージョンキーへのアクセスを制御する。
-
任意のタイプのマルチリージョンプライマリKMSキーを作成するには、「」を参照してくださいマルチリージョンのプライマリキーを作成する。
-
マルチリージョンレプリカKMSキーを作成するには、「」を参照してくださいマルチリージョンレプリカキーを作成する。
-
プライマリリージョンを更新するには、「」を参照してくださいマルチリージョンキーのセットでプライマリキーを変更する。
-
マルチリージョンKMSキーを識別して表示するには、「」を参照してくださいHMAC KMS キーを識別する。
-
マルチリージョンKMSキーの削除に関する特別な考慮事項については、「」を参照してくださいDeleting multi-Region keys。
用語と概念
マルチリージョンキーでは、次の条件と概念を使用します。
マルチリージョンキー
マルチリージョンキーは、異なる で同じKMSキー ID とキーマテリアル (およびその他の共有プロパティ) を持つキーのセットの 1 つです AWS リージョン。各マルチリージョンキーは、関連するマルチリージョンKMSキーとは完全に独立して使用できる完全に機能するキーです。関連するすべてのマルチリージョンキーは同じキー ID とキーマテリアルを持つため、相互運用可能です。つまり、任意の の関連するマルチリージョンキーは、他の関連するマルチリージョンキーによって暗号化された暗号文を復号 AWS リージョン できます。
KMS キーの作成時に、キーのマルチリージョンプロパティを設定します。既存のキーでマルチリージョンプロパティを変更することはできません。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。既存のワークロードをマルチリージョンシナリオに移動するには、データを再暗号化するか、新しいマルチリージョンキーを使用して新しい署名を作成する必要があります。
マルチリージョンキーは対称または非対称にすることができ、 AWS KMS キーマテリアルまたはインポートされたキーマテリアル を使用できます。カスタムキーストアでマルチリージョンキーを作成することはできません。
関連するマルチリージョンキーのセットには、常に 1 つだけプライマリキーがあります。他の AWS リージョンで、そのプライマリキーのレプリカキーを作成できます。プライマリリージョンを更新すると、プライマリキーがレプリカキーに変更され、指定されたレプリカキーがプライマリキーに変更されます。ただし、各 に保持できるプライマリキーまたはレプリカキーは 1 つだけです AWS リージョン。リージョンはすべて、同じ AWS パーティションである必要があります。
関連するマルチリージョンキーの複数のセットを、同じまたは異なる AWS リージョンで持つことができます。関連するマルチリージョンキーは相互運用可能ですが、関連しないマルチリージョンキーは相互運用できません。
プライマリキー
マルチリージョンプライマリキーは、同じパーティション AWS リージョン 内の他の にレプリケートできるKMSキーです。マルチリージョンキーの各セットには、プライマリキーが 1 つしかありません。
プライマリキーは、次の点でレプリカキーとは異なります。
-
プライマリキーのみがレプリケーション可能です。
-
自動キーローテーションは、プライマリキーでのみ有効または無効にできます。
-
プライマリキーの削除をいつでもスケジュールすることができます。ただし AWS KMS 、すべてのレプリカキーが削除されるまで、プライマリキーは削除されません。
プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。
プライマリキーをレプリケートする必要はありません。任意のKMSキーと同じように使用でき、便利な場合はレプリケートできます。ただし、マルチリージョンキーには単一リージョンキーとは異なるセキュリティプロパティがあるため、プライマリキーをコレプリケートする場合にのみ、マルチリージョンキーを作成することをお勧めします。
レプリカキー
マルチリージョンレプリカキーは、プライマリKMSキーおよび関連するレプリカキーと同じキー ID およびキーマテリアルを持つキーですが、別の に存在します AWS リージョン。 プライマリキー
レプリカキーは、KMSキーポリシー、許可、エイリアス、タグ、その他のプロパティを持つ完全に機能するキーです。レプリカキーは、プライマリキーまたは他のキーのコピーまたはポインタではありません。プライマリキーと関連するすべてのレプリカキーが無効になっている場合でも、レプリカキーを使用できます。また、レプリカキーをプライマリキーに変換し、プライマリキーをレプリカキーに変換することもできます。レプリカキーが作成されると、レプリカキーはそのプライマリキーにキーローテーションおよびプライマリリージョンの更新のみを依存します。
プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。プライマリキーまたはレプリカキーで暗号化されたデータは、同じキー、または関連する任意のプライマリキーまたはレプリカキーで復号できます。
レプリケーション
マルチリージョンのプライマリキーを同じパーティション AWS リージョン 内の別の にレプリケートできます。これを行うと、 は、プライマリキーと同じキー ID と他の共有プロパティを使用して、指定されたリージョンにマルチリージョンレプリカキー AWS KMS を作成します。 キー ID 共有プロパティ次に、キーマテリアルをリージョンの境界を越えて安全に転送し、すべて AWS KMS内で、新しいレプリカキーに関連付けます。
共有プロパティ
共有プロパティは、レプリカキーと共有されるマルチリージョンプライマリキーのプロパティです。 は、プライマリキーと同じ共有プロパティ値を持つレプリカキー AWS KMS を作成します。次に、プライマリキーの共有プロパティ値をレプリカキーに定期的に同期します。レプリカキーでは、これらのプロパティを設定できません。
以下は、マルチリージョンキーの共有プロパティです。
-
キー仕様および暗号化アルゴリズム
-
自動キーローテーション — 自動キーローテーションは、プライマリキーでのみ有効または無効にできます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「Rotating multi-Region keys」を参照してください。
-
オンデマンドローテーション — プライマリキーでのみオンデマンドローテーションを実行できます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「Rotating multi-Region keys」を参照してください。
関連するマルチリージョンキーのプライマリおよびレプリカの指定は、共有プロパティと考えることもできます。新しいレプリカキーを作成するか、プライマリキー を更新すると、 は関連するすべてのマルチリージョンキーに変更を AWS KMS 同期します。これらの変更が完了すると、関連するすべてのマルチリージョンキーが、プライマリキーとレプリカキーを正確に一覧表示します。
マルチリージョンキーのその他のプロパティはすべて、独立したプロパティです (説明、キーポリシー、グラント、有効および無効キーステータス、エイリアス、タグを含む)。関連するすべてのマルチリージョンキーでこれらのプロパティに同じ値を設定できますが、独立したプロパティの値を変更すると、 AWS KMS は同期しません。
マルチリージョンキーの共有プロパティの同期を追跡できます。 AWS CloudTrail ログで、SynchronizeMultiRegionKeyイベントを探します。