翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# マルチリージョンのレプリカキーを作成する
マルチ[リージョンレプリカキー](multi-region-keys-overview.md#mrk-primary-key)は、 AWS KMS コンソール、[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) オペレーション、または [AWS::KMS::ReplicaKey CloudFormation テンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)を使用して作成できます。[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用してレプリカキーを作成することはできません。
これらの手順を使用して、[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)、[非対称 KMS キー](symmetric-asymmetric.md)、または [HMAC KMS キー](hmac.md)などの任意のマルチリージョンプライマリキーをレプリケートすることができます。
このオペレーションが完了すると、新しいレプリカキーは一時的に `Creating` の[キーステータス](key-state.md)を持ちます。このキー状態は、新しいレプリカキーの作成プロセスが完了すると、数秒後に `Enabled` に変わります (ただし、[インポートされたキーマテリアル](importing-keys.md)でマルチリージョンキーを作成する場合は `PendingImport` に変わります)。キーステータスが `Creating` の間、キーを管理することはできますが、暗号化オペレーションで使用することはできません。レプリカキーをプログラムで作成して使用している場合は `KMSInvalidStateException` で再試行するか、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) を呼び出して使用前にその `KeyState` 値をチェックします。
レプリカキーを誤って削除した場合は、この手順を使用してレプリカキーを再度作成できます。同じリージョンで同じプライマリキーをレプリケートする場合、作成する新しいレプリカキーは、元のレプリカキーと同じ[共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)を有します。
**重要**
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
AWS CloudFormation テンプレートを使用してレプリカキーを作成するには、 *AWS CloudFormation ユーザーガイド*の[AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)」を参照してください。
## ステップ 1: レプリカリージョンを選択する
通常、ビジネスモデルと規制要件 AWS リージョン に基づいて、マルチリージョンキーを にレプリケートすることを選択します。例えば、リソースを保管するリージョンにキーをレプリケートできます。または、災害対策の要件に準拠するために、地理的に離れたリージョンにキーをレプリケートすることもできます。
レプリカリージョン AWS KMS の要件は次のとおりです。選択したリージョンがこれらの要件を満たしていない場合、キーレプリケーションの試行は失敗します。
+ **リージョンごとに 1 つの関連するマルチリージョンキー** — プライマリキーと同じリージョンにレプリカキーを作成したり、プライマリキーの別のレプリカと同じリージョンにレプリカキーを作成することはできません。
すでにそのプライマリキーのレプリカがあるリージョンでプライマリキーをレプリケートしようとすると、試行は失敗します。リージョンの現在のレプリカキーが [`PendingDeletion` キーステータス](key-state.md)にある場合は、[レプリカキーの削除をキャンセルする](deleting-keys-scheduling-key-deletion.md)が、レプリカキーが削除されるまで待機します。
+ **同じリージョン内の複数の関連しないマルチリージョンキー** — 同じリージョン内に、複数の関連しないマルチリージョンキーを持つことができます。例えば、`us-east-1` リージョンで 2 つのマルチリージョンのプライマリキーを持つことができます。プライマリキーごとに、`us-west-2` リージョンでレプリカキーを持つことができます。
+ **同じパーティション内のリージョン** — レプリカキーリージョンは、プライマリキーリージョンと同じ [AWS パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)である必要があります。
+ **リージョンの有効化** — リージョンが[デフォルトで無効](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)に設定されている場合、 AWS アカウントで有効化されるまで、そのリージョンでリソースを作成することはできません。
## ステップ 2: レプリカキーを作成する
**注記**
レプリカキーを作成するときは、レプリカキーの管理と使用のために選択する IAM ユーザーとロールを慎重に検討してください。IAM ポリシーでは、他の IAM ユーザーおよびロールに、KMS キーを管理するアクセス許可を付与できます。
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
### AWS KMS コンソールの使用
AWS KMS コンソールでは、同じオペレーションでマルチリージョンプライマリキーの 1 つ以上のレプリカを作成できます。
この手順は、コンソールでスタンダードの単一リージョン KMS キーを作成する場合と似ています。ただし、レプリカキーはプライマリキーに基づいているため、キー仕様 (対称または非対称)、キー使用法、キーオリジンなどの[共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)の値は選択しません。
エイリアス、タグ、説明、キーポリシーなど、共有されないプロパティを指定します。便宜上、コンソールにプライマリキーの現在のプロパティ値が表示されますが、変更することもできます。プライマリキー値を保持しても、これらの値は同期 AWS KMS されません。
**重要**
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。
1. [マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)のキー ID またはエイリアスを選択します。KMS キーのキーの詳細ページが開きます。
マルチリージョンのプライマリキーを識別するには、右上隅にあるツールアイコンを使用して [**Regionality**] (リージョナリティー) 列をテーブルに追加します。
1. [**Regionality**] (リージョナリティー) タブを選択します。
1. [**Related multi-Region keys**] (関連するマルチリージョンキー) のセクションで、[**Create new replica keys**] (新しいレプリカキーの作成) を選択します。
[**Related multi-Region keys**] (関連するマルチリージョンキー) のセクションには、プライマリキーとそのレプリカキーのリージョンが表示されます。この表示を使用して、新しいレプリカキーのリージョンを選択できます。
1. 1 つ以上の AWS リージョンを選択します。この手順では、選択したリージョンごとにレプリカキーが作成されます。
メニューには、プライマリキーと同じ AWS パーティション内のリージョンのみが含まれます。関連するマルチリージョンキーがすでに存在するリージョンが表示されますが、選択することはできません。メニューのすべてのリージョンに対しては、キーをレプリケートする許可がない場合があります。
リージョンの選択が完了したら、メニューを閉じます。選択したリージョンが表示されます。リージョンへのレプリケーションをキャンセルするには、リージョン名の横にある [**X**] を選択します。
1. レプリカキーの[エイリアス](kms-alias.md)を入力します。
コンソールには、プライマリキーの現在のエイリアスの 1 つが表示されますが、変更することもできます。マルチリージョンのプライマリキーとそのレプリカに同じエイリアスまたは別のエイリアスを割り当てることができます。エイリアスはマルチリージョンキー[の共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)ではありません。 AWS KMS はマルチリージョンキーのエイリアスを同期しません。
エイリアスを追加、削除、更新すると、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「[の ABAC AWS KMS](abac.md)」および「[エイリアスを使用して KMS キーへのアクセスを制御する](alias-authorization.md)」を参照してください。
1. (オプション) レプリカキーの説明を入力します。
コンソールには、プライマリキーの現在の説明が表示されますが、変更することもできます。説明は、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じ説明または異なる説明を与えることができます。 AWS KMS は、マルチリージョンキーのキー説明を同期しません。
1. (オプション) タグキーとオプションのタグ値を入力します。レプリカキーに複数のタグを割り当てるには、[**Add tag**] (タグを追加する) を選択します。
コンソールには、プライマリキーに現在アタッチされているタグが表示されますが、変更することもできます。タグは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じタグまたは異なるタグを与えることができます。 AWS KMS はマルチリージョンキーのタグを同期しません。
KMS キーのタグ付けまたはタグ解除により、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「[の ABAC AWS KMS](abac.md)」および「[タグを使用して KMS キーへのアクセスを制御する](tag-authorization.md)」を参照してください。
1. レプリカキーを管理できる IAM ユーザーとロールを選択します。
**注意事項**
マルチリージョンプライマリキーの作成時にデフォルトのキーポリシーを変更した場合、コンソールでは、レプリカキーの作成時にキー管理者またはキーユーザーを選択するように求めるメッセージ (ステップ 11~15) は表示されません。この場合、**キーポリシーの編集**ステップ (ステップ 17) で **[編集]** を選択して、キー管理者とユーザーに必要なアクセス許可をキーポリシーに手動で追加する必要があります。
このステップでは、[キーポリシー](key-policies.md)をレプリカキー用に作成するプロセスをスタートします。コンソールには、プライマリキーの現在のキーポリシーが表示されますが、変更することもできます。キーポリシーは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じキーポリシーまたは別のキーポリシーを割り当てることができます。 AWS KMS は、キーポリシーを同期しません。KMS キーのキーポリシーは、いつでも変更できます。
AWS KMS コンソールは、ステートメント識別子 のキーポリシーにキー管理者を追加します`"Allow access for Key Administrators"`。このステートメント識別子を変更すると、コンソールでステートメントに加えた更新が表示される方法に影響する可能性があります。
1. (オプション) 選択した IAM ユーザーとロールがこの KMS キーを削除しないようにするには、ページの下部にある [**Key deletion**] (キーの削除) セクションで、[**Allow key administrators to delete this key**] (キー管理者にこのキーの削除を許可する) のチェックボックスをオフにします。
1. [**次へ**] を選択します。
1. [暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で KMS キーを使用できる IAM ユーザーとロールを選択します。
**メモ**
AWS KMS コンソールは、ステートメント識別子 `"Allow use of the key"`および のキーポリシーにキーユーザーを追加します`"Allow attachment of persistent resources"`。これらのステートメント識別子を変更すると、コンソールでステートメントに加えた更新が表示される方法に影響する可能性があります。
1. (オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他のユーザーに許可できます。これを行うには、ページの下部にある **[他の AWS アカウントアカウント]** セクションで、**[別の AWS アカウントアカウントを追加する]** を選択し、外部アカウントの AWS アカウント ID 番号を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。
**注記**
外部アカウントでプリンシパルが KMS キーを使用できるようにするには、外部アカウントの管理者が、これらのアクセス許可を付与する IAM ポリシーを作成する必要があります。詳細については、「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。
1. **[Next]** (次へ) を選択します。
1. キーのキーポリシーステートメントを確認します。キーポリシーに変更を加えるには、**[編集]** を選択します。
1. [**次へ**] を選択します。
1. 選択したキー設定を確認します。戻って、すべての設定を変更することもできます。
1. **[完了]** を選択して、マルチリージョンレプリカキーを作成します。
### AWS KMS API の使用
マルチリージョンのレプリカキーを作成するには、[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) オペレーションを使用します。[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用してレプリカキーを作成することはできません。このオペレーションでは、一度に 1 つのレプリカキーが作成されます。指定するリージョンは、レプリカキーの[リージョンの要件](#replica-region)に準拠している必要があります。
`ReplicateKey` オペレーションを使用する際、マルチリージョンキーの任意の[共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)の値は指定しません。共有プロパティ値はプライマリキーからコピーされ、同期が維持されます。ただし、共有されないプロパティには値を指定できます。それ以外の場合、 はプライマリキーの値ではなく、KMS キーの標準デフォルト値 AWS KMS を適用します。
**注記**
`Description`、`KeyPolicy`、または `Tags`パラメータの値を指定しない場合、 は空の文字列の説明、[デフォルトのキーポリシー](key-policy-default.md)、タグなしのレプリカキー AWS KMS を作成します。
`Description` フィールドまたは `Tags` フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
例えば、次のコマンドでは、アジアパシフィック (シドニー) リージョン (ap-southeast-2) にマルチリージョンのレプリカキーを作成します。このレプリカキーは、米国東部 (バージニア北部) リージョン (us-east-1) のプライマリキーをモデルにしています。これは、`KeyId` パラメータの値で識別されます。この例では、キーポリシーを含む、他のすべてのプロパティのデフォルト値を受け入れます。
レスポンスは新しいレプリカキーを示します。これには、共有プロパティのフィールド (`KeyId`、`KeySpec`、`KeyUsage`、およびキーマテリアルのオリジン (`Origin`) など) が含まれます。また、プライマリキーとは独立したプロパティも含まれます (`Description`、キーポリシー (`ReplicaKeyPolicy`)、タグ (`ReplicaTags`) など)。
レスポンスには、プライマリキーのキー ARN とリージョン、およびそのすべてのレプリカキー (ap-southeast-2 リージョンで作成されたものを含む) も含まれます。この例では、このプライマリキーが既に欧州 (アイルランド) リージョン (eu-west-1) でレプリケートされていることを、`ReplicaKey` 要素が示しています。
```
$ aws kms replicate-key \
--key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--replica-region ap-southeast-2
{
"ReplicaKeyMetadata": {
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "REPLICA",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "ap-southeast-2"
},
{
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
}
]
},
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1607472987.918,
"Description": "",
"Enabled": true,
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
},
"ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",...,
"ReplicaTags": []
}
```