翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EBS 暗号化に使用される AWS KMS キーのローテーション
暗号化のベストプラクティスでは、暗号化キーの広範な再利用を推奨していません。
Amazon EBS 暗号化で使用する新しい暗号化マテリアルを作成するには、新しいカスタマーマネージドキーを作成し、その新しい KMS キーを使用するようにアプリケーションを変更します。または、既存のカスタマーマネージドキーの自動キーローテーションを有効にすることができます。
カスタマーマネージドキーの自動キーローテーションを有効にすると、 は KMS キーの新しい暗号化マテリアルを毎年 AWS KMS 生成します。 は、暗号化マテリアルのすべての以前のバージョン AWS KMS を保存し、その KMS キーマテリアルで以前に暗号化されたボリュームとスナップショットを引き続き復号して使用できるようにします。 AWS KMS は、KMS キーを削除するまでローテーションされたキーマテリアルを削除しません。
ローテーションされたカスタマーマネージドキーを使用して新しいボリュームまたはスナップショットを暗号化すると、 は現在 (新しい) キーマテリアル AWS KMS を使用します。ローテーションされたカスタマーマネージドキーを使用してボリュームまたはスナップショットを復号化する場合、 AWS KMS はそれを暗号化するために使用された暗号化マテリアルバージョンを使用します。ボリュームまたはスナップショットが以前のバージョンの暗号化マテリアルで暗号化されている場合、 AWS KMS は引き続きその以前のバージョンを使用して復号します。 AWS KMS は、キーローテーション後に新しい暗号化マテリアルを使用するように、以前に暗号化されたボリュームまたはスナップショットを再暗号化しません。これらは、最初に暗号化された暗号化マテリアルで暗号化されたままです。ローテーションされたカスタマーマネージドキーは、コードを変更せずにアプリケーションや AWS サービスで安全に使用できます。
注記
-
自動キーローテーションは、 が AWS KMS 作成するキーマテリアルを持つ対称カスタマーマネージドキーでのみサポートされます。
-
AWS KMS は AWS マネージドキー 毎年自動的にローテーションします。 AWS マネージドキーのキーローテーションを有効化または無効化することはできません。
詳細については、「 AWS Key Management Service デベロッパーガイド」のKMSキーのローテーション」を参照してください。
