翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS KMS keys
<a name="concepts"></a><a name="key-mgmt"></a><a name="kms_keys"></a>

お客様独自の暗号化アプリケーションで使用するために作成および管理している KMS キーは、*カスタマーマネージドキー*と呼ばれるタイプのキーです。カスタマーマネージドキーは、KMS キーを使用して AWS サービスがユーザーに代わって保存するデータを暗号化するサービスと組み合わせて使用することもできます。カスタマーマネージドキーは、使用するキーのライフサイクルと用途を完全にコントロールしたいお客様にお勧めします。アカウント内でカスタマーマネージドキーを使用する場合、月額料金が発生します。さらに、キーの使用および管理のリクエストにも、使用コストが発生します。詳細については、「[AWS Key Management Service の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。

顧客が AWS サービスでデータを暗号化したいが、キー管理のオーバーヘッドを望まず、キーの支払いを望まない場合があります。*AWS マネージドキー* は、お客様のアカウント内に存在する KMS キーで、特定の状況でのみ使用できます。具体的には、運用している AWS サービスのコンテキストでのみ使用でき、キーが存在するアカウント内のプリンシパルのみが使用できます。これらのキーのライフサイクルやアクセス許可については、お客様は一切管理することができません。 AWS サービスで暗号化機能を使用すると、「aws<service code> AWS マネージドキー」という形式のエイリアスを使用することがあります。例えば、`aws/ebs` キーは EBS ボリュームの暗号化にのみ使用でき、キーと同じアカウントの IAM プリンシパルが使用するボリュームにのみ使用できます。アカウント内のリソースについて、アカウントのユーザーのみが使用できるようにスコープダウン AWS マネージドキー されている を考えてみましょう。で暗号化されたリソース AWS マネージドキー を他のアカウントと共有することはできません。 AWS マネージドキー はアカウントに無料で存在できますが、このキータイプの使用は、キーに割り当てられた AWS サービスによって課金されます。

AWS マネージドキー は、2021 年の時点で新しい AWS サービス用に作成されなくなったレガシーキータイプです。代わりに、新しい (およびレガシー) AWS サービスは、 と呼ばれるものを使用して*AWS 所有のキー*、デフォルトで顧客データを暗号化します。は、 AWS サービスによって管理されるアカウントにある KMS AWS 所有のキー キーであるため、サービスオペレーターはライフサイクルと使用のアクセス許可を管理できます。を使用することで AWS 所有のキー、 AWS サービスはデータを透過的に暗号化し、キーアクセス許可を心配することなく、クロスアカウントまたはクロスリージョンで簡単にデータを共有できます。 AWS 所有のキー は、よりシンプルで自動化されたデータ保護を提供するデフォルト暗号化ワークロードとしてご利用いただけます。これらのキーは によって所有および管理されるため AWS、その存在や使用状況に対して課金されず、ポリシーを変更したり、これらのキーのアクティビティを監査したり、削除したりすることはできません。コントロールを重視される場合にはカスタマーマネージドキーを使用し、利便性を重視される場合は AWS 所有のキー をご利用ください。


|  |  |  |  | 
| --- |--- |--- |--- |
|  |  カスタマーマネージドキー  |  AWS マネージドキー  |  AWS 所有のキー  | 
|  キーポリシー  | カスタマーが排他的に制御する | サービスによって制御され、カスタマーは閲覧可能 | 排他的に制御され、データを暗号化する AWS サービスでのみ表示可能 | 
|  ログ記録  | CloudTrail カスタマー証跡またはイベントデータストア | CloudTrail カスタマー証跡またはイベントデータストア | カスタマーは閲覧できない | 
|  ライフサイクル管理  | カスタマーがローテーション、削除、リージョンロケーションを管理する | AWS KMS ローテーション (年単位）、削除、リージョンロケーションを管理します | AWS のサービス ローテーション、削除、リージョンロケーションを管理します | 
|  料金  |  キーの保有に対する月額料金 (時間単位の日割り計算) キーの使用にも課金される  | 月額料金はかかりませんが、キーの API 使用に対して各呼び出し元に課金されます。 | カスタマーへの請求はなし | 

お客様が作成する KMS キーは[カスタマーマネージドキー](#customer-mgn-key)です。サービスリソースの暗号化に KMS キーを使用する AWS のサービス では、多くの場合お客様が使うキーを作成します。 AWS アカウントで が AWS のサービス 作成する KMS キーは です[AWS マネージドキー](#aws-managed-key)。がサービスアカウントで AWS のサービス 作成する KMS キーは です[AWS 所有のキー](#aws-owned-key)。


| KMS キーのタイプ | KMS キーメタデータを表示可能 | KMS キーを管理可能 | 自分の にのみ使用する AWS アカウント | [自動ローテーション](rotate-keys.md) | [料金](https://aws.amazon.com/kms/pricing/) | 
| --- | --- | --- | --- | --- | --- | 
| [カスタマーマネージドキー](#customer-mgn-key) | はい  | はい | はい | オプション。 | 月額料金 (時間単位の日割り計算)従量課金料金 | 
| [AWS マネージドキー](#aws-managed-key) | はい | なし | はい | 必須。毎年 (約 365 日) | 月額料金なし使用ごとの料金 (一部の は、この料金を AWS のサービス 支払います) | 
| [AWS 所有のキー](#aws-owned-key) | いいえ | なし | いいえ | はローテーション戦略 AWS のサービス を管理します。 | 料金はかかりません | 

[AWS と統合する サービスは AWS KMS](service-integration.md)、KMS キーのサポートが異なります。一部の AWS サービスは、デフォルトで AWS 所有のキー または でデータを暗号化します AWS マネージドキー。一部の AWS サービスは、カスタマーマネージドキーをサポートしています。他の AWS サービスは、 の使いやすさ AWS 所有のキー、 の可視性 AWS マネージドキー、またはカスタマーマネージドキーの制御を可能にするすべてのタイプの KMS キーをサポートしています。 AWS サービスが提供する暗号化オプションの詳細については、「 ユーザーガイド*」の「保管時の暗号化*」トピックまたは サービスの開発者ガイドを参照してください。

## カスタマーマネージドキー
<a name="customer-mgn-key"></a>

お客様が作成する KMS キーは、*カスタマーマネージドキー*です。カスタマーマネージドキーは、 AWS アカウント ユーザーが作成、所有、管理する の KMS キーです。これらの KMS キーは、[キーポリシー、IAM ポリシー、グラント](control-access.md)の確立と管理、[有効化と無効化](enabling-keys.md)、[暗号化マテリアルのローテーション](rotate-keys.md)、[タグの追加](tagging-keys.md)、KMS キーを参照する[エイリアスの作成](alias-create.md) 、[KMS キー削除のスケジューリング](deleting-keys.md)などを完全に制御できます。

カスタマーマネージドキーは、 AWS KMSの AWS マネジメントコンソール の**カスタマーマネージドキー**ページに表示されます。カスタマーマネージドキーを明確に識別するには、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用します。カスタマーマネージドキーでは、`DescribeKey` レスポンスの `KeyManager` フィールドの値は `CUSTOMER` です。

暗号化オペレーションでカスタマーマネージドキーを使用し、 AWS CloudTrail ログでその使用を監査できます。さらに、[AWS KMSと統合されている多数のAWS のサービス](service-integration.md)を使用すると、カスタマーマネージドキーを指定して保存および管理するデータを保護できます。

カスタマーマネージドキーの使用には、月額料金と、無料利用枠を超えた使用に対する料金がかかります。アカウントの AWS KMS [クォータ](limits.md)に対してカウントされます。詳細については、「[AWS Key Management Service 料金表](https://aws.amazon.com/kms/pricing/)」および「[クォータ](limits.md)」を参照してください。

## AWS マネージドキー
<a name="aws-managed-key"></a>

*AWS マネージドキー* は、アカウント内の KMS キーで、 [AWS と統合された サービス AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)によってユーザーに代わって作成、管理、使用されます。

一部の AWS サービスでは、 AWS マネージドキー またはカスタマーマネージドキーを選択して、そのサービスのリソースを保護できます。一般的に、リソースを保護する暗号化キーを制御する必要がある場合を除き、 AWS マネージドキー が適しています。キーまたはそのキーポリシーを作成または維持する必要はなく、 AWS マネージドキーの月額料金はまったく発生しません。

アカウントで [を表示 AWS マネージドキー](viewing-keys.md)し、[キーポリシーを表示](key-policy-viewing.md)し、 AWS CloudTrail ログでの使用[を監査](logging-using-cloudtrail.md)するアクセス許可があります。ただし、 のプロパティの変更 AWS マネージドキー、ローテーション、キーポリシーの変更、削除のスケジュールはできません。また、暗号化オペレーション AWS マネージドキー で を直接使用することはできません。それらを作成するサービスは、ユーザーに代わってそれらを使用します。

組織内の[リソースコントロールポリシー](resource-control-policies.md)は、 AWS マネージドキーには適用されません。

AWS マネージドキー は、 AWS マネジメントコンソール の **AWS マネージドキー**ページに表示されます AWS KMS。`aws/service-name`などの形式 を持つエイリアス AWS マネージドキー で を識別することもできます`aws/redshift`。を明確に識別するには AWS マネージドキー、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用します。 AWS マネージドキーの場合、`DescribeKey` レスポンスの `KeyManager` フィールドの値は `AWS` です。

すべての AWS マネージドキー は毎年自動的にローテーションされます。このローテーションスケジュールは変更できません。

**注記**  
2022 年 5 月、 のローテーションスケジュールを 3 年ごと (約 1,095 日) AWS マネージドキー から毎年 (約 365 日) AWS KMS に変更しました。

の月額料金はかかりません AWS マネージドキー。無料利用枠を超える使用には料金がかかる場合がありますが、一部の AWS サービスではこれらのコストがかかります。詳細については、サービスのユーザーガイドまたはデベロッパーガイドの「*保管時の暗号化* 」トピックを参照してください。詳細については、「[AWS Key Management Service の料金表](https://aws.amazon.com/kms/pricing/)」を参照してください。

AWS マネージドキー は、アカウントの各リージョンの KMS キー数のリソースクォータにはカウントされません。ただし、アカウントのプリンシパルに代わって使用される場合、KMS キーはリクエストクォータに対してカウントされます。詳細については、「[クォータ](limits.md)」を参照してください。

## AWS 所有のキー
<a name="aws-owned-key"></a>

*AWS 所有のキー* は、 AWS サービスが複数の で使用するために所有および管理する KMS キーのコレクションです AWS アカウント。 AWS 所有のキー は にはありませんが AWS アカウント、 AWS サービスは AWS 所有のキー を使用して アカウントのリソースを保護できます。

一部の AWS サービスでは、 AWS 所有のキー またはカスタマーマネージドキーを選択できます。一般的に、 リソースを保護する暗号化キーを監査または制御する必要がない限り、 AWS 所有のキー は適切な選択です。 AWS 所有のキー は完全に無料 (月額料金や使用料なし) であり、アカウントの[AWS KMS クォータ](limits.md)にはカウントされず、簡単に使用できます。キーまたはそのキーポリシーを作成または管理する必要はありません。

のローテーションはサービス AWS 所有のキー によって異なります。特定の のローテーションの詳細については AWS 所有のキー、 サービスのユーザーガイドまたは開発者ガイドの*「保管時の暗号化*」トピックを参照してください。

## AWS KMS key 階層
<a name="key-hierarchy"></a>

キー階層は、最上位の論理キー で始まります AWS KMS key。KMS キーは、最上位のキーマテリアルのコンテナを表し、Amazon リソースネーム (ARN) を持つ AWS のサービス名前空間内で一意に定義されます。ARN には、一意に生成されたキー識別子である *キー ID* が含まれています。KMS キーは、ユーザーが開始したリクエストに基づいて作成されます AWS KMS。受信時に、 は KMS キーコンテナに配置する最初の HSM バッキングキー (HBK) の作成 AWS KMS を要求します。HBK は、ドメイン内の HSM 上で生成され、プレーンテキストで HSM からエクスポートされないように設計されています。そうではなく、HBK は HSM 管理ドメインキーで暗号化されてエクスポートされます。これらのエクスポートされたHBKは、エクスポートされたキートークン (EKT) と呼ばれます。

EKTは、耐久性に優れた低レイテンシーのストレージにエクスポートされます。例えば、論理 KMS キーへの ARN を受け取ったとします。これは、キー階層、つまり暗号化コンテキストの最上位を表します。アカウント内に複数の KMS キーを作成し、他の AWS 名前付きリソースと同様に KMS キーにポリシーを設定できます。

特定の KMS キーの階層内では、HBK は KMS キーのバージョンと考えることができます。KMS キーをローテーションする場合は AWS KMS、新しい HBK が作成され、KMS キーのアクティブな HBK として KMS キーに関連付けられます。古い HBK は保持され、以前に保護されていたデータの復号化と検証に使用できます。ただし、新しい情報を保護するために使用できるのはアクティブな暗号化キーだけです。

![\[AWS KMS key 階層。\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/CMK-Hierarchy.png)


 AWS KMS を使用して KMS キーを使用して情報を直接保護したり、KMS キーで保護されている追加の HSM 生成キーをリクエストしたりできます。これらのキーは、お客様データキー、または CDK と呼ばれます。CDKは、暗号文 (CT) として暗号化して、プレーンテキストで、またはその両方で返すことができます。KMS キー (お客様が用意したデータまたは HSM が生成したキー) で暗号化されたすべてのオブジェクトは、呼び出しを介して HSM でのみ復号できます AWS KMS。

返された暗号文、または復号されたペイロードが 内に保存されることはありません AWS KMS。この情報は、 AWS KMSへの TLS 接続を介してユーザーに直接返されます。これは、ユーザーに代わって AWS のサービスによって行われた呼び出しにも適用されます。

次の表に、キーの階層と特定のキープロパティを示します。


| キー | 説明 | Lifecycle | 
| --- | --- | --- | 
|  **ドメインキー**  |  HSM のメモリ内のみにある 256 ビットの AES-GCM キー。KMS キーのバージョン (HSM バッキングキー) をまとめるために使用されます。  |  毎日ローテーション1  | 
|  **HSM バッキングキー**  |  256 ビットの対称キー、または、RSA または楕円曲線のプライベートキー。顧客データとキーを保護するために使用され、ドメインキーの下に暗号化されて保存されます。1 つ以上の HSM バッキングキーで、keyId で表される KMS キーが構成されます。  |  毎年ローテーション2 (設定はオプション)。  | 
|  **派生暗号化キー**  |  お客様データとキーを暗号化するために使用される HSM のメモリ内のみにある 256 ビット AES-GCM キー。暗号化ごとに HBK から派生します。  |  暗号化ごとに 1 回使用され、復号時に再生成されます   | 
|  **お客様データキー**  |  プレーンテキストおよび暗号文でHSMからエクスポートされたユーザー定義の対称キーまたは非対称キー。 HSM バッキングキーで暗号化され、TLS チャネル経由で許可されたユーザーに返されます。  |  アプリケーションによって制御されるローテーションと使用  | 

1 AWS KMS ドメインの管理および設定タスクを考慮して、ドメインキーのローテーションを最大週 1 回まで緩和する場合があります。

2 AWS KMS ユーザーに代わって によって AWS マネージドキー 作成および管理されるデフォルトは、毎年自動的にローテーションされます。

## キー識別子 (KeyId)
<a name="key-id"></a>

キー識別子は、KMS キーの名前のように機能します。これらは、コンソールで KMS キーを識別するのに役立ちます。キー識別子を使用して、 AWS KMS API オペレーション、キーポリシー、IAM ポリシー、グラントで使用する KMS キーを指定します。キー識別子の値は、KMS キーに関連付けられているキーマテリアルとはまったく関係ありません。

AWS KMS は、複数のキー識別子を定義します。KMS キーを作成すると、 は KMS キーのプロパティであるキー ARN とキー ID AWS KMS を生成します。[エイリアス](kms-alias.md)を作成すると、 は定義したエイリアス名に基づいてエイリアス ARN AWS KMS を生成します。キー識別子とエイリアス識別子は、 AWS マネジメントコンソール および AWS KMS API で表示できます。

 AWS KMS コンソールでは、キー ARN、キー ID、またはエイリアス名で KMS キーを表示およびフィルタリングし、キー ID とエイリアス名でソートできます。コンソールでキー ID を検索する方法については、「[キー ID とキー ARN を検索する](find-cmk-id-arn.md)」を参照してください。

 AWS KMS API では、KMS キーを識別するために使用するパラメータには、 `KeyId`または などのバリエーションという名前が付けられ`TargetKeyId`ます`DestinationKeyId`。ただし、これらのパラメータの値はキー ID に限定されません。いくつかは、任意の有効なキー識別子を受け取ることができます。各パラメータの値については、 AWS Key Management Service API リファレンスのパラメータの説明を参照してください。

**注記**  
 AWS KMS API を使用する場合は、使用するキー識別子に注意してください。API ごとに異なるキー識別子が必要です。通常、タスクに対して実用的で最も完全なキー識別子を使用します。

AWS KMS は、次のキー識別子をサポートしています。

**キー ARN**  <a name="key-id-key-ARN"></a>
キー ARN は、KMS キーの Amazon リソースネーム (ARN) です。これは KMS キーの、一意の完全修飾識別子です。キー ARN には AWS アカウント、、リージョン、およびキー ID が含まれます。KMS キーのキー ARN を検索する方法については、[キー ID とキー ARN を検索する](find-cmk-id-arn.md) を参照してください。  
キー ARN の形式は次のとおりです。  

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```
以下は単一リージョン KMS キーのサンプルキー ARN です。  

```
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
*マルチリージョンキー*のキー ARN の[key-id](multi-region-keys-overview.md) 要素は、`mrk-` プレフィックスで始まります。以下はマルチリージョンキーのサンプルキー ARN です。  

```
arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
```

**キー ID**  <a name="key-id-key-id"></a>
キー ID は、アカウントとリージョン内の KMS キーを一意に識別します。KMS キーのキー ID を検索する方法については、[キー ID とキー ARN を検索する](find-cmk-id-arn.md) を参照してください。  
以下は単一リージョン KMS キーのサンプルキー ID です。  

```
1234abcd-12ab-34cd-56ef-1234567890ab
```
[マルチリージョンキー](multi-region-keys-overview.md)のキー ID は、`mrk-` プレフィックスで始まります。以下はマルチリージョンキーのサンプルキー ID です。  

```
mrk-1234abcd12ab34cd56ef1234567890ab
```

**エイリアス ARN**  <a name="key-id-alias-ARN"></a>
エイリアス ARN は、エイリアスの Amazon リソースネーム (ARN) AWS KMS です。これは、エイリアスとそれが表す KMS キーの、一意の完全修飾識別子です。エイリアス ARN には AWS アカウント、、リージョン、エイリアス名が含まれます。  
エイリアス ARN は、任意の時点で特定の 1 つの KMS キーを識別します。ただし、エイリアスに関連付けられている KMS キーは変更できるため、エイリアス ARN は異なる時点でさまざまな KMS キーを識別できます。KMS キーのエイリアス ARN を検索する方法については、[KMS キーのエイリアス名とエイリアス ARN を見つける](alias-view.md) を参照してください。  
エイリアス ARN の形式は次のとおりです。  

```
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
```
以下は、架空の `ExampleAlias` のエイリアス ARN です。  

```
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
```

**エイリアス名**  <a name="key-id-alias-name"></a>
エイリアス名は、最大 256 文字の文字列です。エイリアス名は、アカウントとリージョン内で関連付けられた KMS キーを一意に識別します。 AWS KMS API では、エイリアス名は常に で始まります`alias/`。KMS キーのエイリアス名を検索する方法については、[KMS キーのエイリアス名とエイリアス ARN を見つける](alias-view.md) を参照してください。  
エイリアス名の形式は次のとおりです。  

```
alias/<alias-name>
```
例:   

```
alias/ExampleAlias
```
エイリアス名の `aws/` プレフィックスは、[AWS マネージドキー](#aws-managed-key) 用に予約されます。このプレフィックスでエイリアスを作成することはできません。例えば、Amazon Simple Storage Service (Amazon S3) AWS マネージドキー の のエイリアス名は次のとおりです。  

```
alias/aws/s3
```

# の非対称キー AWS KMS
<a name="symmetric-asymmetric"></a>

*非対称 KMS キー*は、数学的に関連する公開キーとプライベートキーペアを表します。パブリックキーは、たとえ信頼されていなくても、誰にでも渡すことができますが、シークレットキーは秘密にしておく必要があります。

非対称 KMS キーでは、プライベートキーは に作成 AWS KMS され、暗号化されていないままになる AWS KMS ことはありません。プライベートキーを使用するには、 を呼び出す必要があります AWS KMS。API AWS KMS オペレーションを呼び出す AWS KMS ことで、 内でパブリックキーを使用できます。または、[パブリックキーをダウンロード](download-public-key.md)して、 の外部で使用できます AWS KMS。

を呼び出すことができないユーザーが の外部 AWS で暗号化する必要がある場合は AWS KMS、非対称 KMS キーが適しています。ただし、 AWS サービスに保存または管理するデータを暗号化する KMS キーを作成する場合は、対称暗号化 KMS キーを使用します。 [AWS と統合されている サービスは AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)、対称暗号化 KMS キーのみを使用してデータを暗号化します。これらのサービスは、非対称 KMS キーを使用する暗号化をサポートしません。

で 4 KB を超えるメッセージに署名するときは AWS KMS、署名 AWS KMS 前に の外部でメッセージをハッシュする必要があります。 AWS KMS には、メッセージ入力を処理するための 3 つの`MessageType`オプションがあります。プレーンテキストメッセージ`RAW`の場合 ( がハッシュ AWS KMS を実行する場合）、事前ハッシュされたメッセージ`DIGEST`の場合 ( がハッシュステップを AWS KMS スキップする場合）、`EXTERNAL_MU`特に入力が 64 バイトの代表的な μ 値である ML-DSA KMS キー仕様の場合です。4 KB の制限を超える大きなメッセージの場合は、メッセージを外部でハッシュし、 AWS KMS [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) および AWS KMS [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) オペレーションを呼び出すときに [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType) (または ML-DSA KMS キー[https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)の場合は) を使用します。

AWS KMS は、いくつかのタイプの非対称 KMS キーをサポートしています。

**RSA KMS キー**  
暗号化と復号、または署名と検証用の RSA キーペアを持つ KMS キー (両方ではありません）。 は、さまざまなセキュリティ要件に対して複数のキー長 AWS KMS をサポートします。  
が RSA KMS キーに対して AWS KMS サポートする暗号化および署名アルゴリズムの技術的な詳細については、[「RSA キー仕様](symm-asymm-choose-key-spec.md#key-spec-rsa)」を参照してください。

**楕円曲線 (ECC) KMS キー**  
署名と検証、または共有シークレットを取得するための楕円曲線キーペアを持つ KMS キー (両方ではありません）。 は、一般的に使用されるいくつかの曲線 AWS KMS をサポートします。  
が ECC KMS キーで AWS KMS サポートする署名アルゴリズムの技術的な詳細については、[「楕円曲線のキー仕様](symm-asymm-choose-key-spec.md#key-spec-ecc)」を参照してください。

**ML-DSA KMS キー**  
署名と検証用の ML-DSA キーペアを持つ KMS キー。ML-DSA は、量子コンピューティングによって生じるセキュリティの脅威からの保護を目的として米国国立標準技術研究所 (NIST) によって開発されたポスト量子暗号標準です。ML-DSA は、RSA または楕円曲線デジタル署名アルゴリズムからポスト量子暗号化に移行する組織に推奨されるデジタル署名アルゴリズムです。  
AWS KMS は、さまざまなセキュリティ要件に対して複数のキー長をサポートします。が ML-DSA KMS キーで AWS KMS サポートする署名アルゴリズムの技術的な詳細については、[「ML-DSA キー仕様](symm-asymm-choose-key-spec.md#key-spec-mldsa)」を参照してください。

**SM2 KMS キー仕様 (中国リージョンのみ)**  
暗号化と復号化、署名と検証、もしくは共有シークレットの取得向けの SM2 キーペアを持つ KMS キー (いずれか 1 つの[Key usage](create-keys.md#key-usage)タイプを選択する必要があります)。  
が SM2 KMS キー (中国リージョンのみ) で AWS KMS サポートする暗号化および署名アルゴリズムの技術的な詳細については、[SM2 キー仕様](symm-asymm-choose-key-spec.md#key-spec-sm)」を参照してください。

非対称キーの設定を選択する方法については、「[作成する KMS キーのタイプの選択](create-keys.md#symm-asymm-choose)」を参照してください。

**リージョン**

非対称 KMS キーと非対称データキーペアは、 AWS KMS がサポート AWS リージョン するすべての でサポートされています。

**詳細はこちら**
+ 非対称 KMS キーを作成するには、「[非対称 KMS キーを作成する](asymm-create-key.md)」を参照してください。
+ マルチリージョンの非対称 KMS キーを作成するには、「[マルチリージョンのプライマリキーを作成する](create-primary-keys.md)」を参照してください。
+ 非対称 KMS キーを使用してメッセージに署名し、署名を検証する方法については、*AWS セキュリティブログ*の [Digital signing with the new asymmetric keys feature of AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) を参照してください。
+ 非対称 KMS キーの削除に関する注意事項については、「[Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)」を参照してください。
+ 非対称 KMS キーの特定と閲覧については、「[非対称 KMS キーを特定する](identify-key-types.md#identify-asymm-keys)」を参照してください。

# の HMAC キー AWS KMS
<a name="hmac"></a>

Hash-based Message Authentication Code (HMAC) KMS キーは、 AWS KMS内で HMAC を生成して検証するために使用される対称キーです。それぞれの HMAC KMS キーに関連する一意のキーマテリアルは、HMAC アルゴリズムが必要とするシークレットキーを提供します。HMAC KMS キーを `[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)` および [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) オペレーションで使用して、 AWS KMS内のデータの整合性と信頼性を検証することができます。

HMAC アルゴリズムは、暗号化ハッシュ関数と共有シークレットキーを組み合わせます。これらはメッセージとシークレットキー (HMAC KMS キーのキーマテリアルなど) を使用して、一意の固定サイズのコード (タグ) を返します。メッセージの文字が 1 字でも違う場合、またはシークレットキーが同一ではない場合、結果として得られるタグはまったく異なるものになります。HMAC は、シークレットキーをリクエストすることによって信頼性も提供します。シークレットキーがなければ、同一の HMAC タグを生成することは不可能です。HMAC は、デジタル署名のように機能しますが署名と検証の両方に単一のキーを使用するので、対称署名と呼ばれることもあります。

が AWS KMS 使用する HMAC KMS キーと HMAC アルゴリズムは、[RFC 2104 ](https://datatracker.ietf.org/doc/html/rfc2104)で定義されている業界標準に準拠しています。 AWS KMS [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) オペレーションは、標準の HMAC タグを生成します。HMAC KMS キーは、[FIPS 140-3 暗号化モジュール検証プログラム](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (中国 (北京) および中国 (寧夏) リージョンを除く) で認定された AWS KMS ハードウェアセキュリティモジュールで生成され、暗号化 AWS KMS されていないままにされることはありません。HMAC KMS キーを使用するには、 AWS KMSを呼び出す必要があります。

HMAC を使用して、JSON Web トークン (JWT)、トークン化されたクレジットカード情報、または送信されたパスワードなどのメッセージの信頼性を判断することができます。決定論的なキーを必要とするアプリケーションでは特に、セキュアなキー導出関数 (KDF) としても使用することもできます。

HMAC KMS キーは、アプリケーションソフトウェアの HMACs よりも利点があります。キーマテリアルは、キーに設定したアクセスコントロールに従って AWS KMS、完全に内部で生成および使用されるためです。

**ヒント**  
ベストプラクティスでは、HMAC を含めたどの署名メカニズムについても、その有効時間を制限することが推奨されています。そうすることで、アクターが有効性を何度も確立したり、メッセージが置き換えらえた後も長期間有効性を確立したりする攻撃が阻止されます。HMAC タグにタイムスタンプは含まれませんが、トークンまたはメッセージにタイムスタンプを含めて、HMAC を更新するタイミングを検知できるようにすることが可能です。

**サポートされている暗号化オペレーション**  
HMAC KMS キーは、[https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) および [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) 暗号化オペレーションのみをサポートします。HMAC KMS キーを使用してデータの暗号化やメッセージの署名を行ったり、HMAC オペレーションで他のタイプの KMS キーを使用したりすることはできません。`GenerateMac` オペレーションを使用するときは、ユーザーが最大 4,096 バイトのメッセージ、HMAC KMS キー、および HMAC キー仕様との互換性がある MAC アルゴリズムを指定して、`GenerateMac` が HMAC タグを計算します。HMAC タグを検証するには、HMAC タグ、同一のメッセージ、HMAC KMS キー、および 元の HMAC タグを計算するために `GenerateMac` が使用した MAC アルゴリズムを提供する必要があります。`VerifyMac` オペレーションは HMAC タグを計算し、それが提供された HMAC タグと同一であることを検証します。入力と計算された HMAC タグが同一ではない場合は、検証が失敗します。  
HMAC KMS キーは[自動キーローテーション](rotate-keys.md)をサポートしていないため、[カスタムキーストア](key-store-overview.md#custom-key-store-overview)で HMAC KMS キーを作成することはできません。  
 AWS サービス内のデータを暗号化するための KMS キーを作成する場合は、対称暗号化キーを使用します。HMAC KMS キーを使用することはできません。

** リージョン**  
HMAC KMS キーは、 がサポート AWS リージョン するすべての で AWS KMS サポートされています。

**詳細はこちら**
+ HMAC KMS キーを作成するには、「[HMAC KMS キーを作成する](hmac-create-key.md)」を参照してください。
+ マルチリージョンの HMAC KMS キーを作成するには、「[のマルチリージョンキー AWS KMS](multi-region-keys-overview.md)」を参照してください。
+  AWS KMS コンソールが HMAC KMS キーに設定するデフォルトのキーポリシーの違いを確認するには、「」を参照してください[暗号化オペレーションで KMS キーを使用することをキーユーザーに許可する](key-policy-default.md#key-policy-users-crypto)。
+ HMAC KMS キーの識別と表示については、「[HMAC KMS キーの特定](identify-key-types.md#hmac-view)」を参照してください。
+ JSON Web トークンを作成するための HMAC の使用について学ぶには、AWS セキュリティブログの「[How to protect HMACs inside AWS KMS](https://aws.amazon.com/blogs/security/how-to-protect-hmacs-inside-aws-kms/)」を参照してください。
+ ポッドキャストを聴く: [Introducing HMACs for AWS Key Management Service](https://aws.amazon.com/podcasts/introducing-hmacs-apis-in-aws-key-management-service) (*公式 AWS ポッドキャスト*)。

# の ML-DSA キー AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) は、ポスト量子暗号化署名の Module-Lattice Digital Signature Algorithm (ML-DSA) をサポートしています。この実装は、将来の量子コンピューティングの脅威から保護するために[連邦情報処理標準 (FIPS) 204 標準](https://csrc.nist.gov/pubs/fips/204/final)に準拠しています。 AWS KMS は、FIPS 140-3 セキュリティレベル 3 検証済みハードウェアセキュリティモジュールですべての ML-DSA キーと署名オペレーションを作成および保護します。セキュリティとパフォーマンスのバランスを取るために、 の ML-DSA AWS KMS は、ML\$1DSA\$144、ML\$1DSA\$165、ML\$1DSA\$187 の異なるキー仕様を通じて 3 つの異なるセキュリティレベルを提供します。

AWS KMS は、メッセージタイプを使用して最大 4 KB の`RAW`メッセージの非対称キー署名をサポートします。より大きなメッセージの場合、NIST FIPS 204 セクション 6.2 で定義されているように、ML-DSA 署名で使用される 64 バイトのメッセージ表現 μ を外部で計算する必要があります。 AWS KMS [署名](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)オペレーションで`EXTERNAL_MU`メッセージタイプを使用して、この事前処理された 64 バイトのメッセージを指定します。外部で計算された μ によって生成される署名は、同じメッセージとプライベートキーを使用するときの `RAW` と同じです。この署名は、NIST FIPS 204 のセクション 5.4 に記載されている「pre-hash」ML-DSA または HashML-DSA とは異なります。

ML-DSA と EXTERNAL\$1MU メッセージタイプの使用の詳細については、「[ML-DSA キー仕様](symm-asymm-choose-key-spec.md#key-spec-mldsa)」を参照してください。

ML-DSA と EXTERNAL\$1MU メッセージタイプの使用例については、「[ML-DSA キーペアによるオフライン検証](offline-operations.md#mldsa-offline-verification)」を参照してください。

# のマルチリージョンキー AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS はマルチ*リージョンキー*をサポートします。マルチリージョンキーは、複数のリージョン AWS KMS keys で同じキーを持っていたかのように AWS リージョン 、同じ意味で使用できる異なる にあります。*関連する*マルチリージョンキーの各セットには同じキーマテリアルと[キー ID](concepts.md#key-id-key-id) があるため、再暗号化やクロスリージョン呼び出しを AWS リージョン 行わずに、1 つの でデータを暗号化 AWS リージョン し、別の で復号できます AWS KMS。

すべての KMS キーと同様に、マルチリージョンキーが暗号化 AWS KMS されていないままになることはありません。暗号化または署名用の対称または非対称のマルチリージョンキーを作成する、HMAC タグの生成と検証用の HMAC マルチリージョンキーを作成する、および AWS KMS が生成するキーマテリアル、または[インポートされたキーマテリアルを持つマルチリージョンキー](importing-keys.md)を作成することができます。エイリアスおよびタグの作成、キーポリシーとグラントの設定、有効化/無効化の選択など、各マルチリージョンキーを個別に管理する必要があります。単一リージョンキーで実行できるすべての暗号化オペレーションで、マルチリージョンキーを使用できます。

マルチリージョンキーは、多くの一般的なデータセキュリティシナリオに対応する、柔軟で強力なソリューションです。

**ディザスタリカバリ **  
バックアップおよびリカバリアーキテクチャでは、マルチリージョンキーを使用すると、 AWS リージョン 停止が発生した場合でも、暗号化されたデータを中断することなく処理できます。バックアップリージョンで保持されるデータはバックアップリージョンで復号し、バックアップリージョンで新たに暗号化されたデータは、そのリージョンの復元時にプライマリリージョンで復号することができます。

**グローバルなデータ管理**  
グローバルに展開されるビジネスには、グローバルに配信され、 AWS リージョン全体で一貫して利用可能なデータが必要です。データが存在するすべてのリージョンでマルチリージョンキーを作成し、クロスリージョン呼び出しのレイテンシーや、各リージョンで異なるキーのデータの再暗号化に掛かるコストなしで、単一リージョンキーであるかのようにキーを使用できます。

**配信署名アプリケーション**  
クロスリージョン署名機能を必要とするアプリケーションでは、マルチリージョンの非対称署名キーを使用して、異なる AWS リージョンで同一のデジタル署名を、一貫して繰り返し生成することができます。  
単一のグローバルトラストストア (単一のルート認証機関 (CA))、およびルート CA によって署名されたリージョンの中間 CA で証明書チェーンを使用する場合、マルチリージョンキーは不要です。ただし、アプリケーション署名などの中間 CA がシステムでサポートされない場合は、マルチリージョンキーを使用して、リージョンの認定に一貫性を持たせることができます。

**複数のリージョンにまたがるアクティブ-アクティブアプリケーション**  
一部のワークロードとアプリケーションは、アクティブ-アクティブアーキテクチャで複数のリージョンにまたがることができます。これらのアプリケーションでは、マルチリージョンキーを使用して、リージョンの境界を越えて移動する可能性のあるデータに対する暗号化と復号の同時オペレーションに同じキーマテリアルを提供し、複雑さを軽減できます。

マルチリージョンキーは、クライアント側の暗号化ライブラリ ([AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)、[AWS データベース暗号化 SDK](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/)、[Amazon S3 クライアント側暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)など) で使用できます。

保管時の暗号化またはデジタル署名のために [AWS と統合されているほとんどのサービスは AWS KMS](https://aws.amazon.com/kms/features/)、現在、マルチリージョンキーを単一リージョンキーであるかのように扱います。リージョン間で移動されたデータを再ラップまたは再暗号化する場合があります。例えば、Amazon S3 クロスリージョンレプリケーションは、マルチリージョンキーで保護されたオブジェクトをレプリケートする場合でも、レプリケート先リージョンの KMS キーでデータを復号および再暗号化します。サービスが暗号化されたデータをレプリケートする方法と、マルチリージョンキーを異なる方法で扱うかどうかについては、サービス固有のドキュメントを参照してください。

マルチリージョンキーはグローバルではありません。マルチリージョンのプライマリキーを作成し、そのキーを [AWS パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)内で選択するリージョンにレプリケートします。次に、各リージョンでマルチリージョンキーを個別に管理します。ユーザーに代わってマルチリージョンキーを自動的に作成またはレプリケート AWS AWS KMS することはありません。 AWS は[AWS マネージドキー](concepts.md#aws-managed-key)、サービスがユーザーに代わってアカウントで作成する KMS キーであり、常に単一リージョンキーです。

中国リージョンでは、マルチリージョンキー機能を使用して、中国リージョンパーティション (`aws-cn`) 内で KMS キーをレプリケートできます。例えば、キーを中国 (北京) リージョンから中国 (寧夏) リージョンにレプリケートすること、およびその逆にレプリケートすることができます。中国リージョン間でキーをレプリケートすることで、レプリケート先リージョン AWS Key Management Service の を使用することに同意し、レプリケート先リージョンに適用されるすべての利用規約を遵守することになります。北京および寧夏リージョンから中国 AWS リージョンパーティション外のリージョンにキーをレプリケートすることはできません。同様に、中国リージョンパーティション外のリージョンから北京リージョンと寧夏リージョンにキーをレプリケートすることはできません。

既存の単一リージョンキーをマルチリージョンキーに変換することはできません。この設計により、既存の単一リージョンキーで保護されているすべてのデータが、同じデータ常駐プロパティとデータ主権プロパティを維持できます。

ほとんどのデータセキュリティニーズでは、リージョンリソースのリージョン分離と耐障害性により、標準の AWS KMS 単一リージョンキーが最適なソリューションになります。ただし、複数のリージョンにまたがるクライアント側のアプリケーションでデータを暗号化または署名する必要がある場合は、マルチリージョンキーがソリューションとなることがあります。



**リージョン**

マルチリージョンキーは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。

**料金とクォータ**

関連するマルチリージョンキーのセットに含まれるすべてのキーは、料金およびクォータに関して、1 つの KMS キーとしてカウントされます。[AWS KMS クォータ](limits.md)は、アカウントのリージョンごとに個別に計算されます。各リージョンのマルチリージョンキーの使用と管理は、そのリージョンのクォータでカウントされます。

**サポートされる KMS キータイプ**

次の種類のマルチリージョン KMS キーを作成できます。
+ 対称暗号化 KMS キー
+ 非対称 KMS キー
+ HMAC KMS キー
+ インポートされたキーマテリアルを持つ KMS キー

カスタムキーストアでマルチリージョンキーを作成することはできません。

**詳細はこちら**
+ マルチリージョン KMS キーへのアクセスを制御する方法については、「[マルチリージョンキーへのアクセスを制御する](multi-region-keys-auth.md)」を参照してください。
+ 任意のタイプのマルチリージョンプライマリ KMS キーの作成方法については、「[マルチリージョンのプライマリキーを作成する](create-primary-keys.md)」を参照してください。
+ マルチリージョンのレプリカ KMS キーの作成方法については、「[マルチリージョンのレプリカキーを作成する](multi-region-keys-replicate.md)」を参照してください。
+ プライマリリージョンの更新方法については、「[マルチリージョンキーセットのプライマリキーを変更する](multi-region-update.md)」を参照してください。
+ マルチリージョン KMS キーの特定と表示については、「[HMAC KMS キーの特定](identify-key-types.md#hmac-view)」を参照してください。
+ マルチリージョン KMS キーの削除に関する注意事項については、「[Deleting multi-Region keys](deleting-keys.md#deleting-mrks)」を参照してください。

## 用語と概念
<a name="multi-region-concepts"></a>

マルチリージョンキーでは、次の条件と概念を使用します。

### マルチリージョンキー
<a name="multi-Region-concept"></a>

*マルチリージョンキー*は、異なる AWS リージョンで同じキー ID とキーマテリアル (およびその他の[共有プロパティ](#mrk-replica-key)) を持つ KMS キーのセットの 1 つです。各マルチリージョンキーは、完全に機能する KMS キーで、関連するマルチリージョンキーとは完全に独立して使用できます。*関連する*すべてのマルチリージョンキーは同じキー ID とキーマテリアルを持つため、*相互運用可能です*。つまり、任意の の関連するマルチリージョンキーは、他の関連するマルチリージョンキーによって暗号化された暗号文を復号 AWS リージョン できます。

KMS キーの作成時に、KMS キーのマルチリージョンのプロパティを設定します。既存のキーでマルチリージョンプロパティを変更することはできません。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。既存のワークロードをマルチリージョンシナリオに移動するには、データを再暗号化するか、新しいマルチリージョンキーを使用して新しい署名を作成する必要があります。

マルチリージョンキーは[対称または非対称](symmetric-asymmetric.md)で、 AWS KMS キーマテリアルまたは[インポートされたキーマテリアル](importing-keys.md)を使用できます。[カスタムキーストア](key-store-overview.md#custom-key-store-overview)でマルチリージョンキーを作成することはできません。

関連するマルチリージョンキーのセットには、常に 1 つだけ[プライマリキー](#mrk-primary-key)があります。他の AWS リージョンで、そのプライマリキーの[レプリカキー](#mrk-replica-key)を作成できます。[プライマリリージョンを更新する](multi-region-update.md#update-primary-console)と、プライマリキーがレプリカキーに変更され、指定されたレプリカキーがプライマリキーに変更されます。ただし、各キーに保持できるプライマリキーまたはレプリカキーは 1 つだけです AWS リージョン。リージョンはすべて、同じ [AWS パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)である必要があります。

関連するマルチリージョンキーの複数のセットを、同じまたは異なる AWS リージョンで持つことができます。関連するマルチリージョンキーは相互運用可能ですが、関連しないマルチリージョンキーは相互運用できません。

### プライマリキー
<a name="mrk-primary-key"></a>

マルチリージョン*プライマリキー*は、同じパーティション AWS リージョン 内の他の にレプリケートできる KMS キーです。マルチリージョンキーの各セットには、プライマリキーが 1 つしかありません。

プライマリキーは、次の点でレプリカキーとは異なります。
+ プライマリキーのみが[レプリケーション](multi-region-keys-replicate.md)可能です。
+ プライマリキーは、[レプリカキー](#mrk-replica-key) (キーマテリアルとキー ID を含む) の[共有プロパティ](#mrk-replica-key)のソースです。
+ [自動キーローテーション](rotate-keys.md)は、プライマリキーでのみ有効または無効にできます。
+ [プライマリキーの削除をいつでもスケジュールする](deleting-keys.md#deleting-mrks)ことができます。ただし AWS KMS 、すべてのレプリカキーが削除されるまで、プライマリキーは削除されません。

プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。

プライマリキーをレプリケートする必要はありません。プライマリキーは、KMS キーと同じように使用し、有用であればレプリケートすることができます。ただし、マルチリージョンキーには単一リージョンキーとは異なるセキュリティプロパティがあるため、プライマリキーをコレプリケートする場合にのみ、マルチリージョンキーを作成することをお勧めします。

### レプリカキー
<a name="mrk-replica-key"></a>

マルチリージョンの*レプリカキー*は、[プライマリキー](#mrk-primary-key)および関連するレプリカキーと同じ[キー ID](concepts.md#key-id-key-id) とキーマテリアルを持ちますが、異なる AWS リージョンに存在する KMS キーです。

レプリカキーは、固有のキーポリシー、グラント、エイリアス、タグ、およびその他のプロパティを持つ、完全に機能する KMS キーです。レプリカキーは、プライマリキーまたは他のキーのコピーまたはポインタではありません。プライマリキーと関連するすべてのレプリカキーが無効になっている場合でも、レプリカキーを使用できます。また、レプリカキーをプライマリキーに変換し、プライマリキーをレプリカキーに変換することもできます。レプリカキーが作成されると、レプリカキーはそのプライマリキーに[キーローテーション](rotate-keys.md#multi-region-rotate)および[プライマリリージョンの更新](multi-region-update.md)のみを依存します。

プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。プライマリキーまたはレプリカキーで暗号化されたデータは、同じキー、または関連する任意のプライマリキーまたはレプリカキーで復号できます。

### レプリケーション
<a name="replicate"></a>

マルチリージョンの[プライマリキー](#mrk-primary-key)を同じパーティション内の別の AWS リージョン に*レプリケー*トできます。これを行うと、 はプライマリ[キーと同じキー ID と他の共有プロパティを使用して、指定されたリージョンにマルチリージョンレプリカ](#mrk-replica-key)キー AWS KMS を作成します。 [キー ID](concepts.md#key-id-key-id) [共有プロパティ](#mrk-sync-properties)`AWS_KMS` オリジンを持つ KMS キーの場合、 はキーマテリアルをリージョンの境界を越えて AWS KMS 安全に転送し、新しいレプリカキーに関連付けます AWS KMS。`EXTERNAL` オリジンを持つ KMS キーの場合、プライマリリージョンキーにインポートしたのと同じキーマテリアルをインポートして、個別にレプリカリージョンキーに到達する必要があります。

### 共有プロパティ
<a name="mrk-sync-properties"></a>

*共有プロパティ*は、レプリカキーと共有されるマルチリージョンプライマリキーのプロパティです。 は、プライマリキーと同じ共有プロパティ値を持つレプリカキー AWS KMS を作成します。次に、プライマリキーの共有プロパティ値をレプリカキーに定期的に同期します。レプリカキーでは、これらのプロパティを設定できません。

以下は、マルチリージョンキーの共有プロパティです。
+ [キー ID](concepts.md#key-id-key-id) — ([キー ARN](concepts.md#key-id-key-ARN) の `Region` 要素が異なります)。
+ [キーマテリアル](create-keys.md#key-origin) — 関連するマルチリージョンキーのセット内のプライマリキーとレプリカキーは、同じキーマテリアルを共有します。キーマテリアルが AWS KMS (`AWS_KMS`オリジン) によって生成されるマルチリージョンキーの場合、レプリカの作成時、または自動ローテーションまたはオンデマンドローテーションによって新しいキーマテリアルの作成時に、 はすべてのキーマテリアルをプライマリから各レプリカに AWS KMS 安全に転送します。インポートされたキーマテリアル (`EXTERNAL`オリジン) を持つマルチリージョンキーの場合、 はキーマテリアル識別子をプライマリキーから AWS KMS 同期しますが、キーマテリアルを各レプリカキーに個別にインポートする必要があります。
+ [キーマテリアルのオリジン](create-keys.md#key-origin)
+ [キー仕様](create-keys.md#key-spec)および暗号化アルゴリズム
+ [キーの用途](create-keys.md#key-usage)
+ [自動キーローテーション](rotating-keys-enable.md) — 自動キーローテーションは、プライマリキーでのみ有効または無効にできます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)」を参照してください。
+ [オンデマンドローテーション](rotating-keys-on-demand.md) — プライマリキーでのみオンデマンドローテーションを実行できます。キーマテリアルが AWS KMS (`AWS_KMS`オリジン) によって生成されるマルチリージョンキーの場合、 は共有キーマテリアルのすべてのバージョンでレプリカキー AWS KMS を作成します。インポートされたキーマテリアル (`EXTERNAL`オリジン) を持つマルチリージョンキーの場合、 はキーマテリアル ID とキーマテリアルの説明をプライマリキーからレプリカキーに AWS KMS 伝達しますが、キーマテリアルは伝達しません。正しいキーマテリアルを各レプリカキーに個別にインポートする必要があります。詳細については、「[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)」を参照してください。

関連するマルチリージョンキーのプライマリおよびレプリカの指定は、共有プロパティと考えることもできます。[新しいレプリカキーを作成する](#mrk-replica-key)か、[プライマリキーを更新すると](multi-region-update.md#update-primary-console)、 は関連するすべてのマルチリージョンキーに変更を AWS KMS 同期します。これらの変更が完了すると、関連するすべてのマルチリージョンキーが、プライマリキーとレプリカキーを正確に一覧表示します。

マルチリージョンキーの他のすべてのプロパティは、キーの説明、[キーポリシー](key-policies.md)、[許可](grants.md)、[有効/無効のキーの状態](enabling-keys.md)、[エイリアス、タグなど](kms-alias.md)、*独立したプロパティ*です。 [のタグ AWS KMS](tagging-keys.md)関連するすべてのマルチリージョンキーでこれらのプロパティに同じ値を設定できますが、独立したプロパティの値を変更すると、 AWS KMS は同期しません。

マルチリージョンキーの共有プロパティの同期を追跡できます。 AWS CloudTrail ログで、[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) イベントを探します。

# マルチリージョンキーのセキュリティに関する考慮事項
<a name="mrk-when-to-use"></a>

 AWS KMS マルチリージョンキーは、必要な場合にのみ使用してください。マルチリージョンキーは、暗号化されたデータを AWS リージョン の間で移動するワークロード、またはクロスリージョンアクセスが必要なワークロードに柔軟でスケーラブルなソリューションを提供します。保護されたデータを、リージョンを超えて共有、移動、バックアップする必要がある場合、または異なるリージョンで同一のデジタル署名を作成する必要がある場合は、マルチリージョンキーを検討します。

ただし、マルチリージョンキーを作成するプロセスでは、キーマテリアルは AWS KMS内の AWS リージョン の境界を越えて移動します。マルチリージョンキーによって生成される暗号文は、複数の地理的位置にある複数の関連キーによって復号される可能性があります。地域的に孤立したサービスやリソースにも大きな利点があります。各 AWS リージョン は他のリージョンから分離され、独立しています。リージョンでは耐障害性や安定性が提供され、レイテンシーを低減することもできます。これにより、別のリージョンの障害の影響を受けずに利用できる冗長リソースを作成できます。また AWS KMS、 では、すべての暗号文を 1 つのキーのみで復号できます。

マルチリージョンキーは、セキュリティに関する新しい考慮事項も提起します。
+ マルチリージョンキーでは、アクセス制御とデータセキュリティポリシーの適用がより複雑です。複数の独立したリージョン全体で、ポリシーがキーで一貫して監査されることを確認する必要があります。また、個別のキーに依存する代わりに、ポリシーを使用して境界を適用する必要があります。

  例えば、あるリージョンの給与チームが別のリージョンの給与データを読み取れないようにするために、データにポリシー条件を設定する必要があります。また、あるリージョンのマルチリージョンキーが 1 つのテナントのデータを保護し、別のリージョンの関連するマルチリージョンキーが別のテナントのデータを保護するというシナリオを防ぐには、アクセス制御を使用する必要があります。
+ リージョン全体のキーの監査もより複雑です。マルチリージョンキーでは、複数のリージョン全体の監査アクティビティを調べて調整し、保護されるデータのキーアクティビティを完全に理解する必要があります。
+ データ常駐に関するコンプライアンスは、より複雑になる可能性があります。孤立したリージョンでは、データ常駐とデータ主権のコンプライアンスを確保できます。特定のリージョンの KMS キーは、そのリージョン内の機密データのみを復号できます。あるリージョンで暗号化されたデータは完全に保護され、他のリージョンではアクセスできません。

  マルチリージョンキーを使用してデータレジデンシーとデータ主権を検証するには、アクセスポリシーを実装し、複数のリージョンに AWS CloudTrail イベントをコンパイルする必要があります。

マルチリージョンキーのアクセス制御を管理しやすくするために、マルチリージョンキーのレプリケーション許可 ([kms:ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)) は、キーを作成するスタンダードなアクセス許可 ([kms:CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)) と分けられています。また、 は、マルチリージョンキーを作成`kms:MultiRegion`、使用、または管理するアクセス許可を許可または拒否する や、マルチリージョンキーをレプリケートできるリージョンを制限する など`kms:ReplicaRegion`、マルチリージョンキーの複数のポリシー条件 AWS KMS をサポートします。詳細については、「[マルチリージョンキーへのアクセスを制御する](multi-region-keys-auth.md)」を参照してください。

# マルチリージョンキーの仕組み
<a name="mrk-how-it-works"></a>

まず、米国東部 (バージニア北部) など、 が AWS KMS サポート AWS リージョン する で対称または非対称[マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)を作成します。キーを単一リージョンにするか、マルチリージョンにするかは、作成時にのみ決定できます。このプロパティは後で変更できません。KMS キーと同様に、マルチリージョンキーのキーポリシーを設定することで、グラントを作成したり、分類と認可用のエイリアスとタグを追加したりできます。(これらは、他のキーと共有または同期されない[独立したプロパティ](multi-region-keys-overview.md#mrk-sync-properties)です)。暗号化または署名の暗号化オペレーションで、マルチリージョンのプライマリキーを使用できます。

マルチ[リージョンのプライマリキーは、コンソールで作成することも、 パラメータを に設定して CreateKey API を使用して作成](create-primary-keys.md)することもできます`true`。 AWS KMS [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) `MultiRegion` マルチリージョンキーには `mrk-` で始まる固有のキー ID があります。`mrk-` プレフィックスを使用して、プログラムで MRK を識別できます。

![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/multi-region-primary-key.png)


選択すると、マルチリージョンのプライマリキーを、欧州 (アイルランド) など、同じ[AWS パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) AWS リージョン 内の 1 つ以上の異なる に[レプリケー](multi-region-keys-overview.md#replicate)トできます。これを行うと、 はプライマリ[キーと同じキー ID と他の共有プロパティを使用して、指定されたリージョンにレプリカ](multi-region-keys-overview.md#mrk-replica-key)キー AWS KMS を作成します。 [共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)結果として、2 つの*関連する*マルチリージョンキーが作成されます (プライマリキーとレプリカキー)。これらは相互に使用することができます。

[マルチリージョンレプリカキーは、コンソールまたは ReplicateKey API を使用して作成](multi-region-keys-replicate.md)できます。 AWS KMS [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 

![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/multi-region-replica-key.png)


作成された[マルチリージョンレプリカキー](multi-region-keys-overview.md#mrk-replica-key)は、完全に機能する KMS キーで、プライマリキーと同じ[共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)を備えています。それ以外の点では、独自の説明、キーポリシー、グラント、エイリアス、タグを持つ独立した KMS キーです。マルチリージョンキーを有効または無効にしても、関連するマルチリージョンキーには影響しません。プライマリキーとレプリカキーは、暗号化オペレーションで個別に使用することも、連携させて使用することもできます。例えば、米国東部 (バージニア北部) リージョンのプライマリキーを使用してデータを暗号化し、欧州 (アイルランド) リージョンにデータを移動し、レプリカキーを使用してデータを復号できます。

関連するマルチリージョンキーは同じキー ID を持ちます。キー ARN (Amazon リソースネーム) は、リージョンフィールドでのみ異なります。例えば、マルチリージョンのプライマリキーとレプリカキーには、次のキー ARN があります。キー ID (キー ARN の最後の要素) は同一です。両方のキーには、**mrk-** で始まる、マルチリージョンキー固有のキー ID があります。

```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```

相互運用性のために、同じキー ID が必要です。暗号化時に、 は KMS キーのキー ID を暗号文に AWS KMS バインドするため、暗号文は、その KMS キーまたは同じキー ID を持つ KMS キーでのみ復号できます。この機能により、関連するマルチリージョンキーが認識しやすくなり、相互に使用しやすくなります。例えば、アプリケーションで使用する場合は、共有キー ID で関連するマルチリージョンキーを参照できます。次に、必要に応じて、リージョンまたは ARN を指定して、それらを区別します。

データのニーズの変化に応じて、米国西部 (オレゴン) やアジアパシフィック (シドニー) など、同じパーティション AWS リージョン 内の他の にプライマリキーをレプリケートできます。結果は、次の図表に示された、同じキーマテリアルとキー ID を持つ 4 つの*関連する*マルチリージョンキーとなります。キーは個別に管理します。キーマテリアルがインポートされたマルチリージョンキーの場合、キーマテリアルを関連する各キーに個別にインポートする責任があります。キーは独立して使用することも、連携させて使用することもできます。例えば、アジアパシフィック (シドニー) でレプリカキーを使用してデータを暗号化し、データを米国西部 (オレゴン) に移動して、米国西部 (オレゴン) でレプリカキーを使用して復号できます。

![\[マルチリージョンキーのプライマリキーとレプリカキー\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/multi-region-keys.png)


マルチリージョンキーに関するその他の考慮事項は次のとおりです。

*共有プロパティの同期* — マルチリージョンキー[の共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)が変更された場合、 は[プライマリキー](multi-region-keys-overview.md#mrk-primary-key)からすべての[レプリカキー](multi-region-keys-overview.md#mrk-replica-key)に変更 AWS KMS を自動的に同期します。共有プロパティの同期をリクエストまたは強制することはできません。 はすべての変更 AWS KMS を検出して同期します。ただし、CloudTrail ログの [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) イベントを使用して、同期を監査することができます。

たとえば、オ`AWS_KMS`リジンを持つ対称マルチリージョンプライマリキーで自動キーローテーションを有効にすると、 はその設定をすべてのレプリカキー AWS KMS にコピーします。キーマテリアルをローテーションすると、関連するすべてのマルチリージョンキー間でローテーションが同期されます。これにより、マルチリージョンキーは引き続き現在と同じキーマテリアルを持ち、古いバージョンのキーマテリアルすべてにアクセスできます。新しいレプリカキーを作成すると、そのキーマテリアルは、関連するすべてのマルチリージョンキーの現在のキーマテリアルと同じになり、以前のバージョンのキーマテリアルすべてにアクセスできます。詳細については、「[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)」を参照してください。

*プライマリキーの変更* — マルチリージョンキーのすべてのセットには、プライマリキーが 1 つだけ必要です。[プライマリキー](multi-region-keys-overview.md#mrk-primary-key)はレプリケートできる唯一のキーです。また、レプリカキーの共有プロパティのソースでもあります。ただし、プライマリキーをレプリカに変更し、レプリカキーの 1 つをプライマリに昇格させることができます。これにより、特定のリージョンから複数リージョンのプライマリキーを削除したり、プロジェクト管理者の近くにあるリージョンでプライマリキーを検索したりできます。詳細については、「[マルチリージョンキーセットのプライマリキーを変更する](multi-region-update.md)」を参照してください。

*マルチリージョンキーの削除* — すべての KMS キーと同様に、 がマルチリージョンキーを削除する前に AWS KMS 削除をスケジュールする必要があります。キーが削除保留中の間は、暗号化オペレーションでキーを使用することはできません。ただし、すべてのレプリカキーが削除されるまで、 はマルチリージョンのプライマリキーを削除 AWS KMS しません。詳細については、[Deleting multi-Region keys](deleting-keys.md#deleting-mrks) を参照してください

# キーの AWS KMS キーマテリアルのインポート
<a name="importing-keys"></a>

指定したキーマテリアルを使用して AWS KMS keys (KMS キー) を作成できます。

KMS キーは、データキーの論理表現です。KMS キーのメタデータには、暗号化オペレーションの実行に使用されるキーマテリアルの ID が含まれます。[KMS キーを作成すると](create-keys.md)、デフォルトで はその KMS キーのキーマテリアル AWS KMS を生成します。ただし、キーマテリアルを使用せずに KMS キーを作成し、独自のキーマテリアルをその KMS キーにインポートできます。この機能は、「キーの持ち込み」(BYOK) とも呼ばれます。

![\[そのキーが表すキーマテリアルを強調表示したキーアイコン。\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/import-key.png)


**注記**  
AWS KMS は、暗号化テキストがインポートされたキーマテリアルを持つ AWS KMS KMS キーで暗号化されていても AWS KMS、 の外部で対称暗号化 KMS キーによって暗号化された暗号化テキストの復号をサポートしていません。 AWS KMS はこのタスクに必要な暗号化テキスト形式を発行せず、形式は予告なしに変更される可能性があります。

インポートされたキーマテリアルを使用する場合、 がキーマテリアルのコピーを使用 AWS KMS できるようにしながら、キーマテリアルの責任を引き続き負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。
+ 要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。
+  AWS サービスで独自のインフラストラクチャのキーマテリアルを使用し、 を使用して AWS KMS そのキーマテリアルのライフサイクルを管理します AWS。
+ コード署名、PKI 証明書署名 AWS KMS、証明書固定アプリケーションのキーなど、既存の確立されたキーを で使用するには
+  AWS でキーマテリアルの有効期限を設定し、[手動で削除します](importing-keys-delete-key-material.md)が、今後再び使用できるようにするには。これに対して、[キー削除のスケジュール](deleting-keys.md#deleting-keys-how-it-works)は、7 日から 30 日間の待機時間が必要となり、その後、削除された KMS キーは復元できません。
+ キーマテリアルの元のコピーを所有し、キーマテリアルの完全なライフサイクル中に耐久性とディザスタリカバリを強化 AWS するために の外部に保持します。
+ 非対称キーと HMAC キーの場合、 をインポートすると、互換性があり相互運用可能なキーが作成され、内外で動作します AWS。

**サポートされる KMS キータイプ**

AWS KMS は、次のタイプの KMS キーのインポートされたキーマテリアルをサポートします。[カスタムキーストア](key-store-overview.md#custom-key-store-overview)内の KMS キーにキーマテリアルをインポートすることはできません。
+ [対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [非対称 KMS キー (ML-DSA キーを除く)](symmetric-asymmetric.md)
+ [HMAC KMS キー](hmac.md)
+ サポートされているすべてのタイプの[マルチリージョンキー](multi-region-keys-overview.md)。

**リージョン**

インポートされたキーマテリアルは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。

中国リージョンでは、対称暗号化 KMS キーの主要なマテリアル要件は他のリージョンとは異なります。詳細については、「[ステップ 3: キーマテリアルを暗号化する](importing-keys-encrypt-key-material.md)」を参照してください。

**詳細はこちら**
+ インポートされたキーマテリアルを持つ KMS キーの作成については、「[インポートされたキーマテリアルを持つ KMS キーの作成](importing-keys-conceptual.md)」を参照してください。
+ インポートされたキーマテリアルを持つ KMS キーの有効期限が近づいたときに通知するアラームの作成については、「[インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する](imported-key-material-expiration-alarm.md)」を参照してください。
+ KMS キーにキーマテリアルを再インポートするには、「[キーマテリアルの再インポート](importing-keys-import-key-material.md#reimport-key-material)」を参照してください。
+ オンデマンドローテーション用に新しいキーマテリアルを KMS キーにインポートするには、「[新しいキーマテリアルのインポート](importing-keys-import-key-material.md#import-new-key-material)」および「[オンデマンドキーローテーションの実行](rotating-keys-on-demand.md)」を参照してください。
+ インポートされたキーマテリアルを持つ KMS キーの識別と表示については、「[インポートされたキーマテリアルを持つ KMS キーを特定する](identify-key-types.md#identify-imported-keys)」を参照してください。
+ インポートされたキーマテリアルを持つ KMS キーの削除に関する注意事項については、「[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)」を参照してください。

# インポートされたキーマテリアルに関する注意事項
<a name="importing-keys-considerations"></a>

キーマテリアルを にインポートする前に AWS KMS、インポートされたキーマテリアルの次の特性を理解しておく必要があります。

**キーのマテリアルを生成する**  
お客様の責任において、セキュリティ要件を満たすランダムのソースを使用して、キーマテリアルを生成する必要があります。

**可用性と耐久性に責任があります**  
AWS KMS は、インポートされたキーマテリアルを高可用性に保つように設計されています。ただし、 AWS KMS は、インポートされたキーマテリアルの耐久性を、 が AWS KMS 生成するキーマテリアルと同じレベルで維持しません。詳細については、「[インポートされたキーマテリアルの保護](import-keys-protect.md)」を参照してください。

**キーマテリアルを削除できます。**  
KMS キーから、[インポートしたキーマテリアルを削除](importing-keys-delete-key-material.md)すると、KMS キーはただちに使用できなくなります。また、KMS キーにキーマテリアルをインポートするときに、キーの有効期間を確認して[有効期限を設定](importing-keys-import-key-material.md#importing-keys-expiration)することができます。有効期限が来ると、 AWS KMS [はキーマテリアルを削除します](importing-keys-delete-key-material.md)。キーマテリアルがない場合、KMS キーは暗号化オペレーションで使用することはできません。キーを復元するには、キーに同じキーマテリアルを再インポートする必要があります。

**非対称キーと HMAC キーのキーマテリアルを変更することはできません**  
KMS キーにキーマテリアルをインポートすると、KMS キーはキーマテリアルに永続的に関連付けられます。[同じキーマテリアルを再インポート](importing-keys-import-key-material.md#reimport-key-material)することはできますが、別のキーマテリアルをその KMS キーにインポートすることはできません。また、キーマテリアルがインポートされた KMS キーに対して、[自動キーローテーションを有効にする](rotate-keys.md)ことはできません。ただし、キーマテリアルがインポートされた [KMS キーを手動でローテーションする](rotate-keys-manually.md)ことはできます。

**対称暗号化キーでオンデマンドローテーションを実行できます**  
インポートされたキーマテリアルを持つ対称暗号化キーは、オンデマンドローテーションをサポートします。これらのキーに[複数のキーマテリアルをインポート](importing-keys-import-key-material.md#import-new-key-material)し、[オンデマンドローテーション](rotating-keys-on-demand.md)を使用して現在のキーマテリアルを更新できます。現在のキーマテリアルは暗号化と復号の両方に使用されますが、他の (最新ではない) キーマテリアルは復号にのみ使用できます。

**キーマテリアルのオリジンは変更できません**  
インポートされたキーマテリアルのために設計されている KMS キーには、変更することができない `EXTERNAL` の[オリジン](create-keys.md#key-origin)の値があります。インポートされたキーマテリアルの KMS キーを変換して、 を含む他のソースのキーマテリアルを使用することはできません AWS KMS。同様に、 AWS KMS キーマテリアルを含む KMS キーを、インポートされたキーマテリアル用に設計されたキーマテリアルに変換することはできません。

**キーマテリアルはエクスポートできません**  
インポートしたキーマテリアルをエクスポートすることはできません。インポートしたキーマテリアルをどのような形式でも返す AWS KMS ことはできません。インポートしたキーマテリアルのコピーを AWSの外部、できればハードウェアセキュリティモジュール (HSM) などのキーマネージャーに保持する必要があります。これにより、キーマテリアルを削除した場合や有効期限が切れた場合は再インポートできます。

**インポートしたキーマテリアルを含むマルチリージョンキーを作成できます**  
インポートされたキーマテリアルを含むマルチリージョンには、インポートされたキーマテリアルの KMS キーと同様の機能があり、 AWS リージョン間の相互運用が可能です。キーマテリアルがインポートされたマルチリージョンキーを作成するには、同じキーマテリアルをプライマリ KMS キーと各レプリカキーにインポートする必要があります。マルチリージョンキーのキーマテリアルのインポートの詳細については、「」を参照してください[新しいキーマテリアルのインポート](importing-keys-import-key-material.md#import-new-key-material)。

**非対称キーと HMAC キーは移植可能で相互運用可能です**  
非対称キーマテリアルと の外部にある HMAC キーマテリアルを使用して AWS 、同じインポートされた AWS KMS キーマテリアルを持つキーと相互運用できます。  
アルゴリズムで使用される AWS KMS KMS キーに厳密にバインドされている対称暗号文とは異なり、 は暗号化、署名、MAC 生成に標準の HMAC 形式と非対称形式 AWS KMS を使用します。そのため、キーは移植可能で、従来のエスクローキーシナリオにも対応しています。  
KMS キーにインポートされたキーマテリアルがある場合、 の外部 AWS でインポートされたキーマテリアルを使用して、次のオペレーションを実行できます。  
+ HMAC キー – キーマテリアルがインポートされた HMAC KMS キーによって生成された HMAC タグを検証できます。インポートされたキーマテリアルで HMAC KMS キーを使用して、外部でキーマテリアルによって生成された HMAC タグを検証することもできます AWS。
+ 非対称暗号化キー — の外部でプライベート非対称暗号化キーを使用して AWS 、対応するパブリックキーで KMS キーによって暗号化された暗号文を復号できます。非対称 KMS キーを使用して、 の外部で生成された非対称暗号文を復号することもできます AWS。
+ 非対称署名キー — インポートされたキーマテリアルで非対称署名 KMS キーを使用して、外部のプライベート署名キーによって生成されたデジタル署名を検証できます AWS。の外部で非対称パブリック署名キーを使用して AWS 、非対称 KMS キーによって生成された署名を検証することもできます。
+ 非対称キーアグリーメントキー — インポートされたキーマテリアルを持つ非対称キーアグリーメント KMS キーを使用して、 AWSの外部のピアとの共有シークレットを取得できます。
同じキーマテリアルを同じ AWS リージョン内の別の KMS キーにインポートすると、それらのキーも相互運用できます。異なる で相互運用可能な KMS キーを作成するには AWS リージョン、インポートされたキーマテリアルを持つマルチリージョンキーを作成します。  

**RSA プライベートキー**
+ AWS KMS では、インポートされた RSA プライベートキーに、[FIPS 186-5、セクション A. 1.3 ](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)で説明されているテストに準拠した主要因が必要です。他のソフトウェアやデバイスは、RSA プライベートキーのこれらの主要因を検証するために異なるアルゴリズムを使用する場合があります。まれに、他のアルゴリズムを使用して検証されたキーが AWS KMSによって受け入れられないことがあります。

**対称暗号化キーは移植も相互運用もできません**  
 AWS KMS が生成する対称暗号文は移植可能または相互運用可能ではありません。 AWS KMS は、移植に必要な対称暗号文形式を公開せず、形式は予告なしに変更される可能性があります。  
+ AWS KMS は、インポートしたキーマテリアルを使用していても AWS、外部で暗号化した対称暗号文を復号できません。
+ AWS KMS は、暗号化テキストがインポートされたキーマテリアルを持つ KMS キーで暗号化された場合でも AWS KMS、 の外部での AWS KMS 対称暗号化テキストの復号をサポートしていません。
+ インポートされた同じキーマテリアルの KMS キーは相互運用できません。各 KMS キーに固有の暗号文 AWS KMS を生成する対称暗号文。この暗号文形式により、データを暗号化した KMS キーのみが復号できることが保証されます。
また、 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)や [Amazon S3 クライアント側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)などの AWS ツールを使用して対称 AWS KMS 暗号文を復号することはできません。  
その結果、インポートされたキーマテリアルを持つキーを使用して、キーマテリアルへの条件付きアクセスを持つ許可されたサードパーティーが の外部で特定の暗号文を復号できるキーエスクロー配置をサポートすることはできません AWS KMS。キーエスクローをサポートするには、[AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) を使用して、 AWS KMSに依存しないキーでメッセージを暗号化します。

# インポートされたキーマテリアルの保護
<a name="import-keys-protect"></a>

インポートしたキーマテリアルは、転送中も保管中も保護されます。キーマテリアルをインポートする前に、[FIPS 140-3 暗号化モジュール検証プログラム](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)で検証された AWS KMS ハードウェアセキュリティモジュール (HSMs」) します。キーマテリアルをラッピングパブリックキーで直接暗号化することも、キーマテリアルを AES 対称キーで暗号化してから、AES 対称キーを RSA パブリックキーで暗号化することもできます。

受信すると、 は AWS KMS HSM 内の対応するプライベートキーを使用してキーマテリアルを AWS KMS 復号し、HSM の揮発性メモリにのみ存在する AES 対称キーで再暗号化します。キーマテリアルがプレーンテキストで HSM 外に出ることはありません。使用中のみ、 AWS KMS HSMs。

キーマテリアルがインポートされた KMS キーの使用は、KMS キーに設定した[アクセス制御ポリシー](control-access.md)によってのみ特定されます。さらに、[エイリアス](kms-alias.md)と[タグ](tagging-keys.md)を使用して、KMS キーを識別し、KMS キーへの[アクセスを制御できます](abac.md)。キーを[有効化または無効化](enabling-keys.md)したり、[表示](viewing-keys.md)したり、あるいは AWS CloudTrailのようなサービスを使用して[モニタリング](monitoring-overview.md)したりすることができます。

ただし、キーマテリアルのフェイルセーフコピーはお客様のみが管理します。この追加のコントロール指標の見返りとして、インポートされたキーマテリアルの耐久性と全体的な可用性はお客様の責任となります。 AWS KMS は、インポートされたキーマテリアルを高可用性に保つように設計されています。ただし、 AWS KMS は、インポートされたキーマテリアルの耐久性を、 が AWS KMS 生成するキーマテリアルと同じレベルで維持しません。

耐久性におけるこの相違は、次の場合に有意義です。
+ インポートしたキーマテリアル[の有効期限を設定すると](importing-keys-import-key-material.md#importing-keys-expiration)、 は有効期限が切れた後にキーマテリアル AWS KMS を削除します。 AWS KMS は KMS キーまたはそのメタデータを削除しません。インポートされたキーマテリアルの有効期限が近づいたときに通知する [Amazon CloudWatch アラームを作成できます](imported-key-material-expiration-alarm.md)。

  が KMS キーに対して AWS KMS 生成するキーマテリアルを削除したり、 AWS KMS キーマテリアルの有効期限を設定したりすることはできません。
+ [インポートされたキーマテリアルを手動で削除する](importing-keys-delete-key-material.md)と、 はキーマテリアル AWS KMS を削除しますが、KMS キーまたはそのメタデータは削除しません。対照的に、[キーの削除をスケジュール](deleting-keys.md#deleting-keys-how-it-works)するには 7～30 日間の待機期間が必要です。その後、 は KMS キー、そのメタデータ、およびそのキーマテリアル AWS KMS を完全に削除します。
+ 万一、 に影響するリージョン全体の特定の障害 AWS KMS (停電など) が発生した場合、 AWS KMS はインポートされたキーマテリアルを自動的に復元できません。ただし、 は KMS キーとそのメタデータを復元 AWS KMS できます。

インポートされたキーマテリアルのコピーは、ユーザーが管理するシステムの の外部 AWS に保持*する必要があります*。インポートされたキーマテリアルのエクスポート可能なコピーを、HSM などのキーマネジメントシステムに保存しておくことをお勧めします。ベストプラクティスとして、KMS キー ARN と AWS KMS によって生成されたキーマテリアル ID への参照をキーマテリアルのエクスポート可能なコピーとともに保存することが推奨されます。インポートしたキーマテリアルが削除されるか期限切れになった場合、同じキーマテリアルを再インポートするまで、関連付けられた KMS キーは使用できなくなります。インポートしたキーマテリアルが完全に失われた場合、KMS キーで暗号化された暗号文は回復できません。

**重要**  
対称暗号化キーには、複数のキーマテリアルを関連付けることができます。これらのキーマテリアルのいずれかを削除するか、それらのキーマテリアルのいずれかの有効期限が切れるとすぐに、KMS キー全体が使用できなくなります (削除または期限切れのキーマテリアルが `PENDING_ROTATION`または でない限り`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`)。キーが暗号化オペレーションで使用できなくなる前に、そのようなキーに関連付けられ、有効期限が切れたキーマテリアルまたは削除したキーマテリアルを再インポートする必要があります。

# CloudHSM キーストアの KMS キー
<a name="manage-cmk-keystore"></a>

 AWS CloudHSM キーストア AWS KMS keys で の作成、表示、管理、使用、削除のスケジュールを設定できます。手順は、他の KMS キーを使用する際の手順に非常によく似ています。唯一の違いは、KMS AWS CloudHSM キーを作成するときに キーストアを指定することです。次に、 は、キーストアに関連付けられているクラスター内の AWS CloudHSM KMS キーの抽出不可能な AWS CloudHSM キーマテリアル AWS KMS を作成します。キーストアで KMS AWS CloudHSM キーを使用すると、[暗号化オペレーション](#use-cmk-keystore)はクラスター内の HSMsで実行されます。

**サポートされている機能**  
このセクションで説明する手順に加えて、 キーストアの KMS AWS CloudHSM キーを使用して以下を実行できます。  
+ KMS キーへの[アクセスを承認する](control-access.md)ときは、キーポリシー、IAM ポリシー、グラントを使用します。
+ KMS キーを[有効および無効にします](enabling-keys.md)。
+ [タグ](tagging-keys.md)を割り当てて[エイリアス](kms-alias.md)を作成し、属性ベースのアクセス制御 (ABAC) を使用して KMS キーへのアクセスを承認します。
+ KMS キーを使用して以下の暗号化オペレーションを実行します。
  + [暗号化](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  非対称データキーペア ([GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) と [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)) を生成するオペレーション は、カスタムキーストアでサポートされていません。
+ [AWS KMSを統合し、カスタマーマネージドキーをサポートするAWS サービス](service-integration.md)で KMS キーを使用します。
+ [AWS CloudTrail ログ](logging-using-cloudtrail.md)と [Amazon CloudWatch モニタリングツール](monitoring-overview.md)での KMS キーの使用状況を追跡します。

**サポートされていない 機能**  
+ AWS CloudHSM キーストアは、対称暗号化 KMS キーのみをサポートします。 AWS CloudHSM キーストアで HMAC KMS キー、非対称 KMS キー、または非対称データキーペアを作成することはできません。
+ [キーストアの KMS キーにキーマテリアルをインポート](importing-keys.md)することはできません。 は、クラスター内の AWS CloudHSM KMS キーのキーマテリアル AWS KMS を生成します。 AWS CloudHSM 
+ キーストアの KMS キーの AWS CloudHSM キーマテリアル[の自動ローテーション](rotate-keys.md)を有効または無効にすることはできません。

**キーストアでの KMS AWS CloudHSM キーの使用**  
リクエストで KMS キーを使用する場合は、ID またはエイリアスで KMS キーを識別します。 AWS CloudHSM キーストアまたは AWS CloudHSM クラスターを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。  
ただし、 AWS CloudHSM キーストアで KMS キーを使用する場合、暗号化オペレーションは AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスター内で完全に実行されます。オペレーションでは、選択した KMS キーに関連付けられているクラスターのキーマテリアルが使用されます。  
これを可能にするには、次の条件が必要です。  
+ KMS キーの[キーストア](key-state.md)は `Enabled` である必要があります。キーステータスを検索するには、[AWS KMS コンソール](finding-keys.md#viewing-console-details)の **[ステータス]** フィールド、または [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) レスポンスの [`KeyState`] フィールドを使用します。
+  AWS CloudHSM キーストアは AWS CloudHSM クラスターに接続する必要があります。[AWS KMS コンソール](view-keystore.md)の **[Status]** (ステータス) または [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) レスポンスの `ConnectionState` は、`CONNECTED` になっているはずです。
+ カスタムキーストアに関連付けられている AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内のアクティブな HSMs の数を確認するには、 [AWS KMS コンソール](view-keystore.md)、 AWS CloudHSM コンソール、または [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。
+  AWS CloudHSM クラスターには、KMS キーのキーマテリアルが含まれている必要があります。キーマテリアルがクラスターから削除された場合、または HSM がキーマテリアルを含まないバックアップから作成された場合、暗号化オペレーションは失敗します。
これらの条件が満たされない場合、暗号化オペレーションは失敗し、 は`KMSInvalidStateException`例外 AWS KMS を返します。通常、[AWS CloudHSM キーストアを再接続するだけで済みます](connect-keystore.md)。その他のヘルプについては、「[失敗した KMS キーを修正するには](fix-keystore.md#fix-cmk-failed)」を参照してください。  
 AWS CloudHSM キーストアで KMS キーを使用する場合は、各 AWS CloudHSM キーストアの KMS キーが[暗号化オペレーションのカスタムキーストアリクエストクォータ](requests-per-second.md#rps-key-stores)を共有することに注意してください。クォータを超えると、 は AWS KMS を返します`ThrottlingException`。 AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスターが、 AWS CloudHSM キーストアに関連しないコマンドなど、多数のコマンドを処理している場合、 はさらに低いレート`ThrottlingException`で取得される可能性があります。すべてのリクエストで `ThrottlingException` が表示される場合、リクエスト速度を下げ、再度コマンドを試してください。カスタムキーストアのリクエストクォータの詳細については、「[カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)」を参照してください。

**詳細情報**  
+  AWS CloudHSM キーストアの詳細については、「」を参照してください[AWS CloudHSM キーストア](keystore-cloudhsm.md)。
+ キーストアで KMS AWS CloudHSM キーを作成するには、「」を参照してください[キーストアに KMS AWS CloudHSM キーを作成する](create-cmk-keystore.md)。
+ キーストア内の KMS AWS CloudHSM キーを識別して表示するには、「」を参照してください[キーストア内の KMS AWS CloudHSM キーを特定する](identify-key-types.md#identify-key-hsm-keystore)。
+ キーストアで KMS キーと AWS CloudHSM キーマテリアルを検索するには、「」を参照してください[キーストアで KMS キーと AWS CloudHSM キーマテリアルを検索する](find-key-material.md)。
+  AWS CloudHSM キーストアで KMS キーを削除するための特別な考慮事項については、[AWS CloudHSM 「キーストアから KMS キーを削除する](deleting-keys.md#delete-cmk-keystore)」を参照してください。

# 外部キーストアの KMS キー
<a name="keystore-external-key-manage"></a>

外部キーストアで KMS キーを作成、表示、管理、使用し、削除をスケジュールするには、他の KMS キーに使用する手順と極めてよく似た手順を使用します。ただし、外部キーストアに KMS キーを作成する場合は、[外部キーストア](keystore-external.md#concept-external-key-store)と[外部キー](keystore-external.md#concept-external-key)を指定します。外部キーストアで KMS キーを使用すると、指定された外部キーにより、外部キーマネージャーが[暗号化および復号オペレーション](keystore-external.md#xks-how-it-works)を実行します。

AWS KMS は、外部キーマネージャーで暗号化キーを作成、表示、更新、または削除することはできません。 は、外部キーマネージャーまたは外部キーに直接アクセス AWS KMS することはありません。暗号化オペレーションのリクエストはすべて、[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)によって仲介されます。外部キーストアで KMS キーを使用するには、KMS キーをホストする外部キーストアを、外部キーストアプロキシに[接続](xks-connect-disconnect.md)する必要があります。

**サポートされている機能**  
このセクションで説明する手順に加えて、外部キーストアでは KMS キーを使用して次のことを実行できます。  
+ [キーポリシー](key-policies.md)、[IAM ポリシー](iam-policies.md)、[グラント](grants.md)を使用して、KMS キーへのアクセスを管理します。
+ KMS キーを[有効および無効](enabling-keys.md)にします。これらのアクションは、外部キーマネージャーの外部キーには影響しません。
+ [タグ](tagging-keys.md)を割り当てて[エイリアス](kms-alias.md)を作成し、[属性ベースのアクセス制御](abac.md) (ABAC) を使用して KMS キーへのアクセスを承認します。
+ KMS キーを使用して以下の暗号化オペレーションを実行します。
  + [暗号化](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  非対称データキーペアを生成するオペレーション ([GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) と [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)) は、カスタムキーストアでサポートされていません。
+ [AWS KMSを統合し](https://aws.amazon.com/kms/features/#AWS_Service_Integration)、[カスタマーマネージドキー](concepts.md#customer-mgn-key)をサポートするAWS のサービス で KMS キーを使用します。

**サポートされていない 機能**  
+ 外部キーストアは、[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)のみをサポートしています。外部キーストアで HMAC KMS キーや非対称 KMS キーを作成することはできません。
+ 外部キーストアの KMS キーでは、[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) および [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) はサポートされていません。
+ [AWS::KMS::Key CloudFormation テンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)を、外部キーストアの作成や外部キーストア内の KMS キー作成に使用することはできません。
+ [マルチリージョンキー](multi-region-keys-overview.md)は、外部キーストアではサポートされていません。
+ [キーマテリアルがインポートされた](importing-keys.md) KMS キーは、外部キーストアではサポートされていません。
+ [自動キーローテーション](rotate-keys.md)は、カスタムキーストアの KMS キーではサポートされていません。

** 外部キーストアで KMS キーを使用する**  
リクエストで KMS キーを使用すると、[キー ID、キー ARN、エイリアス、エイリアス ARN](concepts.md#key-id) により KMS キーを識別します。外部キーストアを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。ただし、外部キーストアで KMS キーを使用すると、暗号化および複合化オペレーションは KMS キーに関連付けられた外部キーを使用して、外部キーマネージャーによって実行されます。  
外部キーストアの KMS キーによって暗号化された暗号文が、標準の KMS キーによって暗号化された暗号文と少なくとも同じくらい安全であることを確認するために、 は[二重暗号化](keystore-external.md#concept-double-encryption) AWS KMS を使用します。データは、まず AWS KMS キーマテリアル AWS KMS を使用して で暗号化されます。次に、KMS キーの外部キーを使用して、外部キーマネージャーによって暗号化されます。二重に暗号化された暗号文を復号するには、まず KMS キーの外部キーを使用して、外部キーマネージャーによって暗号文を復号します。次に、KMS AWS KMS キーのキーマテリアル AWS KMS を使用して で復号されます。  
これを可能にするには、次の条件が必要です。  
+ KMS キーの[キーストア](key-state.md)は `Enabled` である必要があります。キーの状態を検索するには、[AWS KMS コンソール](finding-keys.md#viewing-console-details)のカスタマーマネージドキーの **[ステータス]** フィールド、または [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) レスポンスの `KeyState` フィールドを参照してください。
+ KMS キーをホストする外部キーストアは、その[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)に接続する必要があります。つまり、外部キーストアの[接続状態](xks-connect-disconnect.md#xks-connection-state)は `CONNECTED` である必要があります。

  接続状態は、 AWS KMS コンソールの**外部キーストア**ページまたは [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) レスポンスで確認できます。外部キーストアの接続状態は、 AWS KMS コンソールの KMS キーの詳細ページにも表示されます。詳細ページで **[Cryptographic configuration]**　(暗号化設定) タブを選択し、**[Custom key store]** (カスタムキーストア) セクションの **[Connection state]** (接続状態) フィールドを確認します。

  接続状態が `DISCONNECTED` の場合、最初に接続する必要があります。接続状態が `FAILED` の場合、問題を解決してから外部キーストアを切断し、接続する必要があります。手順については、「[外部キーストアを接続および切断する](xks-connect-disconnect.md)」を参照してください。
+ 外部キーストアプロキシが外部キーを検出できる必要があります。
+ 外部キーを有効にして、暗号化と復号を実行する必要があります。

  外部キーのステータスは、KMS キーの有効化や無効化など、KMS キーの[キーステータス](key-state.md)の変化とは無関係で、影響を受けません。同様に、外部キーを無効化または削除しても KMS キーのキーステータスは変わりませんが、関連する KMS キーを使用する暗号化オペレーションは失敗します。
これらの条件が満たされない場合、暗号化オペレーションは失敗し、`KMSInvalidStateException`例外 AWS KMS を返します。[外部キーストアを再接続](xks-connect-disconnect.md)するか、外部キーマネージャーツールを使用して、外部キーを再設定または修復する必要がある場合があります。その他のヘルプについては、「[外部キーストアのトラブルシューティング](xks-troubleshooting.md)」を参照してください。  
外部キーストアで KMS キーを使用する場合、各外部キーストアの KMS キーは、暗号化オペレーションで[カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)を共有することに注意してください。クォータを超えると、 は AWS KMS を返します`ThrottlingException`。カスタムキーストアのリクエストクォータの詳細については、「[カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)」を参照してください。

**詳細情報**  
+ 外部キーストアの詳細については、「[外部キーストア](keystore-external.md)」を参照してください。
+ 外部キーストアのキーマテリアルの詳細については、「[外部キー](keystore-external.md#concept-external-key)」を参照してください。
+ 外部キーストアで KMS キーを作成するには、「[外部キーストアで KMS キーを作成する](create-xks-keys.md)」を参照してください。
+ 外部キーストアで KMS キーを特定して表示するには、「[外部キーストアの KMS キーを特定する](identify-key-types.md#view-xks-key)」を参照してください。
+ 外部キーストアで KMS キーを削除する際の注意事項については、[「外部キーストア からの KMS キーの削除](deleting-keys.md#delete-xks-key)」を参照してください。