マルチリージョンキーの仕組み - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチリージョンキーの仕組み

まず、AWS KMS がサポートする AWS リージョン (米国東部 (バージニア北部) など) で、対称または非対称のマルチリージョンのプライマリキーを作成します。キーを単一リージョンにするか、マルチリージョンにするかは、作成時にのみ決定できます。このプロパティは後で変更できません。KMS キーと同様に、マルチリージョンキーのキーポリシーを設定することで、グラントを作成したり、分類と認可用のエイリアスとタグを追加したりできます。(これらは、他のキーと共有または同期されない独立したプロパティです)。暗号化または署名の暗号化オペレーションで、マルチリージョンのプライマリキーを使用できます。

AWS KMS コンソールで、または MultiRegion パラメータが true に設定された CreateKey API を使用して、マルチリージョンのプライマリキーを作成できます。マルチリージョンキーには mrk- で始まる固有のキー ID があります。mrk- プレフィックスを使用して、プログラムで MRK を識別できます。

Multi-Region primary key icon with red key symbol and sample key ID format.

選択すると、マルチリージョンのプライマリキーを同じ AWS パーティション (欧州 (アイルランド) など) の 1 つ以上の異なる AWS リージョン にレプリケートできます。これにより、AWS KMS は指定されたリージョンで、同じキー ID と他の共有プロパティを使用して、プライマリキーとしてレプリカキーを作成します。次に、キーマテリアルをリージョンの境界を越えて安全に転送し、すべて AWS KMS 内で、コピー先リージョンの新しい KMS キーに関連付けます。結果として、2 つの関連するマルチリージョンキーが作成されます (プライマリキーとレプリカキー)。これらは相互に使用することができます。

AWS KMS コンソールで、または ReplicateKey API を使用して、マルチリージョンレプリカキーを作成できます。

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

作成されたマルチリージョンレプリカキーは、完全に機能する KMS キーで、プライマリキーと同じ共有プロパティを備えています。それ以外の点では、独自の説明、キーポリシー、グラント、エイリアス、タグを持つ独立した KMS キーです。マルチリージョンキーを有効または無効にしても、関連するマルチリージョンキーには影響しません。プライマリキーとレプリカキーは、暗号化オペレーションで個別に使用することも、連携させて使用することもできます。例えば、米国東部 (バージニア北部) リージョンのプライマリキーを使用してデータを暗号化し、欧州 (アイルランド) リージョンにデータを移動し、レプリカキーを使用してデータを復号できます。

関連するマルチリージョンキーは同じキー ID を持ちます。キー ARN (Amazon リソースネーム) は、リージョンフィールドでのみ異なります。例えば、マルチリージョンのプライマリキーとレプリカキーには、次のキー ARN があります。キー ID (キー ARN の最後の要素) は同一です。両方のキーには、mrk- で始まる、マルチリージョンキー固有のキー ID があります。

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

相互運用性のために、同じキー ID が必要です。暗号化する場合、AWS KMS は、KMS キーのキー ID を暗号文にバインドします。そのため、暗号文は当該 KMS キーまたは同じキー ID を持つ KMS キーでのみ解読できます。この機能により、関連するマルチリージョンキーが認識しやすくなり、相互に使用しやすくなります。例えば、アプリケーションで使用する場合は、共有キー ID で関連するマルチリージョンキーを参照できます。次に、必要に応じて、リージョンまたは ARN を指定して、それらを区別します。

データのニーズの変化に応じて、プライマリキーを米国西部 (オレゴン) およびアジアパシフィック (シドニー)など、同じパーティションの他の AWS リージョン にレプリケートできます。結果は、次の図表に示された、同じキーマテリアルとキー ID を持つ 4 つの関連するマルチリージョンキーとなります。キーは個別に管理します。キーは独立して使用することも、連携させて使用することもできます。例えば、アジアパシフィック (シドニー) でレプリカキーを使用してデータを暗号化し、データを米国西部 (オレゴン) に移動して、米国西部 (オレゴン) でレプリカキーを使用して復号できます。

マルチリージョンキーのプライマリキーとレプリカキー

マルチリージョンキーに関するその他の考慮事項は次のとおりです。

共有プロパティの同期 — マルチリージョンキーの共有プロパティが変更されると、AWS KMS は自動的にプライマリキーからすべてのレプリカキーに変更を同期させます。共有プロパティの同期をリクエストまたは強制することはできません。AWS KMS はすべての変更を検出して同期します。ただし、CloudTrail ログの SynchronizeMultiRegionKey イベントを使用して、同期を監査することができます。

例えば、対称マルチリージョンのプライマリキーで自動キーローテーションを有効にすると、AWS KMS は、その設定をすべてのレプリカキーにコピーします。キーマテリアルをローテーションすると、関連するすべてのマルチリージョンキー間でローテーションが同期されます。これにより、マルチリージョンキーは引き続き現在と同じキーマテリアルを持ち、古いバージョンのキーマテリアルすべてにアクセスできます。新しいレプリカキーを作成すると、そのキーマテリアルは、関連するすべてのマルチリージョンキーの現在のキーマテリアルと同じになり、以前のバージョンのキーマテリアルすべてにアクセスできます。詳細については、「Rotating multi-Region keys」を参照してください。

プライマリキーの変更 — マルチリージョンキーのすべてのセットには、プライマリキーが 1 つだけ必要です。プライマリキーはレプリケートできる唯一のキーです。また、レプリカキーの共有プロパティのソースでもあります。ただし、プライマリキーをレプリカに変更し、レプリカキーの 1 つをプライマリに昇格させることができます。これにより、特定のリージョンから複数リージョンのプライマリキーを削除したり、プロジェクト管理者の近くにあるリージョンでプライマリキーを検索したりできます。詳細については、「マルチリージョンキーセットのプライマリキーを変更する」を参照してください。

マルチリージョンキーの削除 — すべての KMS キーと同様に、AWS KMS がマルチリージョンキーを削除する前に、削除をスケジュールする必要があります。キーが削除保留中の間は、暗号化オペレーションでキーを使用することはできません。ただし、すべてのレプリカキーが削除されるまで、AWS KMS はマルチリージョンのプライマリキーを削除しません。詳細については、「Deleting multi-Region keys」を参照してください。