翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
マルチリージョンのキーを管理する
ほとんどのアクションでは、単一リージョンキーを使用および管理するのと同じ方法で、マルチリージョンキーを管理します。キーを有効または無効にしたり、エイリアス、キーポリシー、権限、タグを設定したり、更新したりできます。ただし、マルチリージョンキーの管理は、次の点で異なります。
-
プライマリリージョンを更新できます。これにより、レプリカキーの 1 つがプライマリキーに変更され、現在のプライマリキーがレプリカに変更されます。
-
自動キーローテーションはプライマリキーでのみ管理します。
-
関連する任意のプライマリキーまたはレプリカキーから非対称マルチリージョンキーの公開キーを取得できます。
KMS キーの作成時に設定するマルチリージョンのプロパティはイミュータブルです。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。
プライマリリージョンを更新する
関連するマルチリージョンのキーのセットはすべて、プライマリキーを持つ必要があります。ただし、プライマリキーは変更できます。このアクションは、プライマリリージョンの更新と呼ばれ、現在のプライマリキーをレプリカキーに変換し、関連するレプリカキーの 1 つをプライマリキーに変換します。これは、レプリカキーを維持しながら現在のプライマリキーを削除する必要がある場合、またはキー管理者と同じリージョンでプライマリキーを検索する必要がある場合に実行できます。
関連する任意のレプリカキーを選択して、新しいプライマリキーにすることができます。オペレーションのスタート時に、プライマリキーとレプリカキーの両方が Enabled
キーステータスである必要があります。
このオペレーション完了後も、プライマリリージョンの更新プロセスは、さらに数秒間進行中である可能性があります。この間、新旧プライマリキーのキーステータスは、一時的に更新中となります。キーステータスが Updating
の間も暗号化オペレーションでキーを使用できますが、新しいプライマリキーをレプリケートしたり、これらのキーを有効または無効にするなどの、特定の管理オペレーションを実行することはできません。などのオペレーションでは、古いプライマリキーと新しいプライマリキーの両方がレプリカとして表示されるDescribeKey場合があります。更新が完了すると、Enabled
キーステータスは復元されます。
米国東部 (バージニア北部) (us-east-1) にプライマリキーがあり、欧州 (アイルランド) (eu-west-1) にレプリカキーがあるとします。更新機能を使用して、米国東部 (バージニア北部) (us-east-1) のプライマリキーをレプリカキーに変更し、欧州 (アイルランド) (eu-west-1) のレプリカキーをプライマリキーに変更できます。
更新プロセスが完了すると、欧州 (アイルランド) (eu-west-1) リージョンのマルチリージョンキーがマルチリージョンのプライマリキーになり、米国東部 (バージニア北部) (us-east-1) リージョンのキーがそのレプリカキーになります。関連するレプリカキーが他に存在する場合、それらは新しいプライマリキーのレプリカになります。が次にマルチリージョンキーの共有プロパティを AWS KMS 同期すると、新しいプライマリキーから共有プロパティを取得し、以前のプライマリキーを含むレプリカキーにコピーします。
更新オペレーションは、任意のマルチリージョンキーのキー ARN には影響を及ぼしません。また、キーマテリアルなどの共有プロパティや、キーポリシーなどの独立したプロパティにも影響を及ぼしません。ただし、新しいプライマリキーのキーポリシーの更新が必要になります。例えば、kms:ReplicateKey 信頼されたプリンシパルの アクセス許可を新しいプライマリキーに追加し、新しいレプリカキーから削除できます。
Updating
キーステータス
プライマリリージョンを更新するプロセスは、ほとんどの AWS KMS オペレーションに影響する結果整合性の短い遅延よりも少し時間がかかります。UpdatePrimaryRegion
オペレーションが復帰した後、またはコンソールで更新手順が完了した後も、プロセスがまだ進行中である可能性があります。などのオペレーションでは、プロセスが完了するまで、古いプライマリキーと新しいプライマリキーの両方がレプリカとして表示されるDescribeKey場合があります。
プライマリリージョンの更新プロセス中、新旧のプライマリキーは、Updating
キーステータスとなります。更新プロセスが正常に完了すると、両方のキーは Enabled
キーステータスに戻ります。Updating
ステータスの間、キーの有効化や無効化などの、一部の管理オペレーションは使用できません。ただし、暗号化オペレーションでは、両方のキーを中断なしで使用し続けることができます。Updating
キーステータスの影響の詳細については、キーの AWS KMS キーステータス を参照してください。
プライマリリージョンを更新する (コンソール)
AWS KMS コンソールでプライマリキーを更新できます。現在のプライマリキーのキーの詳細ページをスタートします。
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/kms
で AWS Key Management Service (AWS KMS) コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
マルチリージョンのプライマリキーのキー ID またはエイリアスを選択します。これにより、プライマリキーのキーの詳細ページが開きます。
マルチリージョンのプライマリキーを識別するには、右上隅にあるツールアイコンを使用して [Regionality] (リージョナリティー) 列をテーブルに追加します。
-
[Regionality] (リージョナリティー) タブを選択します。
-
[Primary key (プライマリキー)] セクションで、[Change primary Region (プライマリリージョンの変更)] を選択します
-
新しいプライマリキーのリージョンを選択します。メニューから選択できるリージョンは 1 つだけです。
[Change primary Region (プライマリリージョンの変更)] メニューには、関連するマルチリージョンキーを持つリージョンのみが含まれます。メニュー上のすべてのリージョンに対するプライマリリージョンを更新するアクセス許可は持っていない可能性があります。
-
[Change primary Region (プライマリリージョンの変更)] を選択します。
プライマリリージョンの更新 (AWS KMS API)
関連するマルチリージョンキーのセットのプライマリキーを変更するには、 UpdatePrimaryRegionオペレーションを使用します。
KeyId
パラメータを使用して、現在のプライマリキーを識別します。PrimaryRegion
パラメータを使用して、新しいプライマリキー AWS リージョン の を指定します。プライマリキーに新しいプライマリリージョンのレプリカがまだない場合、オペレーションは失敗します。
次の例では、プライマリキーを us-west-2
リージョンのマルチリージョンキーから eu-west-1
リージョンのレプリカに変更します。KeyId
パラメータは、現在のプライマリキーを us-west-2
リージョンで識別します。PrimaryRegion
パラメータは、新しいプライマリキー AWS リージョン の を指定しますeu-west-1
。
$
aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1
成功すると、このオペレーションは出力を返さず、HTTP ステータスコードのみを返します。効果を確認するには、いずれかのマルチリージョンキーで DescribeKeyオペレーションを呼び出します。キーステータスが Enabled
に戻るまで待機する必要がある場合があります。キーステータスが更新中の間は、キー値がまだ流動的である可能性があります。
例えば、次の DescribeKey
呼び出しにより、eu-west-1
リージョンでマルチリージョンキーの詳細を取得します。出力は、eu-west-1
リージョンのマルチリージョンキーが現在、プライマリキーであることを示します。関連する us-west-2
リージョンのマルチリージョンキー (同じキー ID) は現在、レプリカキーです。
$
aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }
マルチリージョンキーをローテーションする
自動ローテーションを有効または無効にし、マルチリージョンキーでキーマテリアルのオンデマンドローテーションを実行できます。キーローテーションは、マルチリージョンキーの共有プロパティです。
自動キーローテーションはプライマリキーでのみ、有効または無効にできます。オンデマンドローテーションは、プライマリキーでのみ開始します。
-
がマルチリージョンキーを AWS KMS 同期すると、キーローテーションプロパティ設定がプライマリキーから関連するすべてのレプリカキーにコピーされます。
-
がキーマテリアルを AWS KMS ローテーションすると、プライマリキーの新しいキーマテリアルが作成され、リージョンの境界を越えて関連するすべてのレプリカキーに新しいキーマテリアルがコピーされます。キーマテリアルが暗号化 AWS KMS されていないままになることはありません。このステップは、暗号化オペレーションでキーが使用される前にキーマテリアルが完全に同期されるよう、慎重に制御されます。
-
AWS KMS は、そのキーマテリアルがプライマリキーとそのすべてのレプリカキーで使用可能になるまで、新しいキーマテリアルでデータを暗号化しません。
-
ローテーションされたプライマリキーをレプリケートすると、新しいレプリカキーに、現在のキーマテリアルと関連するマルチリージョンキーのキーマテリアルの以前のすべてのバージョンが含まれます。
このパターンにより、関連するマルチリージョンキーが完全に相互運用可能であることが保証されます。すべてのマルチリージョンキーは、キーが作成される前に暗号化テキストが暗号化されていても、関連するマルチリージョンキーによって暗号化された暗号化テキストを復号できます。
自動キーローテーションは、非対称 KMS キーまたはインポートされたキーマテリアルを持つ KMS キーではサポートされません。自動キーローテーションとオンデマンドキーローテーションの詳細については、「」を参照してくださいローテーション AWS KMS keys。
パブリックキーのダウンロード
マルチリージョン非対称 KMS キー を作成すると、 はプライマリキーの RSA または楕円曲線 (ECC) キーペア AWS KMS を作成します。次に、そのキーペアをプライマリキーのすべてのレプリカにコピーします。その結果、プライマリキーまたはそのいずれかのレプリカキーから公開キーをダウンロードできます。ユーザーは常に同じキーマテリアルを取得します。
の外部でパブリックキーをダウンロードして使用する方法については AWS KMS、「」を参照してくださいパブリックキーのダウンロードに関する特別な考慮事項。手順については、「パブリックキーのダウンロード」を参照してください。