翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS のマルチリージョンキー
AWS KMS では、複数のリージョンで同じキーのように相互使用ができる、異なる AWS リージョン の AWS KMS keys であるマルチリージョンキーをサポートします。関連するマルチリージョンキーセットごとに同じキーマテリアルやキー ID があるため、一つの AWS リージョン 内で暗号化されたデータを、再暗号化や AWS KMS へのクロスリージョン呼び出しを行うことなく、別の AWS リージョン で複合することができます。
すべての KMS キーと同様に、マルチリージョンキーは AWS KMS を暗号化されないままにしません。暗号化または署名用の対称または非対称のマルチリージョンキーを作成する、HMAC タグの生成と検証用の HMAC マルチリージョンキーを作成する、および AWS KMS が生成するキーマテリアル、またはインポートされたキーマテリアルを持つマルチリージョンキーを作成することができます。エイリアスおよびタグの作成、キーポリシーとグラントの設定、有効化/無効化の選択など、各マルチリージョンキーを個別に管理する必要があります。単一リージョンキーで実行できるすべての暗号化オペレーションで、マルチリージョンキーを使用できます。
マルチリージョンキーは、多くの一般的なデータセキュリティシナリオに対応する、柔軟で強力なソリューションです。
- ディザスタリカバリ
-
バックアップおよびリカバリのアーキテクチャでは、マルチリージョンキーを使用することで、AWS リージョン 停止のイベント時でも、暗号化されたデータを中断することなく処理できます。バックアップリージョンで保持されるデータはバックアップリージョンで復号し、バックアップリージョンで新たに暗号化されたデータは、そのリージョンの復元時にプライマリリージョンで復号することができます。
- グローバルなデータ管理
-
グローバルに展開されるビジネスには、グローバルに配信され、AWS リージョン 全体で一貫して利用可能なデータが必要です。データが存在するすべてのリージョンでマルチリージョンキーを作成し、クロスリージョン呼び出しのレイテンシーや、各リージョンで異なるキーのデータの再暗号化に掛かるコストなしで、単一リージョンキーであるかのようにキーを使用できます。
- 配信署名アプリケーション
-
クロスリージョン署名機能を必要とするアプリケーションでは、マルチリージョンの非対称署名キーを使用して、異なる AWS リージョン で同一のデジタル署名を、一貫して繰り返し生成することができます。
単一のグローバルトラストストア (単一のルート認証機関 (CA))、およびルート CA によって署名されたリージョンの中間 CA で証明書チェーンを使用する場合、マルチリージョンキーは不要です。ただし、アプリケーション署名などの中間 CA がシステムでサポートされない場合は、マルチリージョンキーを使用して、リージョンの認定に一貫性を持たせることができます。
- 複数のリージョンにまたがるアクティブ-アクティブアプリケーション
-
一部のワークロードとアプリケーションは、アクティブ-アクティブアーキテクチャで複数のリージョンにまたがることができます。これらのアプリケーションでは、マルチリージョンキーを使用して、リージョンの境界を越えて移動する可能性のあるデータに対する暗号化と復号の同時オペレーションに同じキーマテリアルを提供し、複雑さを軽減できます。
マルチリージョンキーは、クライアント側の暗号化ライブラリ (AWS Encryption SDK、AWS データベース暗号化 SDK、Amazon S3 クライアント側暗号化など) で使用できます。
保管時の暗号化またはデジタル署名用の AWS KMS と統合された AWS のサービス
マルチリージョンキーはグローバルではありません。マルチリージョンのプライマリキーを作成し、そのキーを AWS パーティション内で選択するリージョンにレプリケートします。次に、各リージョンでマルチリージョンキーを個別に管理します。AWS または AWS KMS のどちらも、ユーザーの代わりにマルチリージョンキーを任意のリージョンに自動的に作成、またはレプリケートしません。AWS マネージドキー、アカウントで AWS サービスが作成する KMS キーは、常に単一リージョンキーです。
既存の単一リージョンキーをマルチリージョンキーに変換することはできません。この設計により、既存の単一リージョンキーで保護されているすべてのデータが、同じデータ常駐プロパティとデータ主権プロパティを維持できます。
ほとんどのデータセキュリティニーズに対して、リージョナルリソースのリージョン分離と耐障害性により、スタンダードな AWS KMS 単一リージョンキーは最適なソリューションです。ただし、複数のリージョンにまたがるクライアント側のアプリケーションでデータを暗号化または署名する必要がある場合は、マルチリージョンキーがソリューションとなることがあります。
リージョン
マルチリージョンキーは、中国 (北京) および中国 (寧夏) を除く、AWS KMS がサポートしているすべての AWS リージョン でサポートされます。
料金とクォータ
関連するマルチリージョンキーのセットに含まれるすべてのキーは、料金およびクォータに関して、1 つの KMS キーとしてカウントされます。AWS KMS クォータは、アカウントのリージョンごとに個別に計算されます。各リージョンのマルチリージョンキーの使用と管理は、そのリージョンのクォータでカウントされます。
サポートされる KMS キータイプ
次の種類のマルチリージョン KMS キーを作成できます。
-
対称暗号化 KMS キー
-
非対称 KMS キー
-
HMAC KMS キー
-
インポートされたキーマテリアルを持つ KMS キー
カスタムキーストアでマルチリージョンキーを作成することはできません。
詳細はこちら
-
マルチリージョン KMS キーへのアクセスを制御する方法については、「マルチリージョンキーへのアクセスを制御する」を参照してください。
-
任意のタイプのマルチリージョンプライマリ KMS キーの作成方法については、「マルチリージョンのプライマリキーを作成する」を参照してください。
-
マルチリージョンのレプリカ KMS キーの作成方法については、「マルチリージョンのレプリカキーを作成する」を参照してください。
-
プライマリリージョンの更新方法については、「マルチリージョンキーセットのプライマリキーを変更する」を参照してください。
-
マルチリージョン KMS キーの特定と表示については、「HMAC KMS キーの特定」を参照してください。
-
マルチリージョン KMS キーの削除に関する注意事項については、「Deleting multi-Region keys」を参照してください。
用語と概念
マルチリージョンキーでは、次の条件と概念を使用します。
マルチリージョンキー
マルチリージョンキーは、異なる AWS リージョン で同じキー ID とキーマテリアル (およびその他の共有プロパティ) を持つ KMS キーのセットの 1 つです。各マルチリージョンキーは、完全に機能する KMS キーで、関連するマルチリージョンキーとは完全に独立して使用できます。すべての関連するマルチリージョンキーは同じキー ID とキーマテリアルを持ち、相互運用可能です。つまり、すべての AWS リージョン のすべての関連するマルチリージョンキーは、他の関連するすべてのマルチリージョンキーによって暗号化された暗号文を復号できます。
KMS キーの作成時に、KMS キーのマルチリージョンのプロパティを設定します。既存のキーでマルチリージョンプロパティを変更することはできません。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。既存のワークロードをマルチリージョンシナリオに移動するには、データを再暗号化するか、新しいマルチリージョンキーを使用して新しい署名を作成する必要があります。
マルチリージョンキーは、対称または非対称で、AWS KMS キーマテリアルまたはインポートされたキーマテリアルを使用できます。カスタムキーストアでマルチリージョンキーを作成することはできません。
関連するマルチリージョンキーのセットには、常に 1 つだけプライマリキーがあります。他の AWS リージョン で、そのプライマリキーのレプリカキーを作成できます。プライマリリージョンを更新すると、プライマリキーがレプリカキーに変更され、指定されたレプリカキーがプライマリキーに変更されます。ただし、AWS リージョン ごとに保持できるプライマリキーまたはレプリカキーは 1 つだけです。リージョンはすべて、同じ AWS パーティションである必要があります。
関連するマルチリージョンキーの複数のセットを、同じまたは異なる AWS リージョン で持つことができます。関連するマルチリージョンキーは相互運用可能ですが、関連しないマルチリージョンキーは相互運用できません。
プライマリキー
マルチリージョンのプライマリキーは KMS キーであり、同じパーティションの他の AWS リージョン にレプリケートできます。マルチリージョンキーの各セットには、プライマリキーが 1 つしかありません。
プライマリキーは、次の点でレプリカキーとは異なります。
-
プライマリキーのみがレプリケーション可能です。
-
自動キーローテーションは、プライマリキーでのみ有効または無効にできます。
-
プライマリキーの削除をいつでもスケジュールすることができます。ただし、すべてのレプリカキーが削除されるまで、AWS KMS はプライマリキーを削除しません。
プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。
プライマリキーをレプリケートする必要はありません。プライマリキーは、KMS キーと同じように使用し、有用であればレプリケートすることができます。ただし、マルチリージョンキーには単一リージョンキーとは異なるセキュリティプロパティがあるため、プライマリキーをコレプリケートする場合にのみ、マルチリージョンキーを作成することをお勧めします。
レプリカキー
マルチリージョンのレプリカキーは、プライマリキーおよび関連するレプリカキーと同じキー ID とキーマテリアルを持ちますが、異なる AWS リージョン に存在する KMS キーです。
レプリカキーは、固有のキーポリシー、グラント、エイリアス、タグ、およびその他のプロパティを持つ、完全に機能する KMS キーです。レプリカキーは、プライマリキーまたは他のキーのコピーまたはポインタではありません。プライマリキーと関連するすべてのレプリカキーが無効になっている場合でも、レプリカキーを使用できます。また、レプリカキーをプライマリキーに変換し、プライマリキーをレプリカキーに変換することもできます。レプリカキーが作成されると、レプリカキーはそのプライマリキーにキーローテーションおよびプライマリリージョンの更新のみを依存します。
プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。プライマリキーまたはレプリカキーで暗号化されたデータは、同じキー、または関連する任意のプライマリキーまたはレプリカキーで復号できます。
レプリケーション
マルチリージョンのプライマリキーを、同じパーティションの別の AWS リージョン にレプリケートできます これにより、AWS KMS は指定されたリージョンで、プライマリキーと同一のキー ID およびその他の共有プロパティを持つマルチリージョンレプリカキーを作成します。次に、キーマテリアルをリージョンの境界を越えて安全に転送し、すべて AWS KMS 内で、新しいレプリカキーに関連付けます。
共有プロパティ
共有プロパティは、レプリカキーと共有するマルチリージョンのプライマリキーのプロパティです。AWS KMS は、プライマリキーと同じ共有プロパティ値を持つレプリカキーを作成します。次に、プライマリキーの共有プロパティ値をレプリカキーに定期的に同期します。レプリカキーでは、これらのプロパティを設定できません。
以下は、マルチリージョンキーの共有プロパティです。
-
キー仕様および暗号化アルゴリズム
-
自動キーローテーション — 自動キーローテーションは、プライマリキーでのみ有効または無効にできます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「Rotating multi-Region keys」を参照してください。
-
オンデマンドローテーション — プライマリキーでのみオンデマンドローテーションを実行できます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「Rotating multi-Region keys」を参照してください。
関連するマルチリージョンキーのプライマリおよびレプリカの指定は、共有プロパティと考えることもできます。新しいレプリカキーの作成時またはプライマリキーの更新時、AWS KMS は、関連するすべてのマルチリージョンキーに変更を同期します。これらの変更が完了すると、関連するすべてのマルチリージョンキーが、プライマリキーとレプリカキーを正確に一覧表示します。
マルチリージョンキーのその他のプロパティはすべて、独立したプロパティです (説明、キーポリシー、グラント、有効および無効キーステータス、エイリアス、タグを含む)。関連するすべてのマルチリージョンキーでこれらのプロパティに同じ値を設定できますが、独立したプロパティの値を変更すると、AWS KMS は同期しません。
マルチリージョンキーの共有プロパティの同期を追跡できます。AWS CloudTrail ログで、SynchronizeMultiRegionKey イベントを探します。
