翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS は、複数のリージョンで同じキーを持っていたかのように、 AWS リージョン 同じ意味で使用できる異なる にあるマルチリージョンキーをサポートします。 AWS KMS keys 関連するマルチリージョンキーの各セットには同じキーマテリアルとキー ID があるため、1 つの でデータを暗号化 AWS リージョン し、別の で復号できます。再暗号化やクロスリージョン呼び出し AWS リージョン は必要ありません AWS KMS。
すべての KMS キーと同様に、マルチリージョンキーが暗号化 AWS KMS されていないままになることはありません。暗号化または署名用の対称または非対称のマルチリージョンキーを作成する、HMAC タグの生成と検証用の HMAC マルチリージョンキーを作成する、および AWS KMS が生成するキーマテリアル、またはインポートされたキーマテリアルを持つマルチリージョンキーを作成することができます。エイリアスおよびタグの作成、キーポリシーとグラントの設定、有効化/無効化の選択など、各マルチリージョンキーを個別に管理する必要があります。単一リージョンキーで実行できるすべての暗号化オペレーションで、マルチリージョンキーを使用できます。
マルチリージョンキーは、多くの一般的なデータセキュリティシナリオに対応する、柔軟で強力なソリューションです。
- ディザスタリカバリ
-
バックアップおよびリカバリアーキテクチャでは、マルチリージョンキーを使用すると、 AWS リージョン 停止が発生した場合でも、暗号化されたデータを中断することなく処理できます。バックアップリージョンで保持されるデータはバックアップリージョンで復号し、バックアップリージョンで新たに暗号化されたデータは、そのリージョンの復元時にプライマリリージョンで復号することができます。
- グローバルなデータ管理
-
グローバルに展開されるビジネスには、グローバルに配信され、 AWS リージョン全体で一貫して利用可能なデータが必要です。データが存在するすべてのリージョンでマルチリージョンキーを作成し、クロスリージョン呼び出しのレイテンシーや、各リージョンで異なるキーのデータの再暗号化に掛かるコストなしで、単一リージョンキーであるかのようにキーを使用できます。
- 配信署名アプリケーション
-
クロスリージョン署名機能を必要とするアプリケーションでは、マルチリージョンの非対称署名キーを使用して、異なる AWS リージョンで同一のデジタル署名を、一貫して繰り返し生成することができます。
単一のグローバルトラストストア (単一のルート認証機関 (CA))、およびルート CA によって署名されたリージョンの中間 CA で証明書チェーンを使用する場合、マルチリージョンキーは不要です。ただし、アプリケーション署名などの中間 CA がシステムでサポートされない場合は、マルチリージョンキーを使用して、リージョンの認定に一貫性を持たせることができます。
- 複数のリージョンにまたがるアクティブ-アクティブアプリケーション
-
一部のワークロードとアプリケーションは、アクティブ-アクティブアーキテクチャで複数のリージョンにまたがることができます。これらのアプリケーションでは、マルチリージョンキーを使用して、リージョンの境界を越えて移動する可能性のあるデータに対する暗号化と復号の同時オペレーションに同じキーマテリアルを提供し、複雑さを軽減できます。
マルチリージョンキーは、クライアント側の暗号化ライブラリ (AWS Encryption SDK、AWS データベース暗号化 SDK、Amazon S3 クライアント側暗号化など) で使用できます。
保管時の暗号化またはデジタル署名のために AWS と統合されている のサービスは AWS KMS
マルチリージョンキーはグローバルではありません。マルチリージョンのプライマリキーを作成し、そのキーを AWS パーティション内で選択するリージョンにレプリケートします。次に、各リージョンでマルチリージョンキーを個別に管理します。 AWS も、ユーザーに代わってマルチリージョンキーを自動的に作成またはレプリケート AWS KMS することはありません。 AWS はAWS マネージドキー、サービスがアカウントで作成する KMS キーであり、常に単一リージョンキーです。
中国リージョンでは、マルチリージョンキー機能を使用して、中国リージョンパーティション () 内に KMS キーをレプリケートできますaws-cn。例えば、キーを中国 (北京) リージョンから中国 (寧夏) リージョンにレプリケートするか、その逆にレプリケートできます。中国リージョン間でキーをレプリケートすることで、レプリケート先リージョン AWS Key Management Service の を使用することに同意し、レプリケート先リージョンに適用されるすべての利用規約を遵守することになります。北京リージョンと寧夏リージョンから中国 AWS リージョンパーティション外の リージョンにキーをレプリケートすることはできません。同様に、中国リージョンパーティション外のリージョンから北京および寧夏リージョンにキーをレプリケートすることはできません。
既存の単一リージョンキーをマルチリージョンキーに変換することはできません。この設計により、既存の単一リージョンキーで保護されているすべてのデータが、同じデータ常駐プロパティとデータ主権プロパティを維持できます。
ほとんどのデータセキュリティのニーズでは、リージョンリソースのリージョン分離と耐障害性により、標準の AWS KMS 単一リージョンキーが最適なソリューションになります。ただし、複数のリージョンにまたがるクライアント側のアプリケーションでデータを暗号化または署名する必要がある場合は、マルチリージョンキーがソリューションとなることがあります。
リージョン
マルチリージョンキーは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。
料金とクォータ
関連するマルチリージョンキーのセットに含まれるすべてのキーは、料金およびクォータに関して、1 つの KMS キーとしてカウントされます。AWS KMS クォータは、アカウントのリージョンごとに個別に計算されます。各リージョンのマルチリージョンキーの使用と管理は、そのリージョンのクォータでカウントされます。
サポートされる KMS キータイプ
次の種類のマルチリージョン KMS キーを作成できます。
-
対称暗号化 KMS キー
-
非対称 KMS キー
-
HMAC KMS キー
-
インポートされたキーマテリアルを持つ KMS キー
カスタムキーストアでマルチリージョンキーを作成することはできません。
詳細はこちら
-
マルチリージョン KMS キーへのアクセスを制御する方法については、「マルチリージョンキーへのアクセスを制御する」を参照してください。
-
任意のタイプのマルチリージョンプライマリ KMS キーの作成方法については、「マルチリージョンのプライマリキーを作成する」を参照してください。
-
マルチリージョンのレプリカ KMS キーの作成方法については、「マルチリージョンのレプリカキーを作成する」を参照してください。
-
プライマリリージョンの更新方法については、「マルチリージョンキーセットのプライマリキーを変更する」を参照してください。
-
マルチリージョン KMS キーの特定と表示については、「HMAC KMS キーの特定」を参照してください。
-
マルチリージョン KMS キーの削除に関する注意事項については、「Deleting multi-Region keys」を参照してください。
用語と概念
マルチリージョンキーでは、次の条件と概念を使用します。
マルチリージョンキー
マルチリージョンキーは、異なる AWS リージョンで同じキー ID とキーマテリアル (およびその他の共有プロパティ) を持つ KMS キーのセットの 1 つです。各マルチリージョンキーは、完全に機能する KMS キーで、関連するマルチリージョンキーとは完全に独立して使用できます。関連するすべてのマルチリージョンキーは同じキー ID とキーマテリアルを持つため、相互運用可能です。つまり、任意の の関連するマルチリージョンキーは、他の関連するマルチリージョンキーによって暗号化された暗号文を復号 AWS リージョン できます。
KMS キーの作成時に、KMS キーのマルチリージョンのプロパティを設定します。既存のキーでマルチリージョンプロパティを変更することはできません。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。既存のワークロードをマルチリージョンシナリオに移動するには、データを再暗号化するか、新しいマルチリージョンキーを使用して新しい署名を作成する必要があります。
マルチリージョンキーは、対称または非対称で、 AWS KMS キーマテリアルまたはインポートされたキーマテリアルを使用できます。カスタムキーストアでマルチリージョンキーを作成することはできません。
関連するマルチリージョンキーのセットには、常に 1 つだけプライマリキーがあります。他の AWS リージョンで、そのプライマリキーのレプリカキーを作成できます。プライマリリージョンを更新すると、プライマリキーがレプリカキーに変更され、指定されたレプリカキーがプライマリキーに変更されます。ただし、プライマリキーまたはレプリカキーはそれぞれ 1 つだけ維持できます AWS リージョン。リージョンはすべて、同じ AWS パーティションである必要があります。
関連するマルチリージョンキーの複数のセットを、同じまたは異なる AWS リージョンで持つことができます。関連するマルチリージョンキーは相互運用可能ですが、関連しないマルチリージョンキーは相互運用できません。
プライマリキー
マルチリージョンのプライマリキーは、同じパーティション AWS リージョン 内の他の にレプリケートできる KMS キーです。マルチリージョンキーの各セットには、プライマリキーが 1 つしかありません。
プライマリキーは、次の点でレプリカキーとは異なります。
-
プライマリキーのみがレプリケーション可能です。
-
自動キーローテーションは、プライマリキーでのみ有効または無効にできます。
-
プライマリキーの削除をいつでもスケジュールすることができます。ただし AWS KMS 、プライマリキーは、そのすべてのレプリカキーが削除されるまで削除されません。
プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。
プライマリキーをレプリケートする必要はありません。プライマリキーは、KMS キーと同じように使用し、有用であればレプリケートすることができます。ただし、マルチリージョンキーには単一リージョンキーとは異なるセキュリティプロパティがあるため、プライマリキーをコレプリケートする場合にのみ、マルチリージョンキーを作成することをお勧めします。
レプリカキー
マルチリージョンのレプリカキーは、プライマリキーおよび関連するレプリカキーと同じキー ID とキーマテリアルを持ちますが、異なる AWS リージョンに存在する KMS キーです。
レプリカキーは、固有のキーポリシー、グラント、エイリアス、タグ、およびその他のプロパティを持つ、完全に機能する KMS キーです。レプリカキーは、プライマリキーまたは他のキーのコピーまたはポインタではありません。プライマリキーと関連するすべてのレプリカキーが無効になっている場合でも、レプリカキーを使用できます。また、レプリカキーをプライマリキーに変換し、プライマリキーをレプリカキーに変換することもできます。レプリカキーが作成されると、レプリカキーはそのプライマリキーにキーローテーションおよびプライマリリージョンの更新のみを依存します。
プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。プライマリキーまたはレプリカキーで暗号化されたデータは、同じキー、または関連する任意のプライマリキーまたはレプリカキーで復号できます。
レプリケーション
マルチリージョンのプライマリキーを同じパーティション内の別の AWS リージョン にレプリケートできます。これを行うと、 はプライマリキーと同じキー ID と他の共有プロパティを使用して、指定されたリージョンにマルチリージョンレプリカキー AWS KMS を作成します。 キー ID 共有プロパティ次に、キーマテリアルをリージョンの境界を越えて安全に転送し、すべて AWS KMS内で、新しいレプリカキーに関連付けます。
共有プロパティ
共有プロパティは、レプリカキーと共有されるマルチリージョンのプライマリキーのプロパティです。 は、プライマリキーと同じ共有プロパティ値を持つレプリカキー AWS KMS を作成します。次に、プライマリキーの共有プロパティ値をレプリカキーに定期的に同期します。レプリカキーでは、これらのプロパティを設定できません。
以下は、マルチリージョンキーの共有プロパティです。
-
キー仕様および暗号化アルゴリズム
-
自動キーローテーション — 自動キーローテーションは、プライマリキーでのみ有効または無効にできます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「Rotating multi-Region keys」を参照してください。
-
オンデマンドローテーション — プライマリキーでのみオンデマンドローテーションを実行できます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「Rotating multi-Region keys」を参照してください。
関連するマルチリージョンキーのプライマリおよびレプリカの指定は、共有プロパティと考えることもできます。新しいレプリカキーを作成するか、プライマリキーを更新すると、 は関連するすべてのマルチリージョンキーに変更を AWS KMS 同期します。これらの変更が完了すると、関連するすべてのマルチリージョンキーが、プライマリキーとレプリカキーを正確に一覧表示します。
マルチリージョンキーのその他のプロパティはすべて、独立したプロパティです (説明、キーポリシー、グラント、有効および無効キーステータス、エイリアス、タグを含む)。関連するすべてのマルチリージョンキーでこれらのプロパティに同じ値を設定できますが、独立したプロパティの値を変更すると、 AWS KMS は同期しません。
マルチリージョンキーの共有プロパティの同期を追跡できます。 AWS CloudTrail ログで、SynchronizeMultiRegionKey イベントを探します。
