マルチリージョンのレプリカキーを作成する - AWS Key Management Service
ステップ 1: レプリカリージョンを選択するステップ 2: レプリカキーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチリージョンのレプリカキーを作成する

マルチリージョンレプリカキーは、 AWS KMS コンソール、ReplicateKey オペレーション、または AWS::KMS::ReplicaKey AWS CloudFormation テンプレートを使用して作成できます。CreateKey オペレーションを使用してレプリカキーを作成することはできません。

これらの手順を使用して、対称暗号化 KMS キー非対称 KMS キー、または HMAC KMS キーなどの任意のマルチリージョンプライマリキーをレプリケートすることができます。

このオペレーションが完了すると、新しいレプリカキーは一時的に Creatingキーステータスを持ちます。このキー状態は、新しいレプリカキーの作成プロセスが完了すると、数秒後に Enabled に変わります (ただし、インポートされたキーマテリアルでマルチリージョンキーを作成する場合は PendingImport に変わります)。キーステータスが Creating の間、キーを管理することはできますが、暗号化オペレーションで使用することはできません。レプリカキーをプログラムで作成して使用している場合は KMSInvalidStateException で再試行するか、DescribeKey を呼び出して使用前にその KeyState 値をチェックします。

レプリカキーを誤って削除した場合は、この手順を使用してレプリカキーを再度作成できます。同じリージョンで同じプライマリキーをレプリケートする場合、作成する新しいレプリカキーは、元のレプリカキーと同じ共有プロパティを有します。

重要

エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

AWS CloudFormation テンプレートを使用してレプリカキーを作成するには、「 AWS CloudFormation ユーザーガイド」のAWS::KMS::ReplicaKey」を参照してください。

ステップ 1: レプリカリージョンを選択する

通常、ビジネスモデルと規制要件 AWS リージョン に基づいて、マルチリージョンキーを にレプリケートすることを選択します。例えば、リソースを保管するリージョンにキーをレプリケートできます。または、災害対策の要件に準拠するために、地理的に離れたリージョンにキーをレプリケートすることもできます。

レプリカリージョン AWS KMS の要件は次のとおりです。選択したリージョンがこれらの要件を満たしていない場合、キーレプリケーションの試行は失敗します。

  • リージョンごとに 1 つの関連するマルチリージョンキー — プライマリキーと同じリージョンにレプリカキーを作成したり、プライマリキーの別のレプリカと同じリージョンにレプリカキーを作成することはできません。

    すでにそのプライマリキーのレプリカがあるリージョンでプライマリキーをレプリケートしようとすると、試行は失敗します。リージョンの現在のレプリカキーが PendingDeletion キーステータスにある場合は、レプリカキーの削除をキャンセルするが、レプリカキーが削除されるまで待機します。

  • 同じリージョン内の複数の関連しないマルチリージョンキー — 同じリージョン内に、複数の関連しないマルチリージョンキーを持つことができます。例えば、us-east-1 リージョンで 2 つのマルチリージョンのプライマリキーを持つことができます。プライマリキーごとに、us-west-2 リージョンでレプリカキーを持つことができます。

  • 同じパーティション内のリージョン — レプリカキーリージョンは、プライマリキーリージョンと同じ AWS パーティションである必要があります。

  • リージョンの有効化 — リージョンがデフォルトで無効に設定されている場合、 AWS アカウントで有効化されるまで、そのリージョンでリソースを作成することはできません。

ステップ 2: レプリカキーを作成する

注記

レプリカキーを作成するときは、レプリカキーの管理と使用のために選択した IAM ユーザーとロールを慎重に検討してください。IAM ポリシーでは、他の IAM ユーザーおよびロールに、KMS キーを管理するアクセス許可を付与できます。

IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。

AWS KMS コンソールでは、同じオペレーションでマルチリージョンプライマリキーの 1 つ以上のレプリカを作成できます。

この手順は、コンソールでスタンダードの単一リージョン KMS キーを作成する場合と似ています。ただし、レプリカキーはプライマリキーに基づいているため、キー仕様 (対称または非対称)、キー使用法、キーオリジンなどの共有プロパティの値は選択しません。

エイリアス、タグ、説明、キーポリシーなど、共有されないプロパティを指定します。便宜上、コンソールにプライマリキーの現在のプロパティ値が表示されますが、変更することもできます。プライマリキーの値を保持しても、 AWS KMS はこれらの値を同期させません。

重要

エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. マルチリージョンのプライマリキーのキー ID またはエイリアスを選択します。KMS キーのキーの詳細ページが開きます。

    マルチリージョンのプライマリキーを識別するには、右上隅にあるツールアイコンを使用して [Regionality] (リージョナリティー) 列をテーブルに追加します。

  5. [Regionality] (リージョナリティー) タブを選択します。

  6. [Related multi-Region keys] (関連するマルチリージョンキー) のセクションで、[Create new replica keys] (新しいレプリカキーの作成) を選択します。

    [Related multi-Region keys] (関連するマルチリージョンキー) のセクションには、プライマリキーとそのレプリカキーのリージョンが表示されます。この表示を使用して、新しいレプリカキーのリージョンを選択できます。

  7. 1 つ以上の AWS リージョンを選択します。この手順では、選択したリージョンごとにレプリカキーが作成されます。

    メニューには、プライマリキーと同じ AWS パーティションのリージョンのみが含まれます。関連するマルチリージョンキーがすでに存在するリージョンが表示されますが、選択することはできません。メニューのすべてのリージョンに対しては、キーをレプリケートする許可がない場合があります。

    リージョンの選択が完了したら、メニューを閉じます。選択したリージョンが表示されます。リージョンへのレプリケーションをキャンセルするには、リージョン名の横にある [X] を選択します。

  8. レプリカキーのエイリアスを入力します。

    コンソールには、プライマリキーの現在のエイリアスの 1 つが表示されますが、変更することもできます。マルチリージョンのプライマリキーとそのレプリカに同じエイリアスまたは別のエイリアスを割り当てることができます。エイリアスは、マルチリージョンキーの共有プロパティではありません。 AWS KMS は、マルチリージョンキーのエイリアスを同期しません。

    エイリアスを追加、削除、更新すると、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「の ABAC AWS KMS」および「エイリアスを使用して KMS キーへのアクセスを制御する」を参照してください。

  9. (オプション) レプリカキーの説明を入力します。

    コンソールには、プライマリキーの現在の説明が表示されますが、変更することもできます。説明は、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに、同じ説明または異なる説明を指定できます。 AWS KMS は、マルチリージョンキーのキーの説明を同期しません。

  10. (オプション) タグキーとオプションのタグ値を入力します。レプリカキーに複数のタグを割り当てるには、[Add tag] (タグを追加する) を選択します。

    コンソールには、プライマリキーに現在アタッチされているタグが表示されますが、変更することもできます。タグは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じタグまたは異なるタグを与えることができます。 AWS KMS はマルチリージョンキーのタグを同期しません。

    KMS キーのタグ付けまたはタグ解除により、KMS キーに対するアクセス許可が許可または拒否される可能性があります。詳細については、「の ABAC AWS KMS」および「タグを使用して KMS キーへのアクセスを制御する」を参照してください。

  11. レプリカキーを管理できる IAM ユーザーとロールを選択します。

    メモ

    • マルチリージョンのプライマリキーの作成時にデフォルトのキーポリシーを変更した場合、レプリカキーの作成時にキー管理者またはキーユーザーを選択するようにコンソールから求められません (ステップ 11~15)。この場合、キーポリシーの編集ステップ (ステップ 17) で編集を選択して、キー管理者とユーザーに必要なアクセス許可をキーポリシーに手動で追加する必要があります。

    • このステップでは、キーポリシーをレプリカキー用に作成するプロセスをスタートします。コンソールには、プライマリキーの現在のキーポリシーが表示されますが、変更することもできます。キーポリシーは、マルチリージョンキーの共有プロパティではありません。マルチリージョンのプライマリキーとそのレプリカに同じキーポリシーまたは別のキーポリシーを割り当てることができます。 AWS KMS は、キーポリシーを同期しません。KMS キーのキーポリシーは、いつでも変更できます。

    • AWS KMS コンソールは、ステートメント識別子 の下のキーポリシーにキー管理者を追加します"Allow access for Key Administrators"。このステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。

  12. (オプション) 選択した IAM ユーザーとロールがこの KMS キーを削除しないようにするには、ページの下部にある [Key deletion] (キーの削除) セクションで、[Allow key administrators to delete this key] (キー管理者にこのキーの削除を許可する) のチェックボックスをオフにします。

  13. [Next (次へ)] を選択します。

  14. 暗号化オペレーションで KMS キーを使用できる IAM ユーザーとロールを選択します。

    メモ

    AWS KMS コンソールは、ステートメント識別子 "Allow use of the key"および のキーポリシーにキーユーザーを追加します"Allow attachment of persistent resources"。これらのステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。

  15. (オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他の に許可できます。これを行うには、ページの下部にある [Other AWS アカウント] セクションで、[Add another AWS アカウント] を選択し、外部アカウントの AWS アカウント ID 番号を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。

    注記

    外部アカウントでプリンシパルが KMS キーを使用できるようにするには、外部アカウントの管理者が、これらのアクセス許可を付与する IAM ポリシーを作成する必要があります。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

  16. [Next (次へ)] を選択します。

  17. キーのキーポリシーステートメントを確認します。キーポリシーを変更するには、編集を選択します。

  18. [Next (次へ)] を選択します。

  19. 選択したキー設定を確認します。戻って、すべての設定を変更することもできます。

  20. 完了 を選択して、マルチリージョンレプリカキーを作成します。

マルチリージョンのレプリカキーを作成するには、ReplicateKey オペレーションを使用します。CreateKey オペレーションを使用してレプリカキーを作成することはできません。このオペレーションでは、一度に 1 つのレプリカキーが作成されます。指定するリージョンは、レプリカキーのリージョンの要件に準拠している必要があります。

ReplicateKey オペレーションを使用する際、マルチリージョンキーの任意の共有プロパティの値は指定しません。共有プロパティ値はプライマリキーからコピーされ、同期が維持されます。ただし、共有されないプロパティには値を指定できます。それ以外の場合、 はプライマリキーの値ではなく、KMS キーの標準デフォルト値 AWS KMS を適用します。

注記

DescriptionKeyPolicy、または Tagsパラメータの値を指定しない場合、 は空の文字列の説明、デフォルトのキーポリシー、タグなしのレプリカキー AWS KMS を作成します。

Description フィールドまたは Tags フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

例えば、次のコマンドでは、アジアパシフィック (シドニー) リージョン (ap-southeast-2) にマルチリージョンのレプリカキーを作成します。このレプリカキーは、米国東部 (バージニア北部) リージョン (us-east-1) のプライマリキーをモデルにしています。これは、KeyId パラメータの値で識別されます。この例では、キーポリシーを含む、他のすべてのプロパティのデフォルト値を受け入れます。

レスポンスは新しいレプリカキーを示します。これには、共有プロパティのフィールド (KeyIdKeySpecKeyUsage、およびキーマテリアルのオリジン (Origin) など) が含まれます。また、プライマリキーとは独立したプロパティも含まれます (Description、キーポリシー (ReplicaKeyPolicy)、タグ (ReplicaTags) など)。

レスポンスには、プライマリキーのキー ARN とリージョン、およびそのすべてのレプリカキー (ap-southeast-2 リージョンで作成されたものを含む) も含まれます。この例では、このプライマリキーが既に欧州 (アイルランド) リージョン (eu-west-1) でレプリケートされていることを、ReplicaKey 要素が示しています。

$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}