マルチリージョンキーセットのプライマリキーを変更する - AWS Key Management Service
プライマリリージョンを更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチリージョンキーセットのプライマリキーを変更する

関連するマルチリージョンのキーのセットはすべて、プライマリキーを持つ必要があります。ただし、プライマリキーは変更できます。このアクションは、プライマリリージョンの更新と呼ばれ、現在のプライマリキーをレプリカキーに変換し、関連するレプリカキーの 1 つをプライマリキーに変換します。これは、レプリカキーを維持しながら現在のプライマリキーを削除する必要がある場合、またはキー管理者と同じリージョンでプライマリキーを検索する必要がある場合に実行できます。

関連する任意のレプリカキーを選択して、新しいプライマリキーにすることができます。オペレーションのスタート時に、プライマリキーとレプリカキーの両方が Enabled キーステータスである必要があります。

Updating キーステータス

UpdatePrimaryRegion オペレーション完了後も、プライマリリージョンの更新プロセス完了までにさらに数秒間かかる可能性があります。この間、新旧プライマリキーのキーステータスは、一時的に更新中となります。キーステータスが Updating の間も暗号化オペレーションでキーを使用できますが、新しいプライマリキーをレプリケートしたり、これらのキーを有効または無効にするなどの、特定の管理オペレーションを実行することはできません。DescribeKey などのオペレーションは、新旧のプライマリキー両方をレプリカとして表示することがあります。更新が完了すると、Enabled キーステータスは復元されます。

Updating キーステータスの影響の詳細については、AWS KMS キーのキーステータス を参照してください。

仕組み

米国東部 (バージニア北部) (us-east-1) にプライマリキーがあり、欧州 (アイルランド) (eu-west-1) にレプリカキーがあるとします。更新機能を使用して、米国東部 (バージニア北部) (us-east-1) のプライマリキーをレプリカキーに変更し、欧州 (アイルランド) (eu-west-1) のレプリカキーをプライマリキーに変更できます。

プライマリキーを更新する

更新プロセスが完了すると、欧州 (アイルランド) (eu-west-1) リージョンのマルチリージョンキーがマルチリージョンのプライマリキーになり、米国東部 (バージニア北部) (us-east-1) リージョンのキーがそのレプリカキーになります。関連するレプリカキーが他に存在する場合、それらは新しいプライマリキーのレプリカになります。次回、AWS KMS はマルチリージョンキーの共有プロパティを同期し、共有プロパティを新しいプライマリキーからコピーして、それらを以前のプライマリキーを含むレプリカキーにコピーします。

更新オペレーションは、任意のマルチリージョンキーのキー ARN には影響を及ぼしません。また、キーマテリアルなどの共有プロパティや、キーポリシーなどの独立したプロパティにも影響を及ぼしません。ただし、新しいプライマリキーのキーポリシーの更新が必要になります。例えば、信頼できるプリンシパルの kms:ReplicateKey アクセス許可を新しいプライマリキーに追加し、新しいレプリカキーから削除します。

プライマリリージョンを更新する

レプリカキーをプライマリキーに変換することができます。変換後、元のプライマリキーはレプリカキーに変化します。プライマリリージョンを更新するには、両方のリージョンでの kms:UpdatePrimaryRegion 許可が必要です。

プライマリリージョンは、AWS KMS コンソール操作により、もしくは UpdatePrimaryRegion オペレーションを使用して更新できます。

プライマリキーは AWS KMS コンソールで更新できます。現在のプライマリキーのキーの詳細ページをスタートします。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. マルチリージョンのプライマリキーのキー ID またはエイリアスを選択します。これにより、プライマリキーのキーの詳細ページが開きます。

    マルチリージョンのプライマリキーを識別するには、右上隅にあるツールアイコンを使用して [Regionality] (リージョナリティー) 列をテーブルに追加します。

  5. [Regionality] (リージョナリティー) タブを選択します。

  6. [Primary key (プライマリキー)] セクションで、[Change primary Region (プライマリリージョンの変更)] を選択します

  7. 新しいプライマリキーのリージョンを選択します。メニューから選択できるリージョンは 1 つだけです。

    [Change primary Region (プライマリリージョンの変更)] メニューには、関連するマルチリージョンキーを持つリージョンのみが含まれます。メニュー上のすべてのリージョンに対するプライマリリージョンを更新するアクセス許可は持っていない可能性があります。

  8. [Change primary Region (プライマリリージョンの変更)] を選択します。

関連するマルチリージョンキーのセットでプライマリキーを変更するには、UpdatePrimaryRegion オペレーションを使用します。

KeyId パラメータを使用して、現在のプライマリキーを識別します。PrimaryRegion パラメータを使用して、新しいプライマリキーの AWS リージョン を表示します。プライマリキーに新しいプライマリリージョンのレプリカがまだない場合、オペレーションは失敗します。

次の例では、プライマリキーを us-west-2 リージョンのマルチリージョンキーから eu-west-1 リージョンのレプリカに変更します。KeyId パラメータは、現在のプライマリキーを us-west-2 リージョンで識別します。PrimaryRegion パラメータは、新しいプライマリキー、eu-west-1 の AWS リージョン を指定します。

$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

成功すると、このオペレーションは出力を返さず、HTTP ステータスコードのみを返します。効果を確認するには、DescribeKey オペレーションをマルチリージョンキーのいずれかで呼び出します。キーステータスが Enabled に戻るまで待機する必要がある場合があります。キーステータスが更新中の間は、キー値がまだ流動的である可能性があります。

例えば、次の DescribeKey 呼び出しにより、eu-west-1 リージョンでマルチリージョンキーの詳細を取得します。出力は、eu-west-1 リージョンのマルチリージョンキーが現在、プライマリキーであることを示します。関連する us-west-2 リージョンのマルチリージョンキー (同じキー ID) は現在、レプリカキーです。

$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}