翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチリージョンキーセットのプライマリキーを変更する
<a name="multi-region-update"></a>

関連するマルチリージョンのキーのセットはすべて、プライマリキーを持つ必要があります。ただし、プライマリキーは変更できます。このアクションは、*プライマリリージョンの更新*と呼ばれ、現在のプライマリキーをレプリカキーに変換し、関連するレプリカキーの 1 つをプライマリキーに変換します。これは、レプリカキーを維持しながら現在のプライマリキーを削除する必要がある場合、またはキー管理者と同じリージョンでプライマリキーを検索する必要がある場合に実行できます。

関連する任意のレプリカキーを選択して、新しいプライマリキーにすることができます。オペレーションのスタート時に、プライマリキーとレプリカキーの両方が `Enabled` [キーステータス](key-state.md)である必要があります。

** `Updating` キーステータス**  
`UpdatePrimaryRegion` オペレーション完了後も、プライマリリージョンの更新プロセス完了までにさらに数秒間かかる可能性があります。この間、新旧プライマリキーのキーステータスは、一時的に[更新中](#update-primary-keystate)となります。キーステータスが `Updating` の間も暗号化オペレーションでキーを使用できますが、新しいプライマリキーをレプリケートしたり、これらのキーを有効または無効にするなどの、特定の管理オペレーションを実行することはできません。[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) などのオペレーションは、新旧のプライマリキー両方をレプリカとして表示することがあります。更新が完了すると、`Enabled` キーステータスは復元されます。  
`Updating` キーステータスの影響の詳細については、[キーの AWS KMS キーステータス](key-state.md) を参照してください。

**仕組み**  
米国東部 (バージニア北部) (us-east-1) にプライマリキーがあり、欧州 (アイルランド) (eu-west-1) にレプリカキーがあるとします。更新機能を使用して、米国東部 (バージニア北部) (us-east-1) のプライマリキーをレプリカキーに変更し、欧州 (アイルランド) (eu-west-1) のレプリカキーをプライマリキーに変更できます。  

![\[プライマリキーを更新する\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/multi-region-keys-update-sm.png)

更新プロセスが完了すると、欧州 (アイルランド) (eu-west-1) リージョンのマルチリージョンキーがマルチリージョンのプライマリキーになり、米国東部 (バージニア北部) (us-east-1) リージョンのキーがそのレプリカキーになります。関連するレプリカキーが他に存在する場合、それらは新しいプライマリキーのレプリカになります。が次にマルチリージョンキーの共有プロパティを AWS KMS 同期すると、新しいプライマリキーから[共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)を取得し、以前のプライマリキーを含むレプリカキーにコピーします。  
更新オペレーションは、任意のマルチリージョンキーの[キー ARN](concepts.md#key-id-key-ARN) には影響を及ぼしません。また、キーマテリアルなどの共有プロパティや、キーポリシーなどの独立したプロパティにも影響を及ぼしません。ただし、新しいプライマリキーの[キーポリシーの更新](key-policy-modifying.md)が必要になります。例えば、信頼できるプリンシパルの [kms:ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) アクセス許可を新しいプライマリキーに追加し、新しいレプリカキーから削除します。

## プライマリリージョンを更新する
<a name="update-primary-region"></a>

レプリカキーをプライマリキーに変換することができます。変換後、元のプライマリキーはレプリカキーに変化します。プライマリリージョンを更新するには、両方のリージョンでの [kms:UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) 許可が必要です。

プライマリリージョンは、 AWS KMS コンソールで更新するか、[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) オペレーションを使用して更新できます。

### AWS KMS コンソールの使用
<a name="update-primary-console"></a>

 AWS KMS コンソールでプライマリキーを更新できます。現在のプライマリキーのキーの詳細ページをスタートします。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。

1. [マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)のキー ID またはエイリアスを選択します。これにより、プライマリキーのキーの詳細ページが開きます。

   マルチリージョンのプライマリキーを識別するには、右上隅にあるツールアイコンを使用して [**Regionality**] (リージョナリティー) 列をテーブルに追加します。

1. [**Regionality**] (リージョナリティー) タブを選択します。

1. [**Primary key (プライマリキー)**] セクションで、[**Change primary Region (プライマリリージョンの変更)**] を選択します

1. 新しいプライマリキーのリージョンを選択します。メニューから選択できるリージョンは 1 つだけです。

   [**Change primary Region (プライマリリージョンの変更)**] メニューには、関連するマルチリージョンキーを持つリージョンのみが含まれます。メニュー上のすべてのリージョンに対する[プライマリリージョンを更新するアクセス許可](multi-region-keys-auth.md#mrk-auth-update)は持っていない可能性があります。

1. [**Change primary Region (プライマリリージョンの変更)**] を選択します。

### AWS KMS API の使用
<a name="update-primary-api"></a>

関連するマルチリージョンキーのセットでプライマリキーを変更するには、[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) オペレーションを使用します。

`KeyId` パラメータを使用して、現在のプライマリキーを識別します。`PrimaryRegion` パラメータを使用して、新しいプライマリキー AWS リージョン の を指定します。プライマリキーに新しいプライマリリージョンのレプリカがまだない場合、オペレーションは失敗します。

次の例では、プライマリキーを `us-west-2` リージョンのマルチリージョンキーから `eu-west-1` リージョンのレプリカに変更します。`KeyId` パラメータは、現在のプライマリキーを `us-west-2` リージョンで識別します。`PrimaryRegion` パラメータは、新しいプライマリキー AWS リージョン の を指定します`eu-west-1`。

```
$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1
```

成功すると、このオペレーションは出力を返さず、HTTP ステータスコードのみを返します。効果を確認するには、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションをマルチリージョンキーのいずれかで呼び出します。キーステータスが `Enabled` に戻るまで待機する必要がある場合があります。キーステータスが[更新中](#update-primary-keystate)の間は、キー値がまだ流動的である可能性があります。

例えば、次の `DescribeKey` 呼び出しにより、`eu-west-1` リージョンでマルチリージョンキーの詳細を取得します。出力は、`eu-west-1` リージョンのマルチリージョンキーが現在、プライマリキーであることを示します。関連する `us-west-2` リージョンのマルチリージョンキー (同じキー ID) は現在、レプリカキーです。

```
$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}
```