翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Payment Cryptography キーのレプリケート
<a name="keys-multi-region-replication"></a>

AWS Payment Cryptography はマルチリージョンキーレプリケーションをサポートしているため、特定の AWS Payment Cryptography キーから同じ AWS パーティションとアカウント AWS リージョン 内の 1 つ以上の にキーマテリアルとメタデータを安全に配布できます。

ソースキーは[プライマリリージョンキー (PRK)](terminology.md#term.prk) と呼ばれ、すべてのキー管理アクティビティの信頼できるソースのままですが、PRK と[レプリカリージョンキー (RRK)](terminology.md#term.rrk) の両方をそれぞれの暗号化オペレーションに使用できます AWS リージョン。

## マルチリージョンキーレプリケーションの利点
<a name="benefits"></a>

 マルチリージョンキーレプリケーションの利点を以下に示します。
+ *高可用性アプリケーションの簡単なセットアップ* - AWS Payment Cryptography はキー分散を処理するため、特定のキーの分離されたコピーを作成することなく、複数の AWS リージョン でキーを使用できます。
+ *高可用性キーと低レイテンシーキー* - マルチリージョンキーレプリケーションを使用すると、キーに複数の でアクセス AWS リージョン でき、可用性が高くなり、レイテンシーが低くなります。
+ *キーマテリアルの耐久性* - レプリカリージョンキーは完全なキーレプリカであり、暗号化オペレーションでプライマリリージョンキーとは独立して使用できます。RRK は、PRK の壊滅的なデータ損失が発生した場合に耐久性のあるレプリカを提供します。

## マルチリージョンキーレプリケーションの仕組み
<a name="how-mrr-works"></a>

マルチリージョンキーレプリケーションが有効になっている場合、 AWS Payment Cryptography サービスは安全なキー配布メカニズムを使用して、キーマテリアルとメタデータを指定したレプリカにコピー AWS リージョン します。キー属性、状態、有効化などのプライマリリージョンキーメタデータへの変更は、レプリカリージョンキーに自動的にレプリケートされます。

## 制約事項と考慮事項
<a name="limitations-considerations"></a>

以下は、マルチリージョンキーレプリケーションの制限と考慮事項です。
+ この機能は、 AWS リージョン または特定の Payment Cryptography キーで有効にする必要があります。
  + でこの機能が有効になっている場合 AWS リージョン、有効化後に作成されたすべての AWS Payment Cryptography キーは、指定された にレプリケートされます AWS リージョン。このリージョンで作成されたキーは、プライマリリージョンキーになります。このリージョンの既存のキーは自動的にレプリケートされません。キーレベルで、 内の既存のキーに対してマルチリージョン AWS リージョン キーレプリケーションを有効にできます。
  + 各 は、一意のマルチリージョンキーレプリケーション設定を持つ AWS リージョン ことができます。
  + キーのマルチリージョンレプリケーション設定は、 AWS リージョン マルチリージョンキーレプリケーション設定よりも優先されます。
+ レプリカリージョンキーを他の にレプリケートするように設定することはできません AWS リージョン。
+ マルチリージョンキーレプリケーションは、トリプルデータ暗号化標準 (3DES)、アドバンスト暗号化標準 (AES)、ハッシュベースのメッセージ認証コード (HMAC) などの対称 Payment Cryptography キーで使用できます。
+ 非対称 Payment Cryptography キーは、マルチリージョンキーレプリケーションをサポートしていません。
+ レプリカリージョンキーは読み取り専用キーです。プライマリリージョンキーへのすべての変更は、レプリカリージョンキーに適用されます。
+ プライマリリージョンキーの変更は、最終的にレプリカリージョンキーと一致します。
+ Payment Cryptography キーは、同じ AWS パーティションとアカウントでのみレプリケートできます。
+ レプリカリージョンキーは AWS アカウント 、レベル AWS Payment Cryptography の制限にカウントされます。
+ プライマリリージョンキーとレプリカリージョンキーは同じキー識別子を使用します。これにより、IAM ポリシーで同じ ARN で両方のキーを参照できます。
+ レプリケーションを成功させるには、レプリカ AWS リージョン に アクセス`CreateKey`許可が必要です。

## マルチリージョンキーレプリケーションの有効化
<a name="enabling-mrr"></a>

 AWS Payment Cryptography キーのマルチリージョンキーレプリケーションを有効にするには、2 つの方法があります。

1. **AWS リージョン**: マルチリージョンキーレプリケーションは、有効に AWS リージョン すると、そのキーで作成されたすべての新しいキーに適用されます。このメソッドは、すべてのキーに対して一貫したレプリケーションを提供します。

1. **特定の AWS Payment Cryptography キー**: 個々のキーのマルチリージョンキーレプリケーションを管理して、より詳細な制御レベルを実現できます。

マルチリージョンキーレプリケーションを有効にすると、 Payment Cryptography キーは指定した AWS リージョン にレプリケートされます。

**重要**  
マルチリージョンキーレプリケーションを一時停止することはできません。キーは、レプリケーションが有効になると AWS リージョン 、指定した に自動的にレプリケートされます。マルチリージョンキーレプリケーションは、特定の AWS リージョン または Payment Cryptography キーに対して[無効に](#disabling-mrr)できます。レプリカリージョンキーを削除するには、プライマリリージョンキーからレプリケーションリージョン AWS リージョン として を削除する必要があります。  
または、PRK [https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/stop-key-usage.html](https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/stop-key-usage.html) で [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html) API または CLI コマンドを呼び出して、PRK および関連するすべての RRKs の両方の使用を停止することもできます。これらのキーを暗号化オペレーションで使用することはできません。`StopKeyUsage` API または **stop-key-usage** CLI コマンドを使用しても、PRK で有効な進行中のマルチリージョンキーレプリケーションは停止されません。

特定の AWS リージョン の AWS Payment Cryptography キーのマルチリージョンキーレプリケーション設定を確認するには、 `GetDefaultKeyReplicationRegions` API または **get-default-key-replication-regions** CLI コマンドを呼び出します。この API アクションまたはコマンド AWS リージョン を呼び出す のキーが [PRK](terminology.md#term.prk) になります。

マルチリージョンキーレプリケーションを有効にするには、次の手順に従います。

------
#### [ For AWS リージョン ]
+ 次のコマンドを使用して、 AWS リージョン 指定した のマルチリージョンキーレプリケーションを有効にします。この例では、米国東部 (オハイオ) および米国西部 (オレゴン) でマルチリージョンキーレプリケーションが有効になっています。このコマンドを使用するには、コマンド例の{{斜体のプレースホルダーテキスト}}を独自の情報に置き換えます。

  ```
  aws payment-cryptography enable-default-key-replication-regions \
      --replication-regions {{us-east-2 us-west-2}}
  ```

**注記**  
のマルチリージョンキーレプリケーションを有効に AWS リージョン しても、既存の AWS Payment Cryptography キーのレプリケーション設定は変更されません。この機能は、キーレベルで既存のキーに対して有効にできます。でマルチリージョンキーレプリケーションが有効になった後に作成されたキーのみが AWS リージョン 、リージョンレプリケーション設定を使用します。

------
#### [ For specific AWS Payment Cryptography keys ]
+ 次のコマンドを使用して、特定の Payment Cryptography キーのマルチリージョンキーレプリケーションを有効にします。この例では、米国東部 (オハイオ) でマルチリージョンキーレプリケーションが有効になっています。このコマンドを使用するには、コマンド例の{{斜体のプレースホルダーテキスト}}を独自の情報に置き換えます。

  ```
  aws payment-cryptography add-key-replication-regions \
      --key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}} \
      --replication-regions {{us-east-2}}
  ```

または、[キー作成リクエストにレプリケーションを含めることで、この機能を有効にして新しい Payment Cryptography](create-keys.md) キーを作成することもできます。 AWS リージョン 

**注記**  
キーレプリケーション設定は、レプリ AWS リージョン ケーション設定よりも優先されます。

------

## マルチリージョンキーレプリケーションの無効化
<a name="disabling-mrr"></a>

マルチリージョンキーレプリケーションを無効にする場合は、マルチリージョンキーレプリケーションを有効にする方法に応じて、 **disable-default-key-replication** または **remove-key-replication-regions** CLI コマンドを呼び出すことができます。マルチリージョンキーレプリケーション AWS リージョン を無効にするには、キーの ARN と を指定する必要があります。

**考慮事項**  
レプリケーションリージョンキーの削除は結果整合性があります。

特定の AWS リージョン の AWS Payment Cryptography キーのマルチリージョンキーレプリケーション設定を確認するには、 `GetDefaultKeyReplicationRegions` API または **get-default-key-replication-regions** CLI コマンドを呼び出します。

マルチリージョンキーレプリケーションを無効にするには、次の手順に従います。

------
#### [ For AWS リージョン ]
+ 次のコマンドを使用して、指定した AWS リージョン のマルチリージョンキーレプリケーションを無効にします。この例では、米国東部 (オハイオ) でマルチリージョンキーレプリケーションは無効になっています。このコマンドを使用するには、コマンド例の{{斜体のプレースホルダーテキスト}}を独自の情報に置き換えます。

  ```
  aws payment-cryptography disable-default-key-replication-regions \
      --replication-regions {{us-east-2}}
  ```

------
#### [ For specific AWS Payment Cryptography keys ]
+ 次のコマンドを使用して、特定の Payment Cryptography キーのマルチリージョンキーレプリケーションを無効にします。この例では、米国東部 (オハイオ) でマルチリージョンキーレプリケーションは無効になっています。このコマンドを使用するには、コマンド例の{{斜体のプレースホルダーテキスト}}を独自の情報に置き換えます。

  ```
  aws payment-cryptography remove-key-replication-regions \
      --key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}} \
      --replication-regions {{us-east-2}}
  ```

------

## セキュリティに関する考慮事項
<a name="security-considerations"></a>

Payment Cryptography キーにマルチリージョンキーレプリケーションを使用する場合のセキュリティ上の考慮事項を次に示します。詳細については、「[AWS Payment Cryptography のセキュリティのベストプラクティス](security-best-practices.md)」を参照してください。
+ キーマテリアルの共有を制限します。
+ IAM ポリシーを作成するときは、最小権限のアクセス許可のプリンシパルに従います。
+ 読み取り専用キーであるため、レプリカリージョンキーを変更することはできません。

## ベストプラクティス
<a name="best-practices"></a>

Payment Cryptography キーでマルチリージョンキーレプリケーションを使用する場合 AWS のベストプラクティスを以下に示します。
+ 指定した へのマルチリージョンキーレプリケーションがすぐには行われない場合でも、アプリケーション AWS リージョン が動作し続けます。マルチリージョンキーのレプリケーションが完了したタイミングを知る必要がある場合は、[GetKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html) API アクションを使用してモニタリングできます。を使用してキーレプリケーションイベントをモニタリングできます[AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
+ あるリージョンから別のリージョン AWS リージョン にフェイルオーバーした場合の自動デプロイプロセスをテストして実装します。

## 料金
<a name="pricing"></a>

 AWS Payment Cryptography で作成したレプリカリージョンキーには料金が発生します。これらのキーは ごとに課金されます AWS リージョン。Payment Cryptography の最新の料金情報については、 [AWS Payment Cryptography の料金ページ](https://aws.amazon.com/payment-cryptography/pricing/)を参照してください。