翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のマルチリージョンキー AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS はマルチ*リージョンキー*をサポートします。マルチリージョンキーは、複数のリージョン AWS KMS keys で同じキーを持っていたかのように AWS リージョン 、同じ意味で使用できる異なる にあります。*関連する*マルチリージョンキーの各セットには同じキーマテリアルと[キー ID](concepts.md#key-id-key-id) があるため、再暗号化やクロスリージョン呼び出しを AWS リージョン 行わずに、1 つの でデータを暗号化 AWS リージョン し、別の で復号できます AWS KMS。

すべての KMS キーと同様に、マルチリージョンキーが暗号化 AWS KMS されていないままになることはありません。暗号化または署名用の対称または非対称のマルチリージョンキーを作成する、HMAC タグの生成と検証用の HMAC マルチリージョンキーを作成する、および AWS KMS が生成するキーマテリアル、または[インポートされたキーマテリアルを持つマルチリージョンキー](importing-keys.md)を作成することができます。エイリアスおよびタグの作成、キーポリシーとグラントの設定、有効化/無効化の選択など、各マルチリージョンキーを個別に管理する必要があります。単一リージョンキーで実行できるすべての暗号化オペレーションで、マルチリージョンキーを使用できます。

マルチリージョンキーは、多くの一般的なデータセキュリティシナリオに対応する、柔軟で強力なソリューションです。

**ディザスタリカバリ **  
バックアップおよびリカバリアーキテクチャでは、マルチリージョンキーを使用すると、 AWS リージョン 停止が発生した場合でも、暗号化されたデータを中断することなく処理できます。バックアップリージョンで保持されるデータはバックアップリージョンで復号し、バックアップリージョンで新たに暗号化されたデータは、そのリージョンの復元時にプライマリリージョンで復号することができます。

**グローバルなデータ管理**  
グローバルに展開されるビジネスには、グローバルに配信され、 AWS リージョン全体で一貫して利用可能なデータが必要です。データが存在するすべてのリージョンでマルチリージョンキーを作成し、クロスリージョン呼び出しのレイテンシーや、各リージョンで異なるキーのデータの再暗号化に掛かるコストなしで、単一リージョンキーであるかのようにキーを使用できます。

**配信署名アプリケーション**  
クロスリージョン署名機能を必要とするアプリケーションでは、マルチリージョンの非対称署名キーを使用して、異なる AWS リージョンで同一のデジタル署名を、一貫して繰り返し生成することができます。  
単一のグローバルトラストストア (単一のルート認証機関 (CA))、およびルート CA によって署名されたリージョンの中間 CA で証明書チェーンを使用する場合、マルチリージョンキーは不要です。ただし、アプリケーション署名などの中間 CA がシステムでサポートされない場合は、マルチリージョンキーを使用して、リージョンの認定に一貫性を持たせることができます。

**複数のリージョンにまたがるアクティブ-アクティブアプリケーション**  
一部のワークロードとアプリケーションは、アクティブ-アクティブアーキテクチャで複数のリージョンにまたがることができます。これらのアプリケーションでは、マルチリージョンキーを使用して、リージョンの境界を越えて移動する可能性のあるデータに対する暗号化と復号の同時オペレーションに同じキーマテリアルを提供し、複雑さを軽減できます。

マルチリージョンキーは、クライアント側の暗号化ライブラリ ([AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)、[AWS データベース暗号化 SDK](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/)、[Amazon S3 クライアント側暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)など) で使用できます。

保管時の暗号化またはデジタル署名のために [AWS と統合されているほとんどのサービスは AWS KMS](https://aws.amazon.com/kms/features/)、現在、マルチリージョンキーを単一リージョンキーであるかのように扱います。リージョン間で移動されたデータを再ラップまたは再暗号化する場合があります。例えば、Amazon S3 クロスリージョンレプリケーションは、マルチリージョンキーで保護されたオブジェクトをレプリケートする場合でも、レプリケート先リージョンの KMS キーでデータを復号および再暗号化します。サービスが暗号化されたデータをレプリケートする方法と、マルチリージョンキーを異なる方法で扱うかどうかについては、サービス固有のドキュメントを参照してください。

マルチリージョンキーはグローバルではありません。マルチリージョンのプライマリキーを作成し、そのキーを [AWS パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)内で選択するリージョンにレプリケートします。次に、各リージョンでマルチリージョンキーを個別に管理します。ユーザーに代わってマルチリージョンキーを自動的に作成またはレプリケート AWS AWS KMS することはありません。 AWS は[AWS マネージドキー](concepts.md#aws-managed-key)、サービスがユーザーに代わってアカウントで作成する KMS キーであり、常に単一リージョンキーです。

中国リージョンでは、マルチリージョンキー機能を使用して、中国リージョンパーティション (`aws-cn`) 内で KMS キーをレプリケートできます。例えば、キーを中国 (北京) リージョンから中国 (寧夏) リージョンにレプリケートすること、およびその逆にレプリケートすることができます。中国リージョン間でキーをレプリケートすることで、レプリケート先リージョン AWS Key Management Service の を使用することに同意し、レプリケート先リージョンに適用されるすべての利用規約を遵守することになります。北京および寧夏リージョンから中国 AWS リージョンパーティション外のリージョンにキーをレプリケートすることはできません。同様に、中国リージョンパーティション外のリージョンから北京リージョンと寧夏リージョンにキーをレプリケートすることはできません。

既存の単一リージョンキーをマルチリージョンキーに変換することはできません。この設計により、既存の単一リージョンキーで保護されているすべてのデータが、同じデータ常駐プロパティとデータ主権プロパティを維持できます。

ほとんどのデータセキュリティニーズでは、リージョンリソースのリージョン分離と耐障害性により、標準の AWS KMS 単一リージョンキーが最適なソリューションになります。ただし、複数のリージョンにまたがるクライアント側のアプリケーションでデータを暗号化または署名する必要がある場合は、マルチリージョンキーがソリューションとなることがあります。



**リージョン**

マルチリージョンキーは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。

**料金とクォータ**

関連するマルチリージョンキーのセットに含まれるすべてのキーは、料金およびクォータに関して、1 つの KMS キーとしてカウントされます。[AWS KMS クォータ](limits.md)は、アカウントのリージョンごとに個別に計算されます。各リージョンのマルチリージョンキーの使用と管理は、そのリージョンのクォータでカウントされます。

**サポートされる KMS キータイプ**

次の種類のマルチリージョン KMS キーを作成できます。
+ 対称暗号化 KMS キー
+ 非対称 KMS キー
+ HMAC KMS キー
+ インポートされたキーマテリアルを持つ KMS キー

カスタムキーストアでマルチリージョンキーを作成することはできません。

**詳細はこちら**
+ マルチリージョン KMS キーへのアクセスを制御する方法については、「[マルチリージョンキーへのアクセスを制御する](multi-region-keys-auth.md)」を参照してください。
+ 任意のタイプのマルチリージョンプライマリ KMS キーの作成方法については、「[マルチリージョンのプライマリキーを作成する](create-primary-keys.md)」を参照してください。
+ マルチリージョンのレプリカ KMS キーの作成方法については、「[マルチリージョンのレプリカキーを作成する](multi-region-keys-replicate.md)」を参照してください。
+ プライマリリージョンの更新方法については、「[マルチリージョンキーセットのプライマリキーを変更する](multi-region-update.md)」を参照してください。
+ マルチリージョン KMS キーの特定と表示については、「[HMAC KMS キーの特定](identify-key-types.md#hmac-view)」を参照してください。
+ マルチリージョン KMS キーの削除に関する注意事項については、「[Deleting multi-Region keys](deleting-keys.md#deleting-mrks)」を参照してください。

## 用語と概念
<a name="multi-region-concepts"></a>

マルチリージョンキーでは、次の条件と概念を使用します。

### マルチリージョンキー
<a name="multi-Region-concept"></a>

*マルチリージョンキー*は、異なる AWS リージョンで同じキー ID とキーマテリアル (およびその他の[共有プロパティ](#mrk-replica-key)) を持つ KMS キーのセットの 1 つです。各マルチリージョンキーは、完全に機能する KMS キーで、関連するマルチリージョンキーとは完全に独立して使用できます。*関連する*すべてのマルチリージョンキーは同じキー ID とキーマテリアルを持つため、*相互運用可能です*。つまり、任意の の関連するマルチリージョンキーは、他の関連するマルチリージョンキーによって暗号化された暗号文を復号 AWS リージョン できます。

KMS キーの作成時に、KMS キーのマルチリージョンのプロパティを設定します。既存のキーでマルチリージョンプロパティを変更することはできません。単一リージョンキーをマルチリージョンキーに変換したり、マルチリージョンキーを単一リージョンキーに変換したりすることはできません。既存のワークロードをマルチリージョンシナリオに移動するには、データを再暗号化するか、新しいマルチリージョンキーを使用して新しい署名を作成する必要があります。

マルチリージョンキーは[対称または非対称](symmetric-asymmetric.md)で、 AWS KMS キーマテリアルまたは[インポートされたキーマテリアル](importing-keys.md)を使用できます。[カスタムキーストア](key-store-overview.md#custom-key-store-overview)でマルチリージョンキーを作成することはできません。

関連するマルチリージョンキーのセットには、常に 1 つだけ[プライマリキー](#mrk-primary-key)があります。他の AWS リージョンで、そのプライマリキーの[レプリカキー](#mrk-replica-key)を作成できます。[プライマリリージョンを更新する](multi-region-update.md#update-primary-console)と、プライマリキーがレプリカキーに変更され、指定されたレプリカキーがプライマリキーに変更されます。ただし、各キーに保持できるプライマリキーまたはレプリカキーは 1 つだけです AWS リージョン。リージョンはすべて、同じ [AWS パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)である必要があります。

関連するマルチリージョンキーの複数のセットを、同じまたは異なる AWS リージョンで持つことができます。関連するマルチリージョンキーは相互運用可能ですが、関連しないマルチリージョンキーは相互運用できません。

### プライマリキー
<a name="mrk-primary-key"></a>

マルチリージョン*プライマリキー*は、同じパーティション AWS リージョン 内の他の にレプリケートできる KMS キーです。マルチリージョンキーの各セットには、プライマリキーが 1 つしかありません。

プライマリキーは、次の点でレプリカキーとは異なります。
+ プライマリキーのみが[レプリケーション](multi-region-keys-replicate.md)可能です。
+ プライマリキーは、[レプリカキー](#mrk-replica-key) (キーマテリアルとキー ID を含む) の[共有プロパティ](#mrk-replica-key)のソースです。
+ [自動キーローテーション](rotate-keys.md)は、プライマリキーでのみ有効または無効にできます。
+ [プライマリキーの削除をいつでもスケジュールする](deleting-keys.md#deleting-mrks)ことができます。ただし AWS KMS 、すべてのレプリカキーが削除されるまで、プライマリキーは削除されません。

プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。

プライマリキーをレプリケートする必要はありません。プライマリキーは、KMS キーと同じように使用し、有用であればレプリケートすることができます。ただし、マルチリージョンキーには単一リージョンキーとは異なるセキュリティプロパティがあるため、プライマリキーをコレプリケートする場合にのみ、マルチリージョンキーを作成することをお勧めします。

### レプリカキー
<a name="mrk-replica-key"></a>

マルチリージョンの*レプリカキー*は、[プライマリキー](#mrk-primary-key)および関連するレプリカキーと同じ[キー ID](concepts.md#key-id-key-id) とキーマテリアルを持ちますが、異なる AWS リージョンに存在する KMS キーです。

レプリカキーは、固有のキーポリシー、グラント、エイリアス、タグ、およびその他のプロパティを持つ、完全に機能する KMS キーです。レプリカキーは、プライマリキーまたは他のキーのコピーまたはポインタではありません。プライマリキーと関連するすべてのレプリカキーが無効になっている場合でも、レプリカキーを使用できます。また、レプリカキーをプライマリキーに変換し、プライマリキーをレプリカキーに変換することもできます。レプリカキーが作成されると、レプリカキーはそのプライマリキーに[キーローテーション](rotate-keys.md#multi-region-rotate)および[プライマリリージョンの更新](multi-region-update.md)のみを依存します。

プライマリキーとレプリカキーは、暗号化プロパティにおいて違いはありません。プライマリキーとそのレプリカキーは、同じ意味で使用することができます。プライマリキーまたはレプリカキーで暗号化されたデータは、同じキー、または関連する任意のプライマリキーまたはレプリカキーで復号できます。

### レプリケーション
<a name="replicate"></a>

マルチリージョンの[プライマリキー](#mrk-primary-key)を同じパーティション内の別の AWS リージョン に*レプリケー*トできます。これを行うと、 はプライマリ[キーと同じキー ID と他の共有プロパティを使用して、指定されたリージョンにマルチリージョンレプリカ](#mrk-replica-key)キー AWS KMS を作成します。 [キー ID](concepts.md#key-id-key-id) [共有プロパティ](#mrk-sync-properties)`AWS_KMS` オリジンを持つ KMS キーの場合、 はキーマテリアルをリージョンの境界を越えて AWS KMS 安全に転送し、新しいレプリカキーに関連付けます AWS KMS。`EXTERNAL` オリジンを持つ KMS キーの場合、プライマリリージョンキーにインポートしたのと同じキーマテリアルをインポートして、個別にレプリカリージョンキーに到達する必要があります。

### 共有プロパティ
<a name="mrk-sync-properties"></a>

*共有プロパティ*は、レプリカキーと共有されるマルチリージョンプライマリキーのプロパティです。 は、プライマリキーと同じ共有プロパティ値を持つレプリカキー AWS KMS を作成します。次に、プライマリキーの共有プロパティ値をレプリカキーに定期的に同期します。レプリカキーでは、これらのプロパティを設定できません。

以下は、マルチリージョンキーの共有プロパティです。
+ [キー ID](concepts.md#key-id-key-id) — ([キー ARN](concepts.md#key-id-key-ARN) の `Region` 要素が異なります)。
+ [キーマテリアル](create-keys.md#key-origin) — 関連するマルチリージョンキーのセット内のプライマリキーとレプリカキーは、同じキーマテリアルを共有します。キーマテリアルが AWS KMS (`AWS_KMS`オリジン) によって生成されるマルチリージョンキーの場合、レプリカの作成時、または自動ローテーションまたはオンデマンドローテーションによって新しいキーマテリアルの作成時に、 はすべてのキーマテリアルをプライマリから各レプリカに AWS KMS 安全に転送します。インポートされたキーマテリアル (`EXTERNAL`オリジン) を持つマルチリージョンキーの場合、 はキーマテリアル識別子をプライマリキーから AWS KMS 同期しますが、キーマテリアルを各レプリカキーに個別にインポートする必要があります。
+ [キーマテリアルのオリジン](create-keys.md#key-origin)
+ [キー仕様](create-keys.md#key-spec)および暗号化アルゴリズム
+ [キーの用途](create-keys.md#key-usage)
+ [自動キーローテーション](rotating-keys-enable.md) — 自動キーローテーションは、プライマリキーでのみ有効または無効にできます。新しいレプリカキーは、共有キーマテリアルのすべてのバージョンで作成されます。詳細については、「[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)」を参照してください。
+ [オンデマンドローテーション](rotating-keys-on-demand.md) — プライマリキーでのみオンデマンドローテーションを実行できます。キーマテリアルが AWS KMS (`AWS_KMS`オリジン) によって生成されるマルチリージョンキーの場合、 は共有キーマテリアルのすべてのバージョンでレプリカキー AWS KMS を作成します。インポートされたキーマテリアル (`EXTERNAL`オリジン) を持つマルチリージョンキーの場合、 はキーマテリアル ID とキーマテリアルの説明をプライマリキーからレプリカキーに AWS KMS 伝達しますが、キーマテリアルは伝達しません。正しいキーマテリアルを各レプリカキーに個別にインポートする必要があります。詳細については、「[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)」を参照してください。

関連するマルチリージョンキーのプライマリおよびレプリカの指定は、共有プロパティと考えることもできます。[新しいレプリカキーを作成する](#mrk-replica-key)か、[プライマリキーを更新すると](multi-region-update.md#update-primary-console)、 は関連するすべてのマルチリージョンキーに変更を AWS KMS 同期します。これらの変更が完了すると、関連するすべてのマルチリージョンキーが、プライマリキーとレプリカキーを正確に一覧表示します。

マルチリージョンキーの他のすべてのプロパティは、キーの説明、[キーポリシー](key-policies.md)、[許可](grants.md)、[有効/無効のキーの状態](enabling-keys.md)、[エイリアス、タグなど](kms-alias.md)、*独立したプロパティ*です。 [のタグ AWS KMS](tagging-keys.md)関連するすべてのマルチリージョンキーでこれらのプロパティに同じ値を設定できますが、独立したプロパティの値を変更すると、 AWS KMS は同期しません。

マルチリージョンキーの共有プロパティの同期を追跡できます。 AWS CloudTrail ログで、[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) イベントを探します。