マルチリージョンキーレプリケーションの利点マルチリージョンキーレプリケーションの仕組み制約事項と考慮事項マルチリージョンキーレプリケーションの有効化マルチリージョンキーレプリケーションの無効化セキュリティに関する考慮事項ベストプラクティス料金

AWS Payment Cryptography キーのレプリケート

AWS Payment Cryptography はマルチリージョンキーレプリケーションをサポートしているため、特定の AWS Payment Cryptography キーから同じ AWS パーティションとアカウント AWS リージョン内の 1 つ以上のにキーマテリアルとメタデータを安全に配布できます。

ソースキーはプライマリリージョンキー (PRK) と呼ばれ、すべてのキー管理アクティビティの信頼できるソースのままですが、PRK とレプリカリージョンキー (RRK) の両方をそれぞれの暗号化オペレーションに使用できます AWS リージョン。

マルチリージョンキーレプリケーションの利点

マルチリージョンキーレプリケーションの利点を以下に示します。

高可用性アプリケーションの簡単なセットアップ - AWS Payment Cryptography はキー分散を処理するため、特定のキーの分離されたコピーを作成することなく、複数の AWS リージョンでキーを使用できます。
高可用性キーと低レイテンシーキー - マルチリージョンキーレプリケーションを使用すると、キーに複数のでアクセスできる AWS リージョンため、可用性が高くなり、レイテンシーが低くなります。
キーマテリアルの耐久性 - レプリカリージョンキーは完全なキーレプリカであり、暗号化オペレーションでプライマリリージョンキーとは独立して使用できます。RRK は、PRK の壊滅的なデータ損失が発生した場合に耐久性のあるレプリカを提供します。

マルチリージョンキーレプリケーションの仕組み

マルチリージョンキーレプリケーションが有効になっている場合、 AWS Payment Cryptography サービスは安全なキー配布メカニズムを使用して、キーマテリアルとメタデータを指定したレプリカにコピー AWS リージョンします。キー属性、状態、有効化などのプライマリリージョンキーメタデータへの変更は、レプリカリージョンキーに自動的にレプリケートされます。

制約事項と考慮事項

以下は、マルチリージョンキーレプリケーションの制限と考慮事項です。

この機能は、 AWS リージョンまたは特定の Payment Cryptography キーで有効にする必要があります。
- でこの機能が有効になっている場合 AWS リージョン、有効化後に作成されたすべての AWS Payment Cryptography キーは、指定されたにレプリケートされます AWS リージョン。このリージョンで作成されたキーは、プライマリリージョンキーになります。このリージョンの既存のキーは自動的にレプリケートされません。キーレベルで、内の既存のキーに対してマルチリージョン AWS リージョンキーレプリケーションを有効にできます。
- 各は、一意のマルチリージョンキーレプリケーション設定を持つ AWS リージョンことができます。
- キーのマルチリージョンレプリケーション設定は、 AWS リージョンマルチリージョンキーレプリケーション設定よりも優先されます。
レプリカリージョンキーを他のにレプリケートするように設定することはできません AWS リージョン。
マルチリージョンキーレプリケーションは、トリプルデータ暗号化標準 (3DES)、アドバンスト暗号化標準 (AES)、ハッシュベースのメッセージ認証コード (HMAC) などの対称 Payment Cryptography キーで使用できます。
非対称 Payment Cryptography キーは、マルチリージョンキーレプリケーションをサポートしていません。
レプリカリージョンキーは読み取り専用キーです。プライマリリージョンキーへのすべての変更は、レプリカリージョンキーに適用されます。
プライマリリージョンキーの変更は、最終的にレプリカリージョンキーと一致します。
Payment Cryptography キーは、同じ AWS パーティションとアカウントでのみレプリケートできます。
レプリカリージョンキーは AWS アカウント、レベル AWS Payment Cryptography 制限にカウントされます。
プライマリリージョンキーとレプリカリージョンキーは同じキー識別子を使用します。これにより、IAM ポリシーで同じ ARN で両方のキーを参照できます。

マルチリージョンキーレプリケーションの有効化

AWS Payment Cryptography キーのマルチリージョンキーレプリケーションを有効にするには、2 つの方法があります。

AWS リージョン: マルチリージョンキーレプリケーションは、有効に AWS リージョンすると、そのキーで作成されたすべての新しいキーに適用されます。このメソッドは、すべてのキーに対して一貫したレプリケーションを提供します。
特定の AWS Payment Cryptography キー: 個々のキーのマルチリージョンキーレプリケーションを管理して、より詳細な制御レベルを実現できます。

マルチリージョンキーレプリケーションを有効にすると、 Payment Cryptography キーは指定した AWS リージョンにレプリケートされます。

重要

マルチリージョンキーレプリケーションを一時停止することはできません。キーは、レプリケーションが有効になると AWS リージョン、指定したに自動的にレプリケートされます。マルチリージョンキーレプリケーションは、特定の AWS リージョンまたは Payment Cryptography キーに対して無効にできます。レプリカリージョンキーを削除するには、プライマリリージョンキーからレプリケーションリージョン AWS リージョンとしてを削除する必要があります。

または、PRK stop-key-usage で StopKeyUsage API または CLI コマンドを呼び出して、PRK と関連するすべての RRKs の両方の使用を停止することもできます。これらのキーを暗号化オペレーションで使用することはできません。StopKeyUsage API または stop-key-usage CLI コマンドを使用しても、PRK で有効な進行中のマルチリージョンキーレプリケーションは停止されません。

特定の AWS リージョンで AWS Payment Cryptography キーのマルチリージョンキーレプリケーション設定を確認するには、 GetDefaultKeyReplicationRegions API または get-default-key-replication-regions CLI コマンドを呼び出します。この API アクションまたはコマンド AWS リージョンを呼び出すのキーが PRK になります。

マルチリージョンキーレプリケーションを有効にするには、次の手順に従います。

For AWS リージョン

次のコマンドを使用して、 AWS リージョン指定したのマルチリージョンキーレプリケーションを有効にします。この例では、米国東部 (オハイオ) および米国西部 (オレゴン) でマルチリージョンキーレプリケーションが有効になっています。このコマンドを使用するには、コマンド例の斜体のプレースホルダーテキストを独自の情報に置き換えます。
```
aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
```

注記

のマルチリージョンキーレプリケーションを有効に AWS リージョンしても、既存の AWS Payment Cryptography キーのレプリケーション設定は変更されません。この機能は、既存のキーに対してキーレベルで有効にできます。でマルチリージョンキーレプリケーションが有効になった後に作成されたキーのみが AWS リージョン、リージョンレプリケーション設定を使用します。

For specific AWS Payment Cryptography keys

次のコマンドを使用して、特定の Payment Cryptography キーのマルチリージョンキーレプリケーションを有効にします。この例では、米国東部 (オハイオ) でマルチリージョンキーレプリケーションが有効になっています。このコマンドを使用するには、コマンド例の斜体のプレースホルダーテキストを独自の情報に置き換えます。
```
aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2
```

または、この機能を有効にして新しい Payment Cryptography キーを作成するには、キー作成リクエスト AWS リージョンにレプリケーションを含めます。

注記

キーレプリケーション設定は、レプリ AWS リージョンケーション設定よりも優先されます。

マルチリージョンキーレプリケーションの無効化

マルチリージョンキーレプリケーションを無効にする場合は、マルチリージョンキーレプリケーションを有効にする方法に応じて、 disable-default-key-replicationまたは remove-key-replication-regions CLI コマンドを呼び出すことができます。マルチリージョンキーレプリケーション AWS リージョンを無効にするには、キーの ARN とを指定する必要があります。

考慮事項

レプリケーションリージョンキーの削除は結果整合性があります。

特定の AWS リージョンの AWS Payment Cryptography キーのマルチリージョンキーレプリケーション設定を確認するには、 GetDefaultKeyReplicationRegions API または get-default-key-replication-regions CLI コマンドを呼び出します。

マルチリージョンキーのレプリケーションを無効にするには、次の手順に従います。

セキュリティに関する考慮事項

Payment Cryptography キーにマルチリージョンキーレプリケーションを使用する場合のセキュリティ上の考慮事項を次に示します。詳細については、「AWS Payment Cryptography のセキュリティのベストプラクティス」を参照してください。

キーマテリアルの共有を制限します。
IAM ポリシーを作成するときは、最小権限のアクセス許可のプリンシパルに従います。
読み取り専用キーであるため、レプリカリージョンキーを変更することはできません。

ベストプラクティス

Payment Cryptography キーでマルチリージョンキーレプリケーションを使用する場合 AWS のベストプラクティスを以下に示します。

指定されたへのマルチリージョンキーレプリケーションがすぐには行われない場合でも、アプリケーション AWS リージョンが動作し続けます。マルチリージョンキーのレプリケーションが完了したタイミングを知る必要がある場合は、GetKey API アクションを使用してモニタリングできます。を使用してキーレプリケーションイベントをモニタリングできますAWS CloudTrail。
あるリージョンから別のリージョン AWS リージョンにフェイルオーバーした場合の自動デプロイプロセスをテストして実装します。

料金

AWS Payment Cryptography で作成したレプリカリージョンキーには料金が発生します。これらのキーはごとに課金されます AWS リージョン。Payment Cryptography の最新の料金情報については、 AWS Payment Cryptography の料金ページを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Enabling and disabling keys

Deleting keys