

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 影響のキーローテーション AWS KMS と範囲
<a name="data-protection-key-rotation"></a>

規制コンプライアンスのためにキーをローテーションする必要がある場合を除き、 AWS Key Management Service (AWS KMS) キーローテーションはお勧めしません。たとえば、ビジネスポリシー、契約ルール、または政府の規制により、KMS キーのローテーションが必要になる場合があります。の設計により、キーローテーションが軽減に通常使用されるリスクのタイプ AWS KMS が大幅に軽減されます。KMS キーをローテーションする必要がある場合は、自動キーローテーションを使用し、自動キーローテーションがサポートされていない場合にのみ手動キーローテーションを使用することをお勧めします。

**Topics**
+ [AWS KMS 対称キーローテーション](#data-protection-key-rotation-symmetric)
+ [Amazon EBS ボリュームのキーローテーション](#data-protection-key-rotation-ebs)
+ [Amazon RDS のキーローテーション](#data-protection-key-rotation-rds)
+ [Amazon S3 および同一リージョンレプリケーションのキーローテーション](#data-protection-key-rotation-s3)
+ [インポートされたマテリアルを使用した KMS キーの更新](#data-protection-key-rotation-imported)

## AWS KMS 対称キーローテーション
<a name="data-protection-key-rotation-symmetric"></a>

AWS KMS は、 が AWS KMS 作成する[キーマテリアルを持つ対称暗号化 KMS キーに対してのみ、自動キーローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)をサポートします。カスタマー管理の KMS キーでは、自動ローテーションはオプションです。は、 AWS マネージド KMS キーのキーマテリアルを毎年 AWS KMS ローテーションします。 AWS KMS は、暗号化マテリアルのすべての以前のバージョンを永続的に保存するため、その KMS キーで暗号化されたデータを復号できます。 AWS KMS は、KMS キーを削除するまでローテーションされたキーマテリアルを削除しません。また、 を使用してオブジェクトを復号すると AWS KMS、サービスは復号オペレーションに使用する正しいバッキングマテリアルを決定します。追加の入力パラメータを指定する必要はありません。

は暗号化キーマテリアルの以前のバージョン AWS KMS を保持し、そのマテリアルを使用してデータを復号できるため、キーローテーションは追加のセキュリティ上の利点を提供しません。キーローテーションメカニズムは、規制やその他の要件が要求するコンテキストでワークロードを運用している場合に、キーのローテーションを容易にするために存在します。

## Amazon EBS ボリュームのキーローテーション
<a name="data-protection-key-rotation-ebs"></a>

Amazon Elastic Block Store (Amazon EBS) データキーは、次のいずれかの方法でローテーションできます。このアプローチは、ワークフロー、デプロイ方法、アプリケーションアーキテクチャによって異なります。これは、 AWS マネージドキーからカスタマーマネージドキーに変更するときに実行できます。

**オペレーティングシステムツールを使用して、あるボリュームから別のボリュームにデータをコピーするには**

1. 新しい KMS キーを作成します。手順については、[「KMS キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。

1. 元のボリュームと同じサイズ以上の新しい Amazon EBS ボリュームを作成します。暗号化には、作成した KMS キーを指定します。手順については、[「Amazon EBS ボリュームの作成](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-creating-volume.html)」を参照してください。

1. 新しいボリュームを元のボリュームと同じインスタンスまたはコンテナにマウントします。手順については、[「Amazon EC2 インスタンスに Amazon EBS ボリュームをア](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-attaching-volume.html)タッチする」を参照してください。

1. 任意のオペレーティングシステムツールを使用して、既存のボリュームから新しいボリュームにデータをコピーします。

1. 同期が完了したら、事前にスケジュールされたメンテナンスウィンドウ中に、インスタンスへのトラフィックを停止します。手順については、[「インスタンスの手動停止と起動](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#starting-stopping-instances)」を参照してください。

1. 元のボリュームをアンマウントします。手順については、[「Amazon EC2 インスタンスから Amazon EBS ボリュームをデタッチする](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-detaching-volume.html)」を参照してください。

1. 新しいボリュームを元のマウントポイントにマウントします。

1. 新しいボリュームが正しく動作していることを確認します。

1. 元のボリュームを削除します。手順については、[「Amazon EBS ボリュームの削除](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-deleting-volume.html)」を参照してください。

**Amazon EBS スナップショットを使用して、あるボリュームから別のボリュームにデータをコピーするには**

1. 新しい KMS キーを作成します。手順については、[「KMS キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。

1. 元のボリュームの Amazon EBS スナップショットを作成します。手順については、[「Amazon EBS スナップショットの作成](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-creating-snapshot.html)」を参照してください。

1. スナップショットから新しいボリュームを作成します。暗号化には、作成した新しい KMS キーを指定します。手順については、[「Amazon EBS ボリュームの作成](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-creating-volume.html)」を参照してください。
**注記**  
ワークロードによっては、ボリュームの初期レイテンシーを最小限に抑えるために [Amazon EBS 高速スナップショット復元](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-fast-snapshot-restore.html)を使用することをお勧めします。

1. 新しい Amazon EC2 インスタンスを作成します。手順については、[Amazon EC2 インスタンスを起動する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)」を参照してください。

1. 作成したボリュームを Amazon EC2 インスタンスにアタッチします。手順については、[「Amazon EC2 インスタンスに Amazon EBS ボリュームをア](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-attaching-volume.html)タッチする」を参照してください。

1. 新しいインスタンスを本番環境にローテーションします。

1. 元のインスタンスを本番環境からローテーションして削除します。手順については、[「Amazon EBS ボリュームの削除](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-deleting-volume.html)」を参照してください。

**注記**  
スナップショットをコピーし、ターゲットコピーに使用される暗号化キーを変更できます。スナップショットをコピーして任意の KMS キーで暗号化したら、スナップショットから Amazon マシンイメージ (AMI) を作成することもできます。詳細については、[Amazon EC2 ドキュメントの「Amazon EBS 暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)」を参照してください。 Amazon EC2 

## Amazon RDS のキーローテーション
<a name="data-protection-key-rotation-rds"></a>

Amazon Relational Database Service (Amazon RDS) などの一部のサービスでは、データ暗号化はサービス内で行われ、 によって提供されます AWS KMS。次の手順を使用して、Amazon RDS データベースインスタンスのキーをローテーションします。

**Amazon RDS データベースの KMS キーをローテーションするには**

1. 元の暗号化されたデータベースのスナップショットを作成します。手順については、Amazon RDS ドキュメントの[「手動バックアップの管理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingManualBackups.html)」を参照してください。

1. スナップショットを新しいスナップショットにコピーします。暗号化には、新しい KMS キーを指定します。手順については、[「Amazon RDS の DB スナップショットのコピー](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)」を参照してください。

1. 新しいスナップショットを使用して、新しい Amazon RDS クラスターを作成します。手順については、Amazon RDS ドキュメント[の「DB インスタンスへの復元](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_RestoreFromSnapshot.html)」を参照してください。デフォルトでは、クラスターは新しい KMS キーを使用します。

1. 新しいデータベースとその中のデータのオペレーションを確認します。

1. 新しいデータベースを本番環境にローテーションします。

1. 古いデータベースを本番環境からローテーションして削除します。手順については、[「DB インスタンスの削除](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DeleteInstance.html)」を参照してください。

## Amazon S3 および同一リージョンレプリケーションのキーローテーション
<a name="data-protection-key-rotation-s3"></a>

Amazon Simple Storage Service (Amazon S3) の場合、オブジェクトの暗号化キーを変更するには、オブジェクトを読み書きする必要があります。オブジェクトを書き換えるときは、書き込みオペレーションで新しい暗号化キーを明示的に指定します。多くのオブジェクトに対してこれを行うには、[Amazon S3 バッチオペレーション](https://docs.aws.amazon.com/AmazonS3/latest/userguide/batch-ops.html)を使用できます。ジョブ設定内で、コピーオペレーションに新しい暗号化設定を指定します。たとえば、**SSE-KMS** を選択し、**keyId** を入力できます。

または、[Amazon S3 同一リージョンレプリケーション (SRR)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html#srr-scenario) を使用することもできます。SSR は、転送中のオブジェクトを再暗号化できます。

## インポートされたマテリアルを使用した KMS キーの更新
<a name="data-protection-key-rotation-imported"></a>

AWS KMS は、[インポートしたキーマテリアル](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys-conceptual.html#import-keys-protect)を復元またはローテーションしません。インポートされたキーマテリアルで KMS キーをローテーションするには、[キーを手動でローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotate-keys-manually)する必要があります。