すべてのプロダクト
Search

このプロダクト

    Key Management Service:データのバックアップと復元

    ドキュメントセンター

    Key Management Service:データのバックアップと復元

    最終更新日:Mar 26, 2025

    データのバックアップと復元機能を使用すると、ハードウェアセキュリティモジュール(HSM)のデータを以前の状態、または同じリージョンまたは異なるリージョンの他の HSM に復元できます。 この機能は、データ復旧が必要な場合、または新しいリージョンでサービスが利用可能な場合に適しています。 このトピックでは、データのバックアップと復元機能の使用方法について説明します。

    機能の説明

    この機能は、HSM データの完全バックアップを実行し、完全バックアップのイメージを生成します。 イメージが再度データのバックアップに使用されると、イメージの元のデータは上書きされます。 クラスタ内のすべての HSM または特定の HSM に対して、データのバックアップと復元機能を有効にすることができます。

    バックアップコンテンツ

    バックアップデータ

    説明

    ユーザー情報

    ユーザーアカウント、ユーザーパスワード、および ID タイプ。

    証明書情報

    クラスタ証明書と自己発行証明書。

    キー

    キーとキー属性。 キー属性には、キー識別子、キータイプ、キーの使用法、キーステータス、キー所有者に関する情報、キーチェック値(KCV)、楕円曲線タイプ(楕円曲線暗号(ECC)キーの場合のみ)、および中国剰余定理(CRT)パラメータ(Rivest-Shamir-Adleman(RSA)キーの場合のみ)が含まれます。

    説明

    ハードウェア保護キー KMS の は HSM に依存しており、キーマテリアル(HSM キー)とキーメタデータが含まれます。 HSM はハードウェア保護キーのキーマテリアルをバックアップできますが、キーメタデータはバックアップできません。

    • キーマテリアルとは、物理的に隔離された HSM 環境を使用して Key Management Service (KMS)によって生成およびホストされるキーのコアパラメータを指します。

    • キーメタデータには、KMS に保存されているビジネスデータが含まれます。 ビジネスデータには、キー ID、キーが属する KMS インスタンス、Alibaba Cloud リソースネーム(ARN)、およびキーポリシーが含まれます。

    バックアップ方法と時間

    完全バックアップのみがサポートされています。

    T 日にデータのバックアップと復元機能を有効にすると、システムは T + 1 日の 00:00 (UTC + 08:00)に最初のバックアップを実行し、その後 T + 1 日以降は毎日 00:00 (UTC + 08:00)にデータをバックアップします。 各バックアップでイメージが生成されます。 すべてのイメージが使用されている場合、新しく生成されたイメージは最も古いイメージを上書きします。

    バックアップのダウンロードと削除

    バックアップとバックアップのイメージをダウンロードしたり、イメージ内のデータを表示したりすることはできません。これにより、データが不正にコピーまたは漏洩するリスクが軽減されます。

    バックアップとバックアップのイメージを手動で削除することはできません。 HSM がリリースされてから 90 日後に、バックアップは自動的に削除され、すべてのイメージ内のデータが解放されます。 システムが HSM のバックアップを削除する前に、バックアップデータを使用してリージョン間でデータをコピーまたは復元できます。

    ActionTrail

    ActionTrail を使用して、バックアップと復元の操作を表示できます。

    料金

    データのバックアップと復元機能は、イメージの数に基づいて課金されます。 イメージの単価は 10 米ドルです。

    バックアップと復元プロセス

    シナリオ 1:クラスタ内のすべての HSM のデータを以前の状態に復元する

    クラスタ内のすべての HSM のデータを復元するには、最初にクラスタからすべての HSM を削除し、イメージを使用して HSM を再作成してから、クラスタをデプロイする必要があります。 この方法では、クラスタ内のすべてのデータが削除されます。 次のプロセスは参考用です。 復元する前に、テクニカルサポートに連絡することをお勧めします。

    シナリオ 2:リージョン A の HSM 1 からリージョン B の HSM クラスタにデータをコピーして、新しいリージョンでサービスを起動する

    次の図はプロセスを示しています。 HSM はデュアルゾーンデプロイメントのみをサポートしているため、リージョン B で少なくとも 2 つの HSM を購入する必要があることに注意してください。 購入後、HSM の有効化や初期化などの操作を実行する必要はありません。

    手順

    HSM データのバックアップ

    HSM のデータをバックアップする場合は、HSM のステータスが Enabled である必要があります。

    HSM を購入する際に、データのバックアップと復元機能を有効にすることができます。 このシナリオでは、HSM はクラスタモードのみをサポートしており、HSM を購入する際に異なるゾーンで少なくとも 2 つの HSM を選択する必要があります。 この場合、データのバックアップと復元機能はすべての HSM で有効になります。 あるいは、HSM を購入する際にデータのバックアップと復元機能を無効にし、後で単一の HSM に対して機能を有効にすることもできます。

    • 方法 1:HSM を購入する際にデータのバックアップと復元機能を有効にする。

      詳細については、「HSM の購入と有効化」をご参照ください。 HSM を購入すると、事前定義された時点で自動バックアップが実行されます。 [データのバックアップと復元] ページでバックアップに関する情報を表示できます。

    • 方法 2:HSM を購入する際にデータのバックアップと復元機能を無効にし、後でデータのバックアップと復元機能を有効にする。

      1. Cloud Hardware Security Module コンソールの VSM ページに移動します。 上部のナビゲーションバーで、リージョンを選択します。

      2. 管理する HSM を見つけ、[操作] 列で image > 更新 を選択します。アクション

        説明

        更新 が使用できない場合は、HSM のデータバックアップおよび復元機能がすでに有効になっている可能性があります。

      3. [アップグレード] ページで、データのバックアップと復元機能を有効にし、イメージの数を指定します。 [サービス規約] を読んで、[今すぐ購入] をクリックして、プロンプトに従って購入を完了します。

        購入後、自動バックアップは事前に定義された時点で実行されます。Data Backup and Restoration ページで、生成されたバックアップの名前を表示できます。image

    リージョン間でイメージをコピーする

    中国本土内でのみ、リージョン間でイメージをコピーできます。 イメージをリージョン間でコピーすると、[バックアップタイプ][リージョン間コピー] であるバックアップがターゲットリージョンに自動的に作成され、イメージがバックアップに追加されます。 たとえば、中国(杭州)リージョンから中国(上海)リージョンにイメージをコピーできます。

    1. Cloud Hardware Security Module コンソールの データのバックアップと復元 ページに移動します。 上部のナビゲーションバーで、リージョンを選択します。

    2. 管理するバックアップを見つけ、[アクション] 列の [イメージの表示] をクリックします。

    3. 管理するイメージ ID を見つけて、[操作] 列の [リージョン間コピー] をクリックします。

    4. [イメージのコピー] ダイアログボックスで、ターゲットリージョンを選択し、[OK] をクリックします。

    5. ターゲットリージョンに切り替え、[データのバックアップと復元] ページでイメージコピーを表示します。

      1. [バックアップの種類][リージョン間コピー] であるバックアップを見つけ、アクション 列の [イメージの表示] をクリックします。image

        説明

        このバックアップには、他のリージョンからコピーされたすべてのイメージが含まれており、このバックアップの有効期限は切れません。

      2. コピー時間に基づいてイメージコピーを表示します。

        イメージ ID の横にある image アイコンにポインターを移動すると、元のバックアップ ID、元のイメージ ID、元の HSM ID、および元のイメージリージョンが表示されます。

    イメージを使用して HSM データを復旧する

    イメージを使用して、HSM のデータを同じリージョンまたは異なるリージョンの他の HSM に復旧できます。元の HSM を使用することも、イメージベースのデータ復旧のターゲット HSM として HSM を作成することもできます。

    重要

    ターゲット HSM は、次の条件を満たしている必要があります。

    • ターゲット HSM は、バックアップと同じリージョンにあります。リージョン間のデータ復旧の場合は、最初にイメージをターゲットリージョンにコピーする必要があります。

    • ターゲット HSM の種類は、元の HSM と同じです。

    • ターゲット HSM は、クラスタ内にありません。

    • ターゲット HSM は、無効化または停止されています。

    • ターゲット HSM は、初期化されていません。

    1. HSM を準備します。

      • ターゲットリージョンで使用可能な HSM がない場合は、HSM を購入します。詳細については、「HSM を購入する」をご参照ください。

        重要

        購入した後、HSM を有効にしないでください。

      • ターゲット HSM が使用中の場合は、Alibaba Cloud テクニカルサポートに連絡して、HSM を停止してリセットしてください。

    2. 管理するイメージを見つけます。

      1. クラウドハードウェアセキュリティモジュールコンソールの データバックアップと復旧 ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

      2. [データバックアップと復旧] ページで、管理するイメージを見つけます。

        • 同じリージョン内のデータ復旧: 管理するバックアップを見つけて、操作 列の [イメージの表示] をクリックします。

        • リージョン間のデータ復旧: [バックアップの種類][リージョン間コピー] であるバックアップを見つけて、操作 列の [イメージの表示] をクリックします。

    3. 管理するイメージ ID を見つけて、操作 列の [インスタンスの復元] をクリックします。

    4. 表示されるダイアログボックスで、ターゲット HSM を選択し、[OK] をクリックします。

      データ復旧が成功すると、イメージ内のデータがターゲット HSM にコピーされます。