すべてのプロダクト
Search

このプロダクト

    Key Management Service:中国本土以外での HSM データのバックアップと復元

    ドキュメントセンター

    Key Management Service:中国本土以外での HSM データのバックアップと復元

    最終更新日:Mar 13, 2025

    バックアップおよび復元機能を使用すると、HSM を以前の状態、または同じリージョンまたは異なるリージョンの他の HSM の状態に復元できます。これは、データ復旧とクロスリージョンサービスデプロイメントのニーズに対応します。このトピックでは、この機能の使用方法について説明します。

    各バックアップは、HSM データの完全なイメージを作成します。イメージに既にバックアップデータが含まれている場合、新しいバックアップを作成すると既存のデータが上書きされます。HSM は、クラスタ内のすべての HSM または個々の HSM のデータのバックアップと復元をサポートしています。

    バックアップ操作と復元操作は、ActionTrail を介して監査できます。

    データのバックアップ

    バックアップデータ

    説明

    ユーザー情報

    ユーザーアカウントのパスワードと ID タイプ。

    証明書情報

    クラスタ証明書、自己署名証明書。

    キー

    キーとそのプロパティ (キー ID、キータイプ、キーポリシー、キーの使用状況、キーステータス、キー所有者情報、KCV ID、楕円曲線タイプ (ECC キーの場合のみ)、CRT パラメータ (RSA キーの場合のみ) など)。

    説明

    KMS の ハードウェア保護キー は HSM に依存し、キーマテリアル (暗号化キー) とキーメタデータが含まれます。HSM はハードウェアキーのキーマテリアルをバックアップできますが、ハードウェアキーのメタデータはバックアップできません。

    • キーマテリアルとは、物理的に隔離された HSM 環境内で KMS によって生成およびホストされるキーの必須パラメータを指します。

    • キーメタデータには、キー ID、キーをホストする KMS インスタンス、ARN、キーポリシーなど、KMS に保存されているビジネスデータ情報が含まれます。

    バックアップ方法と時間

    完全バックアップのみがサポートされています。増分バックアップはサポートされていません。

    T 日にデータのバックアップと復元を有効にすると、システムは T + 1 日の 00:00 (UTC + 08:00) に最初のバックアップを開始し、その後は 00:00 (UTC + 08:00) に毎日バックアップします。各バックアップでイメージが作成されます。すべてのイメージが使用中の場合、最新のイメージは最も古いイメージを上書きします。

    説明

    イメージを作成する前に、HSM は現在のデータのダイジェストを以前のイメージのダイジェストと比較します。ダイジェストが一致する場合、HSM データに変更がないことを示しているため、イメージクォータを節約するために新しいイメージは生成されません。

    バックアップのダウンロードと削除の制限

    バックアップもその中のイメージもダウンロードしたり、詳細なイメージデータを表示するために使用したりすることはできません。これにより、不正なデータの複製や漏洩のリスクが軽減されます。

    バックアップと、その中のイメージは手動で削除することはできません。HSM インスタンスがリリースされてから 90 日後に、バックアップは自動的に削除され、バックアップ内のすべてのイメージデータがリリースされます。バックアップが削除される前に、クロスリージョンレプリケーションまたはインスタンスの復元を実行できます。

    課金

    HSM インスタンスのデータバックアップの有効化は、選択したイメージの数に基づいて課金されます。イメージ 1 つあたり 10 USD です。

    HSM データのバックアップ

    データをバックアップする場合は、HSM のステータスが Enabled であることを確認してください。HSM インスタンスの購入時にデータのバックアップと復元を有効にできます。HSM はクラスタデプロイメントのみをサポートしているため、インスタンスを購入する際は、デュアルゾーンで少なくとも 2 つの HSM を選択してください。この選択により、すべての HSM のデータのバックアップと復元が有効になります。または、購入時にデータのバックアップと復元を有効にせず、後で単一の HSM に対して有効にすることもできます。

    • 方法 1: HSM インスタンスの購入時にデータのバックアップと復元が選択された場合。

      具体的な操作については、「HSM インスタンスの購入と有効化」をご参照ください。有効化が成功すると、設定された時間にバックアップが自動的に行われます。[データのバックアップと復元の管理] ページでバックアップを表示できます。

    • 方法 2: 購入後にデータのバックアップと復元を有効にする場合。

      1. クラウドハードウェアセキュリティモジュールコンソールの [インスタンス] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

      2. クラウドハードウェアセキュリティモジュールコンソールの [インスタンス] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

      3. ターゲット HSM を見つけて、操作image > 更新 列の をクリックします。

        説明

        更新 が表示されない場合は、バックアップと復元機能が HSM で既に有効になっている可能性があります。

      4. [アップグレード/ダウングレード] ページで、[データのバックアップと復元] を有効にし、少なくとも 2 つのイメージを選択します。サービス規約を読んで同意し、[今すぐ購入] をクリックして、画面の指示に従って購入を完了します。

        購入が成功すると、設定された時間にバックアップが自動的に行われます。Data Backup and Restoration ページで、生成されたバックアップの名前を確認できます。image

    クロスリージョンイメージレプリケーション

    これは中国本土以外でのみサポートされています。レプリケーションが完了すると、[バックアップタイプ][クロスリージョンコピー] とラベル付けされたバックアップがターゲットリージョンに自動的に作成され、レプリケートされたイメージが含まれます。たとえば、シンガポールリージョンからマレーシア (クアラルンプール) にイメージをレプリケートできます。

    1. クラウドハードウェアセキュリティモジュールコンソールの [データのバックアップと復元] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

    2. 左側のナビゲーションウィンドウで、[データのバックアップと復元] を選択します。

    3. ターゲットバックアップの [操作] 列の [イメージの表示] をクリックします。

    4. ターゲットの [イメージ ID] を見つけて、[操作] 列の [クロスリージョンコピー] をクリックします。

    5. [イメージのコピー] ダイアログボックスで、[ターゲットリージョン] を選択し、[OK] をクリックします。

    6. ターゲットリージョンに切り替えて、[データのバックアップと復元] ページでイメージを表示します。

      1. [バックアップタイプ][クロスリージョンコピー] とラベル付けされたバックアップを見つけて、[操作] 列の [イメージの表示] をクリックします。image

        説明

        このバックアップは、他のリージョンからレプリケートされたすべてのイメージを集約し、有効期限はありません。

      2. レプリケーションタイムスタンプに基づいて、レプリケートされたイメージを確認します。

        イメージ ID の横にある image アイコンにカーソルを合わせると、ソースバックアップ ID、ソースイメージ ID、ソースインスタンス ID、ソースイメージリージョンなどの詳細が表示されます。

    イメージを使用した HSM データの復元

    HSM は、同じリージョン内またはリージョンをまたがる HSM へのデータ復元をサポートしています。イメージの復元により、HSM を元の状態に戻したり、同じデータを使用して新しい HSM を作成したりできます。

    重要

    ターゲット HSM は、次の条件を満たしている必要があります。

    • リージョンの互換性:

      • HSM は、イメージと同じリージョンにある必要があります。

      • クロスリージョン復元の場合は、復元プロセスを開始する前に、イメージが HSM のリージョンにレプリケートされていることを確認してください。

    • タイプの互換性: HSM は、イメージの作成元の HSM と同じインスタンスタイプである必要があります。

    • HSM の状態:

      • HSM はクラスタの一部であってはなりません。

      • HSM のステータスは、新規 または 無効 である必要があります。

      • HSM を初期化することはできません。

    1. HSM インスタンスを準備します。

      • ターゲットリージョンに HSM がない場合は、購入 してください。

        購入後に HSM インスタンスを有効にしないでください。

      • ターゲット HSM が使用中の場合は、Alibaba Cloud のテクニカルサポートに連絡して、HSM を無効にしてリセットしてください。

    2. ターゲットイメージを見つけます。

      1. クラウドハードウェアセキュリティモジュールコンソールの [データのバックアップと復元] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

      2. [データのバックアップと復元の管理] ページで、ターゲットイメージを見つけます。

        • 同じリージョンへの復元: [バックアップタイプ]Auto Create とラベル付けされたバックアップを見つけて、ターゲットバックアップの [操作] 列の [イメージの表示] をクリックします。

        • クロスリージョン復元: [バックアップタイプ][クロスリージョンコピー] とラベル付けされたバックアップを見つけて、[操作] 列の [イメージの表示] をクリックします。

    3. ターゲットの [イメージ ID] をクリックし、[操作] 列の [インスタンスの復元] を選択します。

    4. [インスタンスの復元] ダイアログボックスで、ターゲットの [インスタンス] を選択し、[OK] をクリックします。

      復元が成功すると、イメージのデータがターゲット HSM にコピーされます。

    一般的なシナリオのプロセス

    シナリオ 1: クラスタ内のすべての HSM を指定した日付に復元する

    クラスタ内の HSM データを復元するには、まずクラスタからすべての HSM を削除してから、イメージを使用して HSM を再作成し、クラスタを再デプロイします。このプロセスにより、クラスタ内のすべてのデータが消去されます。次の手順は参考用です。続行する前に、テクニカルサポートに連絡することをお勧めします。

    シナリオ 2: クロスリージョンデプロイメント。リージョン A の HSM 1 からリージョン B の HSM クラスタにデータをレプリケートする

    プロセスは次のとおりです。リージョン B で HSM を購入する場合は、デュアルゾーンデプロイメント要件のため、少なくとも 2 つの HSM を購入する必要があることに注意してください。購入後、HSM を有効化または初期化する必要はありません。