すべてのプロダクト
Search
ドキュメントセンター

Key Management Service:中国本土以外での HSM データのバックアップと復元

最終更新日:Mar 13, 2025

バックアップおよび復元機能を使用すると、HSM を以前の状態、または同じリージョンまたは異なるリージョンの他の HSM の状態に復元できます。これは、データ復旧とクロスリージョンサービスデプロイメントのニーズに対応します。このトピックでは、この機能の使用方法について説明します。

各バックアップは、HSM データの完全なイメージを作成します。イメージに既にバックアップデータが含まれている場合、新しいバックアップを作成すると既存のデータが上書きされます。HSM は、クラスタ内のすべての HSM または個々の HSM のデータのバックアップと復元をサポートしています。

バックアップ操作と復元操作は、ActionTrail を介して監査できます。

データのバックアップ

バックアップデータ

説明

ユーザー情報

ユーザーアカウントのパスワードと ID タイプ。

証明書情報

クラスタ証明書、自己署名証明書。

キー

キーとそのプロパティ (キー ID、キータイプ、キーポリシー、キーの使用状況、キーステータス、キー所有者情報、KCV ID、楕円曲線タイプ (ECC キーの場合のみ)、CRT パラメータ (RSA キーの場合のみ) など)。

説明

KMS の ハードウェア保護キー は HSM に依存し、キーマテリアル (暗号化キー) とキーメタデータが含まれます。HSM はハードウェアキーのキーマテリアルをバックアップできますが、ハードウェアキーのメタデータはバックアップできません。

  • キーマテリアルとは、物理的に隔離された HSM 環境内で KMS によって生成およびホストされるキーの必須パラメータを指します。

  • キーメタデータには、キー ID、キーをホストする KMS インスタンス、ARN、キーポリシーなど、KMS に保存されているビジネスデータ情報が含まれます。

バックアップ方法と時間

完全バックアップのみがサポートされています。増分バックアップはサポートされていません。

T 日にデータのバックアップと復元を有効にすると、システムは T + 1 日の 00:00 (UTC + 08:00) に最初のバックアップを開始し、その後は 00:00 (UTC + 08:00) に毎日バックアップします。各バックアップでイメージが作成されます。すべてのイメージが使用中の場合、最新のイメージは最も古いイメージを上書きします。

説明

イメージを作成する前に、HSM は現在のデータのダイジェストを以前のイメージのダイジェストと比較します。ダイジェストが一致する場合、HSM データに変更がないことを示しているため、イメージクォータを節約するために新しいイメージは生成されません。

バックアップのダウンロードと削除の制限

バックアップもその中のイメージもダウンロードしたり、詳細なイメージデータを表示するために使用したりすることはできません。これにより、不正なデータの複製や漏洩のリスクが軽減されます。

バックアップと、その中のイメージは手動で削除することはできません。HSM インスタンスがリリースされてから 90 日後に、バックアップは自動的に削除され、バックアップ内のすべてのイメージデータがリリースされます。バックアップが削除される前に、クロスリージョンレプリケーションまたはインスタンスの復元を実行できます。

課金

HSM インスタンスのデータバックアップの有効化は、選択したイメージの数に基づいて課金されます。イメージ 1 つあたり 10 USD です。

HSM データのバックアップ

データをバックアップする場合は、HSM のステータスが Enabled であることを確認してください。HSM インスタンスの購入時にデータのバックアップと復元を有効にできます。HSM はクラスタデプロイメントのみをサポートしているため、インスタンスを購入する際は、デュアルゾーンで少なくとも 2 つの HSM を選択してください。この選択により、すべての HSM のデータのバックアップと復元が有効になります。または、購入時にデータのバックアップと復元を有効にせず、後で単一の HSM に対して有効にすることもできます。

  • 方法 1: HSM インスタンスの購入時にデータのバックアップと復元が選択された場合。

    具体的な操作については、「HSM インスタンスの購入と有効化」をご参照ください。有効化が成功すると、設定された時間にバックアップが自動的に行われます。[データのバックアップと復元の管理] ページでバックアップを表示できます。

  • 方法 2: 購入後にデータのバックアップと復元を有効にする場合。

    1. クラウドハードウェアセキュリティモジュールコンソールの [インスタンス] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

    2. クラウドハードウェアセキュリティモジュールコンソールの [インスタンス] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

    3. ターゲット HSM を見つけて、操作image > 更新 列の をクリックします。

      説明

      更新 が表示されない場合は、バックアップと復元機能が HSM で既に有効になっている可能性があります。

    4. [アップグレード/ダウングレード] ページで、[データのバックアップと復元] を有効にし、少なくとも 2 つのイメージを選択します。サービス規約を読んで同意し、[今すぐ購入] をクリックして、画面の指示に従って購入を完了します。

      購入が成功すると、設定された時間にバックアップが自動的に行われます。Data Backup and Restoration ページで、生成されたバックアップの名前を確認できます。image

クロスリージョンイメージレプリケーション

これは中国本土以外でのみサポートされています。レプリケーションが完了すると、[バックアップタイプ][クロスリージョンコピー] とラベル付けされたバックアップがターゲットリージョンに自動的に作成され、レプリケートされたイメージが含まれます。たとえば、シンガポールリージョンからマレーシア (クアラルンプール) にイメージをレプリケートできます。

  1. クラウドハードウェアセキュリティモジュールコンソールの [データのバックアップと復元] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

  2. 左側のナビゲーションウィンドウで、[データのバックアップと復元] を選択します。

  3. ターゲットバックアップの [操作] 列の [イメージの表示] をクリックします。

  4. ターゲットの [イメージ ID] を見つけて、[操作] 列の [クロスリージョンコピー] をクリックします。

  5. [イメージのコピー] ダイアログボックスで、[ターゲットリージョン] を選択し、[OK] をクリックします。

  6. ターゲットリージョンに切り替えて、[データのバックアップと復元] ページでイメージを表示します。

    1. [バックアップタイプ][クロスリージョンコピー] とラベル付けされたバックアップを見つけて、[操作] 列の [イメージの表示] をクリックします。image

      説明

      このバックアップは、他のリージョンからレプリケートされたすべてのイメージを集約し、有効期限はありません。

    2. レプリケーションタイムスタンプに基づいて、レプリケートされたイメージを確認します。

      イメージ ID の横にある image アイコンにカーソルを合わせると、ソースバックアップ ID、ソースイメージ ID、ソースインスタンス ID、ソースイメージリージョンなどの詳細が表示されます。

イメージを使用した HSM データの復元

HSM は、同じリージョン内またはリージョンをまたがる HSM へのデータ復元をサポートしています。イメージの復元により、HSM を元の状態に戻したり、同じデータを使用して新しい HSM を作成したりできます。

重要

ターゲット HSM は、次の条件を満たしている必要があります。

  • リージョンの互換性:

    • HSM は、イメージと同じリージョンにある必要があります。

    • クロスリージョン復元の場合は、復元プロセスを開始する前に、イメージが HSM のリージョンにレプリケートされていることを確認してください。

  • タイプの互換性: HSM は、イメージの作成元の HSM と同じインスタンスタイプである必要があります。

  • HSM の状態:

    • HSM はクラスタの一部であってはなりません。

    • HSM のステータスは、新規 または 無効 である必要があります。

    • HSM を初期化することはできません。

  1. HSM インスタンスを準備します。

    • ターゲットリージョンに HSM がない場合は、購入 してください。

      購入後に HSM インスタンスを有効にしないでください。

    • ターゲット HSM が使用中の場合は、Alibaba Cloud のテクニカルサポートに連絡して、HSM を無効にしてリセットしてください。

  2. ターゲットイメージを見つけます。

    1. クラウドハードウェアセキュリティモジュールコンソールの [データのバックアップと復元] ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

    2. [データのバックアップと復元の管理] ページで、ターゲットイメージを見つけます。

      • 同じリージョンへの復元: [バックアップタイプ]Auto Create とラベル付けされたバックアップを見つけて、ターゲットバックアップの [操作] 列の [イメージの表示] をクリックします。

      • クロスリージョン復元: [バックアップタイプ][クロスリージョンコピー] とラベル付けされたバックアップを見つけて、[操作] 列の [イメージの表示] をクリックします。

  3. ターゲットの [イメージ ID] をクリックし、[操作] 列の [インスタンスの復元] を選択します。

  4. [インスタンスの復元] ダイアログボックスで、ターゲットの [インスタンス] を選択し、[OK] をクリックします。

    復元が成功すると、イメージのデータがターゲット HSM にコピーされます。

一般的なシナリオのプロセス

シナリオ 1: クラスタ内のすべての HSM を指定した日付に復元する

クラスタ内の HSM データを復元するには、まずクラスタからすべての HSM を削除してから、イメージを使用して HSM を再作成し、クラスタを再デプロイします。このプロセスにより、クラスタ内のすべてのデータが消去されます。次の手順は参考用です。続行する前に、テクニカルサポートに連絡することをお勧めします。

シナリオ 2: クロスリージョンデプロイメント。リージョン A の HSM 1 からリージョン B の HSM クラスタにデータをレプリケートする

プロセスは次のとおりです。リージョン B で HSM を購入する場合は、デュアルゾーンデプロイメント要件のため、少なくとも 2 つの HSM を購入する必要があることに注意してください。購入後、HSM を有効化または初期化する必要はありません。