Key Management Service:シークレットの移行に関するよくある質問

移行をサポートするシークレットはどれですか?

すべてのタイプのシークレットが移行にサポートされています。 移行する前に、次のことに注意してください。

• KMS 3.0では、シークレットは単一リージョン内のAlibaba CloudアカウントとKMSインスタンスに固有です。 KMS 1.0に同じ名前のシークレットが複数ある場合、またはターゲットKMS 3.0インスタンスにすでに同じ名前のシークレットがある場合、移行はサポートされません。

• シークレットがカスタマーマスターキー (CMK) で暗号化されている場合は、まずCMKを移行する必要があります。 シークレットがシステム管理CMKによって暗号化されている場合、シークレットを直接移行できます。

シークレットを移行するときに暗号化キーを移行する必要がありますか?

はい。ただし、シークレットを移行する前にまず暗号化キーを移行する必要があります。

自動ローテーションを使用したシークレットは移行をサポートしますか?

はい。ただし、バージョンの一貫性を確保するには、移行前に自動ローテーションを無効にする必要があります。

シークレット名またはその他のデータは移行後に変更されますか?

いいえ、秘密の名前とその他のデータは変更されません。 KMSは、メタデータとシークレットのすべてのバージョン (シークレット名、ステータス、タグなど) を移行します。 このデータは移行後も変更されません。

移行プロセス中にシークレットを操作できますか?

いいえ、移行中はシークレットを操作できません。 移行プロセスは、管理とデータの分離を維持し、ビジネス運用を中断しないようにします。 移行中は、通常どおりシークレット値を取得できます。 ただし、データの一貫性の問題による移行の失敗を防ぐために、リソースの作成、変更、削除などの管理に関連する操作は、移行プロセス中にシークレットに対して実行できません。 そのため、オフピーク時に移行を実行することをお勧めします。

クロスリージョンシークレット移行はサポートされていますか?

いいえ、移行はクロスリージョンシークレットではサポートされていません。 最初に同じリージョン内のKMS 3.0インスタンスにシークレットを移行してから、バックアップ機能を使用して別のリージョンのKMS 3.0インスタンスにシークレットを転送できます。 詳細については、「ディザスタリカバリ」をご参照ください。