Key Management Service:リージョン間でのキー移行

ソフトウェアベースの KMS インスタンス内のキー

ソースインスタンスからバックアップを行い、ターゲットリージョンの新しいインスタンスに復元することでキーを移行します。本ガイドでは、リージョン A のインスタンス A からリージョン B のインスタンス B へのキー移行を例として説明します。

1. リージョン B でインスタンス B を作成し、有効化します。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。

2. リージョン A で、インスタンス A からデータをバックアップします。

   説明

   各リージョンには無料のバックアップインスタンスが 1 つ含まれており、これを使用して 1 つのソフトウェアベースの KMS インスタンスのデータをバックアップできます。複数のソフトウェアベースの KMS インスタンスをバックアップする場合は、追加のバックアップインスタンスを購入する必要があります。

   1. Key Management Service コンソール にログインします。上部のメニューバーからリージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups をクリックします。

   2. Backups ページで、バックアップインスタンスを見つけ、Actions 列の Enable をクリックします。

   3. Enable Backup ダイアログボックスで、Source Instance にインスタンス A を選択し、Backup Alias に任意のエイリアスを入力して、OK をクリックします。

      説明

      バックアッププロセスには約 5 分かかります。バックアップの持続時間は、インスタンス内のリソース数によって異なります。

3. インスタンス A のデータをインスタンス B に復元します。

   • 同一国内でのデータ復元

     1. 上部のナビゲーションバーでリージョン A を選択します。Backups ページで、バックアップインスタンスを見つけ、Actions 列の View Data をクリックします。

     2. Fully Backed up Keys タブで、移行するキーを選択し、ページ下部の Batch Restore をクリックします。

     3. Restore Data パネルで、送信先としてリージョン B のインスタンス B を選択し、OK をクリックします。

   • 国境を越えたデータ復元

     1. 上部のナビゲーションバーでリージョン A を選択します。Backups ページで、バックアップインスタンスを見つけ、Actions 列の ダウンロード をクリックします。

     2. Backup Date を選択し、OK をクリックします。Encryption Key を保存し、Backup Data ファイルをダウンロードします。

     3. 上部のナビゲーションバーでリージョン B を選択します。Backups ページで、Upload Backup をクリックします。

     4. Decryption Key および Backup Name（任意のエイリアス）を入力し、OK をクリックして、インスタンス A のバックアップファイルをアップロードします。

     5. バックアップリストで、アップロードしたバックアップを見つけ、Actions 列の View Data をクリックします。

     6. Fully Backed up Keys、Incrementally Backed up Keys、または Rotated Keys タブで、Actions 列の Restore Data をクリックし、Destination Instance を選択して、OK をクリックします。

4. ご利用のアプリケーションを変更し、リージョン B の KMS インスタンスを呼び出すようにします。

   操作タイプ	説明
   コントロールプレーン操作	Alibaba Cloud SDK を使用している場合、エンドポイントをリージョン B の KMS サービスエンドポイントに変更します。KMS サービスエンドポイントの詳細については、「リージョンとゾーン」をご参照ください。
   暗号化操作	KMS Instance SDK を使用している場合、コード内の ClientKey、インスタンスの CA 証明書、その他のパラメーターを置き換えます。 リージョン B で、インスタンス B にアクセスするためのアプリケーションアクセスポイント (AAP) を作成します。詳細については、「AAP の作成」をご参照ください。 説明 AAP を作成後、以下の情報を保存してください。 ClientKey ファイル：アプリケーション認証情報 (ClientKeyContent) の内容。デフォルトのファイル名は clientKey_****.json です。 ClientKey パスワード：認証情報のパスワード (ClientKeyPassword)。デフォルトのファイル名は clientKey_****_Password.txt です。 KMS インスタンスの CA 証明書：ファイル名のデフォルトは PrivateKmsCA_kst-******.pem です。 コードを変更します。 KMS Instance SDK の初期化パラメーターを更新し、インスタンス B および新しい ClientKey を使用するようにします。たとえば、KMS Instance SDK for Java を使用している場合、クライアントの初期化時に以下のパラメーターを変更します。 clientKeyFilePath または clientKeyContent：値を新しい ClientKey ファイルのパスまたは内容に置き換えます。 clientKeyPass：値を新しい ClientKey パスワードに置き換えます。 endpoint：値をインスタンス B のドメイン名（例：kst-hzz659dfeee864za2****.cryptoservice.kms.aliyuncs.com）に置き換えます。 caCertPath または caCert：値をインスタンス B の CA 証明書のパスまたは内容に置き換えます。

ハードウェア KMS インスタンス内のキーおよびインスタンス外のキー

KMS はこれらのキーの直接移行をサポートしていません。以下の方法を使用して、ソースリージョンのキーへの依存関係を解消してください。

• 暗号化および復号 (ENCRYPT/DECRYPT) に使用されるキーの場合

  対称キーおよび非対称キーの両方で手順は同様です。

  1. ソースリージョンで、元のキーを使用してすべての暗号文および暗号化されたデータキーを復号します。

  2. プレーンテキストのデータおよびプレーンテキストのデータキーをターゲットリージョンに移行します。

  3. ターゲットリージョンで KMS インスタンスを購入し、インスタンス内のキーを使用してデータを再暗号化します。

     1. KMS インスタンスを購入して有効化します。詳細については、「インスタンスの選択」および「KMS インスタンスの購入と有効化」をご参照ください。

     2. KMS インスタンスを使用してセルフマネージドアプリケーション内のデータを暗号化します。詳細については、「KMS キーを使用したオンラインでのデータの暗号化および復号」および「エンベロープ暗号化」をご参照ください。

  4. 元のキーが利用中でないことを確認した後、まずソースリージョンでキーを無効化し、その後削除をスケジュールします。詳細については、「キーの無効化」および「キーの削除スケジュール」をご参照ください。

• 署名および検証 (SIGN/VERIFY) に使用されるキーの場合

  1. ソースリージョンで、カスタマーマスターキー (CMK) の公開鍵をダウンロードします。署名検証に必要な期間は、このキーを保持してください。

     KMS コンソール にログインし、次の図のように公開鍵を表示して保存します。

  2. ターゲットリージョンで KMS インスタンスを購入して有効化します。詳細については、「インスタンスの選択」および「KMS インスタンスの購入と有効化」をご参照ください。

  3. 新しい KMS インスタンス内にキーを作成します。詳細については、「ソフトウェア保護キー」または「ハードウェア保護キー」をご参照ください。

  4. KMS Instance SDK を使用して署名および検証を行います。詳細については、「KMS Instance SDK」をご参照ください。

  5. 元のキーが利用中でないことを確認した後、まずソースリージョンでキーを無効化し、その後削除をスケジュールします。詳細については、「キーの無効化」および「キーの削除スケジュール」をご参照ください。