Key Management Service:リージョン間でキーを移行する

ソフトウェアキー管理タイプのKMSインスタンスのキー

移行先リージョンでソフトウェアキー管理タイプのKMSインスタンスを購入します。 次に、バックアップと復元を使用して、キーをターゲットリージョンに移行します。 次の例では、リージョンAのKMSインスタンスAのキーがリージョンBのKMSインスタンスBに移行されます。

1. リージョンBでKMSインスタンスBを作成および有効にします。詳細については、「KMSインスタンスの購入と有効化」をご参照ください。

2. リージョンAのKMSインスタンスAのデータをバックアップします。

   説明

   KMSは、各リージョンで1つのバックアップインスタンスを無料で提供します。 ソフトウェアキー管理タイプの1つのKMSインスタンスのデータをバックアップできます。 ソフトウェアキー管理タイプの複数のKMSインスタンスをバックアップする場合は、追加のバックアップインスタンスを購入する必要があります。

   1. KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups を選択します。

   2. Backups ページで、有効にするバックアップインスタンスを見つけ、Actions 列の Enable をクリックします。

   3. Enable Backup パネルで、Source Instance パラメーターにKMSインスタンスAを選択し、Backup Alias フィールドにカスタムエイリアスを入力し、[OK] をクリックします。

      説明

      データのバックアップには約5分かかります。 インスタンス内のリソースが多いほど、バックアップ時間が長くなります。

3. KMSインスタンスAのデータをKMSインスタンスBに復元します。

   • 中国本土でのデータ復元

     1. Backups ページに移動し、目的のバックアップインスタンスを見つけて、Actions 列の View Data をクリックします。

     2. Fully Backed up Keys タブで、移行するキーを選択し、ページ下部の Batch Restore をクリックします。

     3. Restore Data パネルで、リージョンBのKMSインスタンスBを選択し、[OK] をクリックします。

   • 国境を越えたデータの復元

     1. Backups ページに移動し、目的のバックアップインスタンスを見つけて、Actions 列の ダウンロード をクリックします。

     2. Backup Date パラメーターを設定し、OK をクリックします。 Encryption Key の横にあるアイコンをクリックして、暗号化キーをコンピューターに保存します。 Backup Data の横にある [ダウンロード] をクリックして、バックアップデータをダウンロードします。

     3. ページの上部で、リージョンBを選択します。Backups ページに移動し、Upload Backup をクリックします。

     4. Decryption Key と Backup Name (定義したバックアップエイリアス) に必要な情報を入力します。 OK をクリックします。 表示されるダイアログボックスで、アップロードするKMSインスタンスAのバックアップデータファイルを選択します。

     5. バックアップリストで、アップロードしたバックアップファイルを見つけ、Actions 列の View Data をクリックします。

     6. Fully Backed up Keys 、Incrementally Backed up Keys 、または Rotated Keys タブで、Actions 列の Restore Data をクリックし、Destination Instance パラメーターのデータを復元するインスタンスを選択し、[OK] をクリックします。

4. リージョンBのKMSインスタンスを呼び出すようにアプリケーションを変更します。

   API 操作	説明
   管理操作	Alibaba Cloud SDKを使用して、このような操作を実行できます。 エンドポイントをリージョンBのKMSエンドポイントに変更する必要があります。KMSエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。
   暗号化操作	KMSインスタンスSDKを使用して、このような操作を実行できます。 これを実現するには、クライアントキーファイルの内容やKMSインスタンスのCA証明書など、コード内のいくつかのパラメーター設定を置き換える必要があります。 KMSインスタンスBにアクセスするために、リージョンBにアプリケーションアクセスポイント (AAP) を作成します。詳細については、「AAPの作成」をご参照ください。 説明 AAPを作成したら、次のコンテンツを保存します。 Application Access Secret(ClientKeyContent): 既定では、Application Access Secret(ClientKeyContent) はclientKey_****.json形式でという名前のファイルに保存されます。 パスワード: デフォルトでは、パスワードはclientKey_****_Password.txt形式のファイルに保存されます。 KMSインスタンスのCA証明書: デフォルトでは、CA証明書はPrivateKmsCA_kst-******.pem形式のファイルにダウンロードされます。 コードを変更します。 KMSインスタンスSDKをKMSインスタンスBで初期化するためのパラメーター設定と、新しく作成されたクライアントキーファイルの内容を置き換えます。 たとえば、KMSインスタンスSDK For Javaを使用している場合、クライアントを作成するときに次の設定を変更する必要があります。 clientKeyFilePathまたはclientKeyContent: 値を新しいクライアントキーファイルのパスまたはコンテンツに置き換えます。 clientKeyPass: 新しく作成したクライアントキーファイルの値を新しいパスワードに置き換えます。 endpoint: kst-hzz659dfeee864za2 **** .cryptoservice.kms.aliyuncs.com形式のKMSインスタンスBのドメイン名に置き換えます。 caCertPathまたはcaCert: その値をKMSインスタンスBのCA証明書のパスまたは内容に置き換えます。

ハードウェアキー管理タイプのKMSインスタンスのキーとKMSインスタンスの外部のキー

KMSは、このようなキーの移行をサポートしません。 ソースリージョンのキーへの依存関係を解消するには、次のソリューションを使用します。

• 暗号化と復号化に使用されるキー (ENCRYPT/DECRYPT)

  このソリューションは、対称キーと非対称キーに適しています。

  1. ソースリージョンのキーを使用して生成されたすべてのデータ暗号文とデータキー暗号文を復号します。

  2. 復号化されたデータとデータキーの平文を宛先リージョンに移行します。

  3. ターゲットリージョンでKMSインスタンスを購入し、KMSインスタンスのキーを使用してデータを暗号化します。

     1. KMSインスタンスを購入して有効にします。 詳細については、「インスタンスの選択」および「KMSインスタンスの購入と有効化」をご参照ください。

     2. KMSインスタンスを使用して、自己管理アプリケーションのデータを暗号化します。 詳細については、「キーを使用したデータの暗号化と復号化」および「エンベロープ暗号化の使用」をご参照ください。

  4. ソースリージョンでキーを無効にし、キーが使用されなくなったことを確認した後、キーの削除をスケジュールします。 この操作をお勧めします。 詳細については、「キーの無効化」および「キーの削除のスケジュール」をご参照ください。

• 署名と検証に使用されるキー (SIGN/VERIFY)

  1. ソースリージョンで対応する顧客マスター鍵 (CMK) の公開鍵をダウンロードし、公開鍵が署名と検証に使用されなくなるまで保存します。

     KMSコンソールにログインし、公開鍵を取得します。

  2. ターゲットリージョンでKMSインスタンスを購入して有効にします。 詳細については、「インスタンスの選択」および「KMSインスタンスの購入と有効化」をご参照ください。

  3. KMSインスタンスでキーを作成します。 詳細については、「ソフトウェア保護キー」または「ハードウェア保護キー」をご参照ください。

  4. 署名と検証にKMSインスタンスSDKを使用します。 詳細については、「KMSインスタンスSDK」をご参照ください。

  5. ソースリージョンでキーを無効にし、キーが使用されなくなったことを確認した後、キーの削除をスケジュールします。 この操作をお勧めします。 詳細については、「キーの無効化」および「キーの削除のスケジュール」をご参照ください。