このトピックでは、共有バージョンのKey Management Service (KMS、KMS 1.0とも呼ばれます) からKMSインスタンス (KMS 3.0とも呼ばれます) にリソースを移行する手順について説明します。
移行するリソースをすばやく確認する
このメソッドは、移行をサポートするキーのみを表示します。 そうでない場合は、移行後に古いKMSコンソールで残りのキーを表示し、Alibaba Cloudテクニカルサポートに連絡してください。
古いKMSコンソールにログインし、左側のディレクトリにある [移行ツール] をクリックします。
移行が必要なリソースがあるかどうかを確認します。
[操作] 列の [移行] が有効になっている場合、対応するリージョンで移行に使用できるリソースがあることを示します。 [キーが移行されていない] 列と [秘密が移行されていない] 列の数字をクリックして、詳細を確認できます。 データはリージョンごとに表示されるため、すべてのリージョンを確認して、移行する可能性のあるすべてのリソースが表示されます。
リソースの移行
ビジネスが単一のAlibaba Cloudアカウントシナリオで運用されている場合は、「単一のAlibaba Cloudアカウント内でのリソースの移行」の移行手順を実行します。
ビジネスが複数のAlibaba Cloudアカウントで運営されている場合は、「複数のアカウントから単一のKMSインスタンスへのリソースの移行」の移行手順を実行します。
KMS 3.0インスタンスを準備するときは、クォータ不足による移行の失敗を防ぐために、十分なキーと秘密のクォータがあることを確認してください。
移行は同じリージョン内でのみサポートされます。 複数のリージョンにリソースがある場合は、各リージョンのKMS 3.0インスタンスを個別に購入し、リージョンごとに移行を実行します。
単一のAlibaba Cloudアカウント内でリソースを移行する
KMS 1.0リソースを含むAlibaba Cloudアカウントを使用して、ターゲットKMS 3.0インスタンスを準備します。
KMSインスタンスをまだ購入していない場合は、KMSインスタンスを購入して有効にします。
インスタンスの有効期限によるアプリケーションデータの復号化の失敗を回避するために、KMSインスタンスの自動更新を有効にすることを推奨します。
すでにインスタンスを有効にしている場合は、インスタンスのイメージバージョンが移行要件を満たしているかどうかを確認します。
ソフトウェアキー管理インスタンスの場合: イメージのバージョンが2.9.0未満の場合、最新バージョンにアップグレードします。
ハードウェアキー管理インスタンスの場合: アカウントマネージャーに連絡して、イメージバージョンをアップグレードしてください。
キーとシークレットの自動ローテーションが有効になっている場合は、古いKMSコンソールにログインし、自動ローテーションを無効にして、移行前にバージョンの一貫性を確保します。
キーの回転を無効にするには、「自動キー回転」をご参照ください。
シークレットのローテーションを無効にするには、「ダイナミックApsaraDB RDSシークレットの管理」、「ダイナミックRAMシークレットの管理」、または「ダイナミックECSシークレットの管理」をご参照ください。
説明キーとシークレットのローテーションを一括で無効にすることはできません。 ローテーションは、キーとシークレットごとに個別に無効にする必要があります。
左側のナビゲーションウィンドウで [移行ツール] を選択します。 移行するリソースが配置されているリージョンを見つけ、[操作] 列の [移行] をクリックし、[リソースの移行] パネルでパラメーターを設定します。
重要操作ごとに最大50個のキーと50個のシークレットを移行できます。 多くのリソースがある場合は、それらをバッチで移行します。
パラメーター
説明
タイプ
対象のKMSインスタンスタイプを選択します。
インスタンス
対象のKMSインスタンスを選択します。
移行方法
自動移行: 移行時間を設定します。 指定された時間に自動的にリソースが移行されます。
手動移行 (今すぐ開始): 設定完了後すぐにリソースが移行されます。
移行時間
このパラメーターは、[移行方法] を [自動移行] に設定した場合にのみ必要です。
リソース
手動でリソースを選択: 移行するキーとシークレットを手動で選択します。 合計で最大50個のキーとシークレットを選択できます。
Keys and Secrets: すべてのキーとシークレットを移行します。
移行手順を注意深く確認し、すべての項目を選択して、[OK] をクリックします。 移行チェックリストを確認したら、[移行] をクリックします。
移行の進行状況は、[タスクステータス] 列で監視できます。 移行が完了すると、[タスクステータス] は [完了] になります。 [完了] は、移行タスクが完了したことのみを示します。 [タスクステータス] 列の [結果] をクリックして、移行の詳細を確認します。
移行前にキーとシークレットの自動ローテーションが有効になっている場合は、移行後にローテーションを有効にします。 詳細については、「キーローテーション」および「シークレットローテーション」をご参照ください。
複数のアカウントから単一のKMSインスタンスへのリソースの移行
単一のAlibaba Cloudアカウントを使用して、ターゲットKMS 3.0インスタンスを準備します。
KMSインスタンスをまだ購入していない場合は、KMSインスタンスを購入して有効にします。
インスタンスの有効期限に起因するアプリケーションデータの復号化の失敗を回避するために、KMSインスタンスの自動更新を有効にすることを推奨します。
すでにインスタンスを有効にしている場合は、インスタンスのイメージバージョンが移行要件を満たしているかどうかを確認します。
ソフトウェアキー管理インスタンスの場合: イメージのバージョンが2.9.0未満の場合、最新バージョンにアップグレードします。
ハードウェアキー管理インスタンスの場合: アカウントマネージャーに連絡して、イメージバージョンをアップグレードしてください。
移行するリソースを含む他のAlibaba CloudアカウントとKMSインスタンスを共有します。 詳細については、「複数のAlibaba CloudアカウントでのKMSインスタンスの共有」の手順1 ~ 3をご参照ください。
重要KMS 3.0インスタンスは、リソースディレクトリ内でのみ共有できます。 プリンシパルは、KMS 3.0インスタンスのリソース所有者と同じエンタープライズエンティティに属している必要があります。 エンタープライズエンティティは、実名検証に合格する必要があります。
各アカウントのリソースをKMS 3.0インスタンスに移行します。
各アカウントにログインし、単一のAlibaba Cloudアカウント内でリソースを移行するの手順2 ~ 4を実行します。
リソースの確認
移行後、キーとシークレットのデフォルトポリシーが設定されます。 詳細については、「キーポリシー」および「シークレットポリシー」をご参照ください。
新しいKMSコンソールにログインし、移行したリソースを確認して確認します。
サービスキーを確認します。
左側のナビゲーションウィンドウで、キー管理 をクリックし、上部のナビゲーションバーでリージョンを選択します。
デフォルトキー タブをクリックします。 Key Usage 列で、移行されたService Keyを確認できます。
[Keys] タブに切り替えて、カスタマーマスターキーを確認します。
エイリアス、キーの仕様、目的など、移行されたカスタマーマスターキーに関する詳細情報を確認できます。
秘密を確認します。
左側のナビゲーションウィンドウで、[Secrets] をクリックし、KMSインスタンスを選択します。
名前やシークレットの種類など、移行されたシークレットに関する詳細情報を確認できます。
KMS 1.0がTerraform管理の場合、インスタンスID属性が追加されているため、Terraformの設定変更が必要です。 このような特殊文字が含まれていると、移行は失敗します。
詳細については、「Terraform-managed KMSの移行後の構成変更」をご参照ください。