このトピックでは、KMS 1.0 インスタンスから KMS 3.0 インスタンスにリソースを移行する方法について説明します。
移行は同じリージョン内でのみサポートされます。複数のリージョンにリソースがある場合は、リージョンごとに KMS 3.0 インスタンスを購入し、各リージョンのリソースを個別に移行する必要があります。
1. 移行するリソースがあるかどうかを判断する
このメソッドでは、移行可能なキーのみが表示されます。移行できないキーについては、移行後に以前のコンソールで残りのキーを表示し、Alibaba Cloud テクニカルサポートに連絡して支援を求めてください。
以前の Key Management Service コンソールにログインします。左側のナビゲーションウィンドウで、[移行ツール] をクリックします。
[移行] ボタンが利用可能な場合、現在のリージョンに移行するキーまたは認証情報があることを示します。
重要データはリージョンごとに表示されます。リソースを見落とさないように、すべてのリージョンのデータを確認してください。
[未移行のキー]、[移行済みのキー]、[未移行の認証情報]、および [移行済みの認証情報] の各列の数字をクリックして、特定のキー ID と認証情報名を表示します。
2. 移行手順
一度に最大 50 個のキーと 50 個の認証情報を移行できます。リソースがそれ以上ある場合は、バッチで移行する必要があります。
単一アカウントの移行
移行先の KMS インスタンスを準備します。
KMS インスタンスを購入していない場合は、まずインスタンスを購入して有効化する必要があります。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。
KMS インスタンスの自動更新を有効にすることをお勧めします。これにより、インスタンスの有効期限が切れてリリースされた場合に発生する可能性のある復号の失敗を防ぎ、アプリケーションデータにアクセスできなくなる事態を回避できます。
すでにインスタンスをお持ちの場合は、そのイメージバージョンが移行の要件を満たしていることを確認してください。
ソフトウェアキー管理インスタンス: イメージバージョンが 2.9.0 より前の場合は、イメージを最新バージョンにアップグレードしてください。詳細については、「KMS インスタンスのイメージバージョンをアップグレードする」をご参照ください。
ハードウェアキー管理インスタンス: Alibaba Cloud テクニカルサポートに連絡して、イメージバージョンをアップグレードしてください。
古い Key Management Service コンソールにログインし、キーと認証情報のローテーションを無効にします。
説明ローテーションをバッチで無効にすることはできません。キーと認証情報ごとに個別にローテーションを無効にする必要があります。
左側のナビゲーションウィンドウで、[移行ツール] をクリックします。移行するリソースが含まれているリージョンを見つけ、[アクション] 列の [移行] をクリックします。[リソースの移行] タブで、構成を完了します。
構成項目
説明
インスタンスタイプ
移行先の KMS インスタンスのタイプ。
インスタンス
移行先の KMS インスタンスを選択し、デフォルトインスタンスとして設定します。
移行後、KMS インスタンスを指定せずに (KMS 1.0 コンソールで、または API 呼び出しで KMS インスタンス ID を提供せずに) リソースを作成すると、リソースは KMS 1.0 で作成され、移行対象としてマークされます。これを避けるには、移行中にデフォルトインスタンスを設定する必要があります。デフォルトインスタンスを設定すると、KMS インスタンスを指定せずに作成されたリソースは、自動的にそのデフォルトインスタンスに割り当てられます。
説明現在のリージョンにデフォルトインスタンスが設定されたことがない場合、移行先の KMS インスタンスを選択すると、[デフォルト 3.0 インスタンスとして設定] チェックボックスが自動的に選択されます。リージョンにすでにデフォルトインスタンスが設定されている場合、チェックボックスは自動的に選択されません。ただし、別の KMS インスタンスを選択すると、以前のデフォルト設定は自動的に上書きされます。
リージョンごとに設定できるデフォルトインスタンスは 1 つだけです。
移行方法
自動移行: 移行時間を選択します。指定した時間に移行が自動的に開始されます。
即時手動移行: 構成後すぐに移行が開始されます。
移行時間
これは、[自動移行] を選択した場合にのみ必要です。
移行するリソース
重要移行する前に、KMS インスタンスに十分なクォータがあることを確認して、移行の失敗を回避してください。
移行するリソースを手動で選択: リソースを手動で選択します。一度に最大 50 個のキーと 50 個の認証情報を選択できます。キー ID、キーエイリアス、および認証情報名でリソースをフィルタリングできます。
移行対象のすべてのキーと認証情報の完全移行: すべてのキーと認証情報を一度に移行します。
[移行に関する注意] をよく読み、[OK] をクリックします。次に、移行チェックリストを確認し、[移行] をクリックします。
[タスクステータス] 列で移行の進行状況を表示できます。移行が完了すると、[移行完了] メッセージが表示されます。
移行前にキーと認証情報で自動ローテーションが有効になっていた場合は、移行完了後にローテーションを再度有効にする必要があります。詳細については、「キーのローテーション」および「認証情報管理の概要」をご参照ください。
複数アカウントの移行
複数の Alibaba Cloud アカウントから単一の KMS インスタンスにリソースを移行するには、次の手順を実行します。
いずれかのアカウントで移行先の KMS インスタンスを準備します。
KMS インスタンスを購入していない場合は、まずインスタンスを購入して有効化する必要があります。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。
KMS インスタンスの自動更新を有効にすることをお勧めします。これにより、インスタンスの有効期限が切れてリリースされた場合に発生する可能性のある復号の失敗を防ぎ、アプリケーションデータにアクセスできなくなる事態を回避できます。
すでにインスタンスをお持ちの場合は、そのイメージバージョンが移行の要件を満たしていることを確認してください。
ソフトウェアキー管理インスタンス: イメージバージョンが 2.9.0 より前の場合は、イメージを最新バージョンにアップグレードしてください。詳細については、「KMS インスタンスのイメージバージョンをアップグレードする」をご参照ください。
ハードウェアキー管理インスタンス: Alibaba Cloud テクニカルサポートに連絡して、イメージバージョンをアップグレードしてください。
KMS インスタンスを他の Alibaba Cloud アカウントと共有します。詳細については、「複数のアカウント間で KMS インスタンスを共有する」のステップ 1 から 3 をご参照ください。
重要共有はリソースディレクトリ内でのみサポートされます。リソース所有者とプリンシパルは、ID 検証を完了した同じ企業に属している必要があります。
各 Alibaba Cloud アカウントにログインし、そのリソースを共有 KMS インスタンスに移行します。手順は、単一アカウントの移行と同じです。
3. 移行後の操作
移行後、KMS は移行されたキーと認証情報にデフォルトのポリシーを適用します。詳細については、「キーポリシーの概要」および「認証情報ポリシーの概要」をご参照ください。
新しいコンソールにログインして、移行されたリソースを表示および確認します。
サービスキー
[キー管理] ページに移動し、上部のメニューバーからリージョンを選択します。
[デフォルトキー] タブをクリックします。サービスキーがリストされていること、および [キーの用途] 列が [サービスキー] に設定されていることを確認します。
カスタマーマスターキー
[キー管理] ページに移動し、上部のメニューバーからリージョンを選択します。
[カスタマーマスターキー] タブをクリックし、移行されたカスタマーマスターキーが表示されていることを確認します。
認証情報
[認証情報管理] ページに移動し、上部のメニューバーからリージョンを選択します。
KMS インスタンスを選択し、移行された認証情報がリストされていることを確認します。
Terraform を使用して KMS リソースを管理する場合は、Terraform の構成を変更する必要があります。詳細については、「Terraform シナリオでの移行後の構成の変更」をご参照ください。
4. 移行のモニタリング
スムーズで、監視可能で、追跡可能なキー移行を確実にするために、移行前、移行中、移行後に共有ゲートウェイと専用ゲートウェイを監視する必要があります。CloudMonitor、Simple Log Service (SLS)、および ActionTrail を使用して、包括的なモニタリングを行うことができます。以下のセクションでは、主要な監視ポイントと推奨されるアクションについて説明します。
移行前: 共有ゲートウェイのダッシュボードを監視する
キーの移行が完了し、クライアントのエンドポイントを切り替える前は、すべての KMS リクエストは引き続き共有ゲートウェイによって処理されます。この段階では、共有ゲートウェイの安定性とパフォーマンスに焦点を当てる必要があります。
監視目標: 移行によって共有ゲートウェイに異常な負荷やエラーが発生しないことを確認します。
監視するメトリック:
リクエストレイテンシ: 大幅な増加がないか確認します。
エラーコードの分布 (4xx や 5xx など): 異常なエラーが急増していないことを確認します。
QPS/TPS の傾向: 移行前後のトラフィックを比較して、一貫性を確保します。これにより、不正な操作によるリクエストの急増や中断を防ぐことができます。
表示方法:
方法 1: 新しいコンソールにログインします。概要ページで、[共有ゲートウェイ] ダッシュボードのリクエストレイテンシやエラーコードなどのメトリックを確認します。
方法 2: CloudMonitor コンソールにログインします。[製品モニタリング] セクションで [Key Management Service (KMS)] を検索して、[共有ゲートウェイ] ダッシュボードを表示します。
説明比較の参照として使用するために、移行前にベースラインメトリックを記録します。
移行後: 共有ゲートウェイと専用ゲートウェイのダッシュボードを同時に監視する
エンドポイントの切り替え前: 共有ゲートウェイの監視を継続します。キーは専用インスタンスに移行されていますが、クライアントのエンドポイントを切り替えるまで、リクエストは引き続き共有ゲートウェイ経由でルーティングされます。共有ゲートウェイは、これらのリクエストをバックエンドの専用インスタンスに透過的に転送します。
エンドポイントの切り替え後: 共有ゲートウェイと専用ゲートウェイを同時に監視します。クライアントがエンドポイントの切り替えを完了すると、リクエストは専用ゲートウェイを介して専用インスタンスに直接アクセスします。この時点で、両方のゲートウェイを監視する必要があります:
ゲートウェイタイプ
主要な監視ポイント
表示方法
専用ゲートウェイ
エラーコード
リクエストレイテンシの変化
QPS が期待どおりか
CloudMonitor: KMS 専用ゲートウェイダッシュボード
共有ゲートウェイ
元のサービスからのリクエストが完全に切り替えられたか
残りのリクエストや異常な呼び出しがないか
対応するリージョンの共有ゲートウェイダッシュボードを監視する
説明異常を特定するための基準:
専用ゲートウェイが多数のスロットリングエラーを報告する場合、インスタンスタイプまたはスロットリングポリシーを調整する必要がある場合があります。
共有ゲートウェイが依然として高頻度のリクエストを受信している場合、一部のクライアントがエンドポイントの切り替えを完了していないことを示します。問題を調査する必要があります。
ログレベルの監視: SLS を使用して詳細なアクセスログを分析する
より詳細なリクエスト追跡と問題診断を実現するには、次のログ収集機能を有効にします:
専用ゲートウェイのアクセスログ:
専用ゲートウェイのログ分析付加価値サービス (VAS) を購入して、ログを Simple Log Service (SLS) に自動的に配信できます。
キー ID、Alibaba Cloud アカウント、API 操作、応答ステータスコードなどのフィールドでログをクエリおよび分析できます。
共有ゲートウェイの詳細なアクセスログ:
ActionTrail を有効にし、イベントトレースを指定された SLS Logstore に配信します。
EventName = "Decrypt"やResourceType = "KMS"などの条件でクエリを実行して、特定のリクエストの動作を分析します。ErrorCodeフィールドを使用して、権限の不足やキーが存在しないなどの障害の原因を特定します。
推奨されるモニタリング戦略
フェーズ
モニタリングの焦点
ツール
移行前
共有ゲートウェイの安定性
CloudMonitor ダッシュボード
スイッチオーバー中
リクエスト成功率、レイテンシの急激な変化
リアルタイムモニタリング + SLS アラート
移行後
専用ゲートウェイのヘルスステータス
専用ゲートウェイダッシュボード + SLS ログ
プロセス全体
異常なエラーコードの傾向
ActionTrail + SLS 集約分析