KMS キーとシークレットのバックアップ - Key Management Service

Key Management Service (KMS) では、キーとシークレットをバックアップおよび復元できます。これにより、誤って削除したり、災害が発生した場合に迅速に復旧できます。このトピックでは、この方法について説明します。

警告

キーとシークレットをバックアップしない場合、またはバックアップの有効期限が切れた場合は、キーとシークレットの有効期限が切れて削除された後、これらのリソースは回復不能になります。定期的なバックアップは、業務継続性を確保するために不可欠です。

サポートされているインスタンスタイプ

ソフトウェアキー管理インスタンスのみがバックアップをサポートしています。
バックアップ機能を使用できない場合は、最初にインスタンスのイメージバージョンをアップグレードしてください。詳細については、「KMS インスタンスのイメージバージョンをアップグレードする」をご参照ください。
ハードウェアキー管理インスタンスはバックアップをサポートしていませんが、ハードウェア保護キーは、HSM バックアップ機能を使用して一部のデータをバックアップできます。ハードウェア保護キーは、キーマテリアル（暗号鍵）とキーメタデータで構成されています。
- キーマテリアルとは、ハードウェア保護キーから HSM にマップされたキーを指します。 HSM バックアップ機能を使用してキーマテリアルをバックアップできます。詳細については、「データのバックアップと復元」をご参照ください。
- キーメタデータとは、キー ID、キーが属する KMS インスタンス、Alibaba Cloud リソースネーム (ARN)、キーポリシーなど、KMS に保存されているビジネスデータ情報を指します。キーメタデータはバックアップをサポートしていません。

シナリオ

インスタンスがリリースされた後、ソフトウェアキー管理インスタンスを復元します。
誤って削除されたキーまたはシークレットを回復します。
ディザスタリカバリまたはレイテンシの最適化のために、リージョン間でキーまたはシークレットをコピーします。

機能

各 KMS バックアップは、1 つのソフトウェアキー管理インスタンスのデータをバックアップできます。

KMS は、次のバックアップタイプをサポートしています。

自動バックアップ：2024 年 4 月 26 日 00:00 以降に作成されたソフトウェアキー管理インスタンスに対してのみ、デフォルトで有効になっています。 [バックアップタイプ] は System Created です。
このタイプのバックアップを優先することをお勧めします。ニーズを満たしていない場合は、手動バックアップを使用してバックアップを購入できます。
手動バックアップ：無料のデフォルトバックアップ（ [バックアップタイプ]：デフォルト）と購入したバックアップ（ [バックアップタイプ]：有料）をサポートしています。 KMS は、各 Alibaba Cloud アカウントの各リージョンに無料のデフォルトバックアップを提供します。手動バックアップを使用するには、最初に有効にする必要があります。

機能	自動バックアップ	手動バックアップ（デフォルト）	手動バックアップ（購入済み）
料金	無料。	無料。	有料。
保存期間	関連付けられているインスタンスがリリースされてから 90 日後。	永続的に有効。	購入済みバックアップの有効期限が切れてから 15 日後。バックアップ保存期間の延長バックアップの有効期限が切れた後は、操作はサポートされていません。引き続き使用するには、有効期限が切れる前に更新してください。更新料金は、同じ仕様の新しいバックアップのコストと一致します。
手動削除	サポートされていません。	リセットすることでサポートされています。	リセットすることでサポートされています。
表示可能な日数定義表示できるバックアップデータの直近の日数。購入済みバックアップの場合、購入時に 50 日を選択した場合、直近の 50 日間のみを表示できます。古いデータを表示するには、表示可能な日数を延長する必要があります。	90 日間で、延長不可。	7 日間で、延長不可。	購入時に 7 ～ 600 日を選択可能。延長はサポートされていますが、スペックダウンはサポートされていません。
毎日のバックアップ時間	初めてバックアップを有効にすると、完全バックアップが実行されます。その後、毎日 00:00 に完全バックアップが実行され、5 分ごとに増分バックアップが実行されます。

説明

ベストプラクティス：キーのローテーションとディザスタリカバリの要件に基づいて、購入済みバックアップの表示可能な日数を選択してください。これにより、ストレージコストを最小限に抑えながら、必要なデータを保持できます。

自動バックアップ

2024 年 4 月 26 日以降に有効化されたソフトウェアキー管理インスタンスは、KMS によって自動的にバックアップされます。このバックアップデータを表示するには、Backups ページに移動します。次に、Backup Type：System Created と Backup Object がインスタンスと一致するバックアップを見つけます。

手動バックアップ

KMS コンソールにログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups を選択します。

（オプション）バックアップを購入します。

無料のデフォルトバックアップを使用する場合は、この手順をスキップしてください。

Backups ページで、Create Backup をクリックし、パラメータを設定して、[今すぐ購入] をクリックします。

パラメータ	説明
インスタンスタイプ	[付加価値プラン] を選択します。
付加価値プラン	購入するプラン。[インスタンスバックアップ] を選択します。
リージョン	バックアップするソフトウェアキー管理インスタンスのリージョン。
表示可能な日数	表示できるバックアップデータの直近の日数。
購入数量	購入するバックアップの数。各バックアップには、単一のソフトウェアキー管理インスタンスのデータが含まれます。
期間	バックアップのサブスクリプション期間。

[注文の確認] ページで、[サービス規約] を読んで選択します。[支払]. をクリックし、支払いを完了します。

バックアップを有効にします。

Backups ページで、ターゲットバックアップを見つけて、Actions 列の Enable をクリックします。

Enable Backup パネルで、パラメータを設定し、[OK] をクリックします。

パラメータ	説明
Instance Type	バックアップするインスタンスのタイプ。値はソフトウェアキー管理に固定されています。
Source Instance	バックアップするソフトウェアキー管理インスタンス。
Data Type	バックアップするデータのタイプ。[キー] と [シークレット] がデフォルトで選択されています。値を変更することはできません。
Backup Alias	バックアップのエイリアス。

初めてバックアップを有効にすると、完全バックアップが実行されます。その後、毎日 00:00 に完全バックアップが実行され、5 分ごとに増分バックアップが実行されます。

オプション。バックアップデータを表示します。

ターゲットバックアップを見つけて、Actions 列の [詳細] をクリックします。表示されるページで、日付を選択して、その日のバックアップデータを表示します。

バックアップデータタイプ	説明
Fully Backed up Keys	選択した日付の 00:00 に完全にバックアップされたキー。
Incrementally Backed up Keys	選択した日付に作成されたキー。
Rotated Keys	選択した日付にローテーションされたキー。
Fully Backed up Secrets	選択した日付の 00:00 に完全にバックアップされたシークレット。
Incrementally Backed up Secrets	選択した日付に作成されたシークレット。
Rotated Secrets	選択した日付にローテーションされたシークレット。

データの復元

データの復元は、同じ Alibaba Cloud アカウント内のソフトウェアキー管理インスタンスに対してのみサポートされています。宛先インスタンスは、次の要件を満たしている必要があります。

宛先インスタンスに十分なキーまたはシークレットクォータがあります。
復元するキーまたはシークレットが、宛先インスタンスのリージョンに存在しません。存在する場合は、復元する前に既存のキーまたはシークレットを削除してください。
シークレットを復元する場合は、宛先インスタンスに暗号鍵が存在することを確認してください。

キーとシークレットの復元ルールは、アカウントのシナリオによって異なります。

単一アカウント
キーとシークレットは、現在の Alibaba Cloud アカウント内の任意のソフトウェアキー管理インスタンスに復元できます。
複数アカウント共有
リソース所有者のみがバックアップと復元操作を実行できます。たとえば、Alibaba Cloud アカウント A が KMS インスタンス M を Alibaba Cloud アカウント B と共有している場合：
- リソース所有者（アカウント A）は、自分のキーとシークレットを自分のソフトウェアキー管理インスタンスのいずれかに復元できます。
- プリンシパル（アカウント B）は、共有インスタンスにのみ復元できます。
  つまり、インスタンス M で B によって作成されたキーとシークレットは、インスタンス M にのみ復元でき、復元後は A と B の両方で使用できます。
- 共有が終了すると、プリンシパルのリソースは復元できません。

KMS コンソールにログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups を選択します。
ターゲットバックアップを見つけて、Actions 列の [詳細] をクリックします。
購入済みバックアップの場合、表示可能な日数を延長して、現在の範囲外のデータを復元します。バックアップ機能が有効になる前のデータは復元できません。たとえば、2024 年 5 月 1 日からバックアップを有効にし、表示期間を 10 日間に設定した場合、5 月 20 日に期間を 16 日間に延長すると、5 月 5 日から 5 月 20 日までのデータを復元できます。
表示されるページで、データを復元するデータタイプと日付を選択し、Actions 列の [データの復元] をクリックします。
キーの復元：
1. Fully Backed up Keys などの必要なキタイプをクリックし、ターゲットバックアップを見つけて、Actions 列の Restore Data をクリックします。
2. Restore Data パネルで、データを復元する宛先インスタンスを選択し、[OK] をクリックします。
シークレットの復元：
1. シークレットの暗号化に使用されるキーを復元します。
  シークレットを復元する場合、それを暗号化するために使用されたキーが宛先インスタンスに存在する必要があります。存在する場合は、この手順をスキップしてください。
  1. Fully Backed up Keys などの必要なキタイプをクリックし、ターゲットバックアップを見つけて、Actions 列の Restore Data をクリックします。
  2. Restore Data パネルで、データを復元する宛先インスタンスを選択し、[OK] をクリックします。
2. シークレットを復元します。
  1. Fully Backed up Secrets などの必要なシークレットタイプをクリックし、ターゲットシークレットを見つけて、Actions 列の Restore Data をクリックします。
  2. Restore Data パネルで、データを復元する宛先インスタンスを選択し、[OK] をクリックします。

その他の操作

クエリ可能な範囲の延長

購入済みバックアップの場合のみ、クエリ可能な範囲を延長できます。縮小することはできません。

KMS コンソールにログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups を選択します。
必要なバックアップを見つけて、Actions 列の [詳細] をクリックします。
バックアップの詳細ページで、Extend Queryable Range をクリックし、クエリ可能な範囲を延長する日数を選択します。[今すぐ購入] をクリックして支払いを完了します。

バックアップのリセット

無料のデフォルトバックアップと購入済みバックアップのみをリセットできます。バックアップをリセットすると、そのデータが削除され、ソース KMS インスタンスとの関連付けが解除されます。

警告

バックアップをリセットすると、インスタンスによってバックアップされたすべてのデータが削除されます。注意して進めてください。

KMS コンソールにログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups を選択します。
ターゲットバックアップを見つけて、Actions 列の Reset をクリックします。
Reset メッセージで、情報を確認し、[リセット] をクリックします。
バックアップをリセットすると、バックアップは無効状態になります。バックアップを新しいソフトウェアキー管理インスタンスに関連付けることができます。

バックアップの更新

購入済みバックアップのみを更新できます。

KMS コンソールにログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups を選択します。
ターゲットバックアップを見つけて、Actions 列の Renew をクリックします。
Renew ページで、サブスクリプション期間を設定し、[サービス規約] を読んで選択します。[今すぐ購入] をクリックして支払いを完了します。

バックアップデータのダウンロード

重要

バックアップデータをダウンロードしたら、機密を保持してください。バックアップデータは、KMS コンソールでデータを復元するためにのみ使用できます。

KMS コンソールにログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Disaster Recovery > Backups を選択します。
ターゲットバックアップを見つけて、Actions 列の ダウンロード をクリックします。
Download ダイアログボックスで、Backup Date を設定し、[ダウンロード] をクリックします。
必要なバックアップデータの日付が [クエリ可能な範囲] に含まれていない場合は、クエリ可能な範囲を延長してからデータをダウンロードしてください。
バックアップデータを保存します。
- アイコンをクリックして、Encryption Key の横にあるアイコンをクリックして、暗号鍵をコピーし、ローカルに保存します。
- Backup Data の横にある Download をクリックして、バックアップデータをダウンロードします。バックアップデータの機密を保持してください。
重要
暗号鍵は、ダウンロードしたバックアップデータを復号化するために使用されます。KMS は [暗号鍵] または [バックアップデータ] を保存しません。暗号鍵とバックアップデータの機密を保持してください。

バックアップデータファイルのアップロード

重要

バックアップデータファイルを国境を越えてアップロードする場合は、データに関する関連法規を遵守する必要があります。

Backups ページで、Upload Backup をクリックします。
Import Backup Data パネルで、Decryption Key と Backup Name を設定し、OK をクリックします。
表示されるダイアログボックスで、アップロードするバックアップデータファイルを選択し、[開く] をクリックします。
バックアップデータファイルをアップロードした後、Backups ページでアップロードされたデータを表示できます。アップロードされたデータの Backup Type は Upload です。

FAQ

クエリ可能な範囲を表示するにはどうすればよいですか？

Backups ページで Queryable Range の値を表示できます。

image..png

Key Management Service:バックアップ管理