すべてのプロダクト
Search

このプロダクト

    Key Management Service:プライマリインスタンスのリソースの同期

    ドキュメントセンター

    Key Management Service:プライマリインスタンスのリソースの同期

    最終更新日:Jan 10, 2025

    プライマリ /セカンダリ展開またはアクティブな地理的冗長性のために複数のリージョンにアプリケーションを展開する場合は、Key Management Service (KMS) のリージョン間リソース同期機能を使用してビジネスの継続性を維持することを推奨します。 この場合、プライマリリージョンの1つのプライマリインスタンスとセカンダリリージョンのレプリカインスタンスを含むKMSインスタンスを購入し、インスタンス間でリソース同期を実行する必要があります。 このトピックでは、プライマリインスタンスのリソースを同期する方法について説明します。

    重要

    If you want to use advanced features such as bring your own key (BYOK), cross-region synchronization, and monitoring, submit a ticket to confirm the time when your instance image is upgraded to the latest version. メッセージがKMSコンソールに表示されます。 詳細については、「Contact us」をご参照ください。

    働くメカニズム

    KMSインスタンスは、数分以内にリソース同期を可能にするクロスリージョンリソース同期機能をサポートしています。 KMSインスタンスのクロスリージョンリソース同期機能を有効にすると、暗号化にKMSインスタンスのキーを使用するアプリケーションは、アクティブな地理的冗長性を実現できます。 プライマリリージョンのアプリケーションは、プライマリKMSインスタンスにアクセスして暗号化操作を実行します。 ディザスタリカバリシナリオでは、セカンダリリージョンのアプリケーションがレプリカKMSインスタンスにアクセスして暗号化操作を実行します。 詳細は以下の図をご参照ください。

    image
    説明

    KMSは、プライマリインスタンスとレプリカインスタンス間のキーの同期をサポートしています。 KMSはビジネスデータの同期をサポートしておらず、個別の計画と処理が必要です。

    制限事項

    • サポートされているインスタンスタイプ: サブスクリプション課金方法を使用するソフトウェアキー管理タイプのKMSインスタンスのみが、クロスリージョンリソース同期機能をサポートしています。

    • レプリカインスタンスの制限:

      • 数量: プライマリインスタンスを最大3つのレプリカインスタンスに関連付けることができます。

      • リージョン: プライマリインスタンスとすべてのレプリカインスタンスが同じリージョンに存在することはできません。

      • リソース: レプリカインスタンスにはキーまたはシークレットが存在しません。 レプリカインスタンスにキーまたはシークレットが存在する場合、レプリカインスタンスをプライマリインスタンスに関連付けることはできません。

      • クォータ: レプリカインスタンスのキーのクォータとシークレットのクォータは、プライマリインスタンスのクォータ以上である必要があります。

    • クロスボーダー制限: クロスボーダー同期はサポートされていません。 プライマリインスタンスが中国本土のリージョンにある場合、レプリカインスタンスも中国本土のリージョンにある必要があります。

    リソース同期の説明

    • サポートされているリソース: キーのみ同期できます。 シークレットは同期できません。

      キーID、キーバージョン、キーマテリアル、キーステータス、および削除保護ステータスが同期されます。 キーポリシー、キーエイリアス、およびキータグは同期されません。

      重要

      • KMSインスタンスのクロスリージョンリソース同期機能を有効にし、KMSインスタンスのキーを回転させると、KMSは作成したキーバージョンを関連するレプリカインスタンスに同期し、そのキーバージョンをプライマリインスタンスとレプリカインスタンスのプライマリキーバージョンとして設定します。 このプロセスにより、自動キーローテーション中にすべての暗号化データを復号できます。

      • KMSがキーを同期するとき、キーポリシーは同期されません。 Alibaba Cloud SDKを使用して暗号化操作を実行する場合、プライマリインスタンスのキーポリシーを表示する必要があります。 カスタムポリシーが設定されている場合は、関連付けられているレプリカインスタンスで同じカスタムポリシーを設定する必要があります。 これにより、アプリケーションにレプリカインスタンスのキーにアクセスする権限がないという問題が発生しなくなります。 詳細については、「View a key policy」および「Configure a key policy」をご参照ください。

    • 同期サイクル: レプリカインスタンスをプライマリインスタンスに関連付けると、同期が実行され、完了するまでに3分から5分かかります。 その後の同期は毎分行われる。

    • 同期ポリシー: 同期中に、レプリカインスタンスにプライマリインスタンスのキーと同じIDのキーが含まれている場合、KMSはキーをスキップし、残りのキーの同期に進みます。 同期結果で同期が成功したかどうかを確認できます。

    手順

    1. レプリカインスタンスを購入します。 詳細については、「KMSインスタンスの購入」をご参照ください。

    2. プライマリインスタンスとレプリカインスタンスを有効にします。 詳細については、「KMSインスタンスの有効化」をご参照ください。

    3. レプリカインスタンスをプライマリインスタンスに関連付けます。

      1. Cross-region Synchronization ページで、Add Replica Instance をクリックします。

      2. プライマリインスタンスとレプリカインスタンスを選択し、次へ をクリックします。

      3. リソース同期タイプを選択し、次へ をクリックします。

        同期タイプ

        説明

        1. フル同期

        プライマリインスタンスの既存のキーのみが同期されます。 同期後に作成されたキーは同期されません。

        たとえば、プライマリインスタンスに10個のキーがある場合、10個のキーのみが同期されます。 キーに対するその後の変更も同期される。

        2. 増分キー同期

        プライマリインスタンスの既存のキーは同期されません。 同期後に作成されるキーは同期されます。

        3. 選択したリソースの同期

        選択したキーのみが同期されます。 キーに対するその後の変更も同期される。

        1と2、または2と3を同時に選択できますが、1と3を同時に選択することはできません。

    4. 設定を確認し、[OK] をクリックします。

      約3〜5分待ちます。 同期が完了すると、プライマリインスタンスのステータスは [同期済み100%] になります。 その後の同期は毎分行われる。image

    次に何をすべきか

    アクセス資格情報を作成します。 次に、プライマリリージョンとセカンダリリージョンのアプリケーションは、プライマリインスタンスとレプリカインスタンスのキーを使用して暗号化操作を実行できます。 詳細については、「SDKリファレンス」をご参照ください。

    • Alibaba Cloud SDKを使用する場合、1つのアクセス資格情報を作成するだけで済みます。 アクセス資格情報は、信頼できるエンティティがAlibaba CloudサービスであるResource access Management (RAM) ロールのみをサポートします。

    • KMSインスタンスSDKを使用する場合は、プライマリインスタンスと各レプリカインスタンスのアクセス資格情報を作成する必要があります。 アクセス資格情報は、アプリケーションアクセスポイント (AAP) のクライアントキーのみをサポートします。 詳細については、「AAPの作成」をご参照ください。