翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチリージョンキーのレプリケーションプロセス
<a name="replicate-key-details"></a>

AWS KMS は、クロスリージョンレプリケーションメカニズムを使用して、KMS キーのキーマテリアルを の HSM から別の の HSM AWS リージョン にコピーします AWS リージョン。このメカニズムを機能させるには、レプリケートされる KMS キーがマルチリージョンキーである必要があります。KMS キーをあるリージョンから別のリージョンにレプリケートする場合、リージョン内の HSM は分離されたネットワーク内にあるため、直接通信できません。代わりに、クロスリージョンレプリケーション中に交換されるメッセージは、プロキシサービスによって配信されます。

クロスリージョンレプリケーション中、 AWS KMS HSM によって生成されたすべてのメッセージは、*レプリケーション署名キー*を使用して暗号で署名されます。レプリケーション署名キー (RSK) は、NIST P-384 曲線上の ECDSA キーです。各リージョンは少なくとも 1 つの RSK を所有し、各 RSK のパブリックコンポーネントは同じ AWS パーティション内の他のすべてのリージョンと共有されます。

リージョン A からリージョン B にキーマテリアルをコピーするクロスリージョンレプリケーションプロセスは、次のように機能します。

1. リージョン B の HSM は、NIST P-384 曲線上に一時的な ECDH キーを生成します。*Replication Agreement Key (レプリケーションアグリーメントキー) B* (RAKB) です。RAKB のパブリックコンポーネントは、プロキシサービスによってリージョン A の HSM に送信されます。

1. リージョン A の HSM は RAKB のパブリックコンポーネントを受け取り、NIST P-384 曲線上に別の一時的な ECDH キーを生成します。*Replication Agreement Key (レプリケーションアグリーメントキー) A* (RAKA) です。HSM は、RAKA と RAKB のパブリックコンポーネント上で ECDH キー確立スキームを実行し、出力から対称キーを導出します。*Replication Wrapping Key (レプリケーションラッピングキー)* (RWK) です。RWK は、レプリケートされるマルチリージョン KMS キーのキーマテリアルを暗号化するために使用されます。

1. RAKA のパブリックコンポーネントと RWK で暗号化されたキーマテリアルは、プロキシサービスを通じてリージョン B の HSM に送信されます。

1. リージョン B の HSM は、RAKA のパブリックコンポーネントと RWK を使用して暗号化されたキーマテリアルを受け取ります。HSM は、RAKB と RAKA のパブリックコンポーネント上で ECDH キー確立スキームを実行し RWK で派生します。

1. リージョン B の HSM は、RWK を使用してリージョン A のキーマテリアルを復号化します。