翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # マルチリージョンキーの仕組み まず、米国東部 (バージニア北部) など、 が AWS KMS サポート AWS リージョン する で対称または非対称[マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)を作成します。キーを単一リージョンにするか、マルチリージョンにするかは、作成時にのみ決定できます。このプロパティは後で変更できません。KMS キーと同様に、マルチリージョンキーのキーポリシーを設定することで、グラントを作成したり、分類と認可用のエイリアスとタグを追加したりできます。(これらは、他のキーと共有または同期されない[独立したプロパティ](multi-region-keys-overview.md#mrk-sync-properties)です)。暗号化または署名の暗号化オペレーションで、マルチリージョンのプライマリキーを使用できます。 マルチ[リージョンのプライマリキーは、コンソールで作成することも、 パラメータを に設定して CreateKey API を使用して作成](create-primary-keys.md)することもできます`true`。 AWS KMS [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) `MultiRegion` マルチリージョンキーには `mrk-` で始まる固有のキー ID があります。`mrk-` プレフィックスを使用して、プログラムで MRK を識別できます。 ![](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/multi-region-primary-key.png) 選択すると、マルチリージョンのプライマリキーを、欧州 (アイルランド) など、同じ[AWS パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) AWS リージョン 内の 1 つ以上の異なる に[レプリケー](multi-region-keys-overview.md#replicate)トできます。これを行うと、 はプライマリ[キーと同じキー ID と他の共有プロパティを使用して、指定されたリージョンにレプリカ](multi-region-keys-overview.md#mrk-replica-key)キー AWS KMS を作成します。 [共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)結果として、2 つの*関連する*マルチリージョンキーが作成されます (プライマリキーとレプリカキー)。これらは相互に使用することができます。 [マルチリージョンレプリカキーは、コンソールまたは ReplicateKey API を使用して作成](multi-region-keys-replicate.md)できます。 AWS KMS [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) ![](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/multi-region-replica-key.png) 作成された[マルチリージョンレプリカキー](multi-region-keys-overview.md#mrk-replica-key)は、完全に機能する KMS キーで、プライマリキーと同じ[共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)を備えています。それ以外の点では、独自の説明、キーポリシー、グラント、エイリアス、タグを持つ独立した KMS キーです。マルチリージョンキーを有効または無効にしても、関連するマルチリージョンキーには影響しません。プライマリキーとレプリカキーは、暗号化オペレーションで個別に使用することも、連携させて使用することもできます。例えば、米国東部 (バージニア北部) リージョンのプライマリキーを使用してデータを暗号化し、欧州 (アイルランド) リージョンにデータを移動し、レプリカキーを使用してデータを復号できます。 関連するマルチリージョンキーは同じキー ID を持ちます。キー ARN (Amazon リソースネーム) は、リージョンフィールドでのみ異なります。例えば、マルチリージョンのプライマリキーとレプリカキーには、次のキー ARN があります。キー ID (キー ARN の最後の要素) は同一です。両方のキーには、**mrk-** で始まる、マルチリージョンキー固有のキー ID があります。 ``` Primary key: arn:aws:kms:{{us-east-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:{{eu-west-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab ``` 相互運用性のために、同じキー ID が必要です。暗号化時に、 は KMS キーのキー ID を暗号文に AWS KMS バインドするため、暗号文は、その KMS キーまたは同じキー ID を持つ KMS キーでのみ復号できます。この機能により、関連するマルチリージョンキーが認識しやすくなり、相互に使用しやすくなります。例えば、アプリケーションで使用する場合は、共有キー ID で関連するマルチリージョンキーを参照できます。次に、必要に応じて、リージョンまたは ARN を指定して、それらを区別します。 データのニーズの変化に応じて、米国西部 (オレゴン) やアジアパシフィック (シドニー) など、同じパーティション AWS リージョン 内の他の にプライマリキーをレプリケートできます。結果は、次の図表に示された、同じキーマテリアルとキー ID を持つ 4 つの*関連する*マルチリージョンキーとなります。キーは個別に管理します。キーマテリアルがインポートされたマルチリージョンキーの場合、キーマテリアルを関連する各キーに個別にインポートする責任があります。キーは独立して使用することも、連携させて使用することもできます。例えば、アジアパシフィック (シドニー) でレプリカキーを使用してデータを暗号化し、データを米国西部 (オレゴン) に移動して、米国西部 (オレゴン) でレプリカキーを使用して復号できます。 ![マルチリージョンキーのプライマリキーとレプリカキー](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/multi-region-keys.png) マルチリージョンキーに関するその他の考慮事項は次のとおりです。 *共有プロパティの同期* — マルチリージョンキー[の共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)が変更された場合、 は[プライマリキー](multi-region-keys-overview.md#mrk-primary-key)からすべての[レプリカキー](multi-region-keys-overview.md#mrk-replica-key)に変更 AWS KMS を自動的に同期します。共有プロパティの同期をリクエストまたは強制することはできません。 はすべての変更 AWS KMS を検出して同期します。ただし、CloudTrail ログの [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) イベントを使用して、同期を監査することができます。 たとえば、オ`AWS_KMS`リジンを持つ対称マルチリージョンプライマリキーで自動キーローテーションを有効にすると、 はその設定をすべてのレプリカキー AWS KMS にコピーします。キーマテリアルをローテーションすると、関連するすべてのマルチリージョンキー間でローテーションが同期されます。これにより、マルチリージョンキーは引き続き現在と同じキーマテリアルを持ち、古いバージョンのキーマテリアルすべてにアクセスできます。新しいレプリカキーを作成すると、そのキーマテリアルは、関連するすべてのマルチリージョンキーの現在のキーマテリアルと同じになり、以前のバージョンのキーマテリアルすべてにアクセスできます。詳細については、「[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)」を参照してください。 *プライマリキーの変更* — マルチリージョンキーのすべてのセットには、プライマリキーが 1 つだけ必要です。[プライマリキー](multi-region-keys-overview.md#mrk-primary-key)はレプリケートできる唯一のキーです。また、レプリカキーの共有プロパティのソースでもあります。ただし、プライマリキーをレプリカに変更し、レプリカキーの 1 つをプライマリに昇格させることができます。これにより、特定のリージョンから複数リージョンのプライマリキーを削除したり、プロジェクト管理者の近くにあるリージョンでプライマリキーを検索したりできます。詳細については、「[マルチリージョンキーセットのプライマリキーを変更する](multi-region-update.md)」を参照してください。 *マルチリージョンキーの削除* — すべての KMS キーと同様に、 がマルチリージョンキーを削除する前に AWS KMS 削除をスケジュールする必要があります。キーが削除保留中の間は、暗号化オペレーションでキーを使用することはできません。ただし、すべてのレプリカキーが削除されるまで、 はマルチリージョンのプライマリキーを削除 AWS KMS しません。詳細については、[Deleting multi-Region keys](deleting-keys.md#deleting-mrks) を参照してください