ある企業はグローバルに展開するアプリケーションで、複数のリージョンから KMS で暗号化されたデータを読み書きしています。データは us-east-1 で暗号化されており、ap-northeast-1 のリソースからも復号したいという要件があります。また、災害対策として暗号化キー自体のリージョン冗長性も確保したいと考えています。この要件を満たすアプローチを 2 つ選択してください。
- A. 暗号化されたデータを ap-northeast-1 に転送する際に S3 クロスリージョンレプリケーションを使い、レプリケーション先で新しいキーで再暗号化する
- B. ap-northeast-1 に独立した新しい CMK を作成してマルチリージョンキーと同様に利用する
- C. us-east-1 の CMK に対して ap-northeast-1 からクロスリージョン API コールを実行して復号する
- D. us-east-1 の CMK を ap-northeast-1 にエクスポートして同一のキー素材を使った CMK を手動作成する
- E. KMS マルチリージョンキー(Multi-Region Key)を使用して us-east-1 をプライマリキー、ap-northeast-1 をレプリカキーとして設定する
解答と解説を見る
正解: A, E
KMS マルチリージョンキーはプライマリキーとレプリカキーが同一のキー素材を共有しており、一方のリージョンで暗号化したデータをもう一方のリージョンのレプリカキーで復号できます。これにより各リージョンに独立したキー ID を持ちながら、クロスリージョン API コールを行わずに処理できます。S3 クロスリージョンレプリケーション(CRR)でレプリケーション先リージョンのキーを使った再暗号化を設定することで、ap-northeast-1 に届いたデータが同リージョンの CMK で暗号化された状態になり、クロスリージョン KMS 呼び出し不要でローカル復号が可能になります。C は KMS API はクロスリージョン呼び出しに対応していません。各リージョンのエンドポイントを使う必要があります。D は KMS のバッキングマテリアルのエクスポートは HSM キーを除いて基本的にサポートされていません。B の独立した CMK は別のキー素材であり、us-east-1 で暗号化したデータを ap-northeast-1 で復号することはできません。