外部キー管理サービス とインスタンスの自動化

  • リリースバージョン: Australia
  • 更新日 2026年04月23日
  • 所要時間:4分

    • 外部キー管理サービスが有効になっている場合のインスタンス自動化操作の要件と制限事項を理解します。

    インスタンスで外部キー管理サービス (EKMS) が有効になっている場合は、クローン作成、バックアップと復元、コピー、移動、インスタンス間の切り替えなどのインスタンス自動化操作を計画する必要があります。これらの操作を成功させるには、ソースインスタンスとターゲットインスタンス間で互換性のある EKMS 構成が必要です。

    ターゲットインスタンスが同じ外部暗号化キーにアクセスできない限り、外部で暗号化されたデータのクローンを作成または復元することはできません。プリフライトチェックは、インスタンスの自動化操作を開始する前に EKMS の互換性を検証します。構成に互換性がない場合、操作はブロックされ、 KB2540187の手動解決手順に従う必要があります。

    インスタンス自動化の互換性

    次の表は、ソースとターゲットのインスタンス構成に基づいてサポートされているインスタンス自動化操作を示しています。
    表 : 1. インスタンス自動化互換性テーブル
    ソースインスタンス ターゲットインスタンス 結果
    EKM なし EKM なし サポート対象
    使用中の EKMS EKMS をサポート サポート対象
    使用中の EKMS EKMS をサポートしない古いリリース サポート対象
    EKMS をサポートしない古いリリース EKMS をサポートしますが、構成されていません サポート対象
    EKMS をサポート EKMS をサポートしない古いリリース サポート対象
    EKMS が構成されました 一致する構成とキーラッピング戦略を使用した EKMS サポート対象
    EKMS が構成されました 互換性のある構成の EKMS サポート対象
    キーステータスがアクティブではない EKMS が構成されました 任意 ブロック済み:以下の主要なステータス要件を参照してください
    EKMS が構成されました 構成が異なる EKM ブロック済み - KB2540187を参照
    内部キーラッピング 外部キーラッピング ブロック済み - KB2540187を参照
    EKMS が構成されました 構成またはラッピング戦略が異なる EKMS ブロック済み - KB2540187を参照
    EKMS は存在しますが、構成されていません 使用中の EKMS ブロック済み - KB2540187を参照
    EKMS をサポートしない古いリリース EKMS が構成されました ブロック済み - KB2540187を参照
    EKMS をサポートしますが、構成されていません EKMS が構成されました ブロック済み - KB2540187を参照

    最初にソースで EKMS を有効にします。
    EKMS が構成されました 互換性のない構成の EKMS ブロック済み - KB2540187を参照

    キーステータスの要件

    インスタンス自動化オペレーションでは、AWS KMS キーステータスがアクティブである必要があります。外部キーのステータスが [アクティブ] でない場合、インスタンス自動化操作中または操作後に暗号化操作が失敗する可能性があります。

    EKMS を使用してインスタンスの自動化を実行する前に、次のことを行います。
    • EKMS 構成のキーステータスが [アクティブ] と表示されていることを確認します。
    • キーのステータスが無効、削除保留、利用不可、または削除済みの間は、インスタンスの自動化を続行しないでください。
    • キーのステータスが [アクティブ] でない場合は、インスタンスの自動化を試みる前に問題を解決してください。
    主要なステータスの問題と解決策:
    • 無効:AWS KMS でキーを再度有効にします。
    • 削除処理待ち:AWS で削除スケジュールをキャンセルし、必要に応じてキーを再度有効にします。
    • 利用不可:認証情報、リージョンアクセス、およびエンドポイントの可用性を確認して、EKMS 接続を復元します。
    • 削除済み:復旧戦略と再構成の計画については、ServiceNow サポートにお問い合わせください。これは重大で不可逆的な状況です。

    キーステータスの問題を解決したら、EKMS 健全性チェックジョブによってインスタンスステータスが [アクティブ] に更新されるのを待ってから、続行する前にプリフライトチェックを再実行します。

    従来のキー管理のサポート

    デフォルトでは、異なるキー管理アーキテクチャ (レガシーおよび現在) を使用するインスタンス間のインスタンス自動化はサポートされていません。従来のキー管理シナリオのサポートを有効にするには、システムプロパティ glide.ekms.ia.non_bagheera_support を true に設定します。

    従来のキー管理サポートを有効にするには:
    1. 移動先 システムプロパティ > すべてのプロパティ.
    2. glide.ekms.ia.non_bagheera_supportを検索します。
    3. 値を True に設定します。
    4. [保存] を選択します。

    システムプロパティを変更するには、admin ロールが必要です。

    このプロパティは、次のシナリオでインスタンスの自動化を有効にします。
    • ソースインスタンスは従来のキー管理を使用し、ターゲットインスタンスは現在のキー管理アーキテクチャを使用します。
    • ソースインスタンスとターゲットインスタンスの両方で、従来のキー管理が使用されます。
    • ソースインスタンスは現在のキー管理アーキテクチャを使用し、ターゲットインスタンスは従来のキー管理を使用します。

    このプロパティを有効にしても、プリフライトチェックで互換性のない構成が検出された場合は、「 KB2540187」の手動解決手順に従う必要があります。