KMS AWSマネージド型キーを作成する方法を教えてください

2021.11.07

困っていた内容

東京リージョンで作成した 暗号化済み RDS のバックアップを、大阪リージョンにコピーしようと考えています。

そのため、大阪リージョンに RDS の暗号化で利用される KMS AWSマネージド型キー(aws/rds)を作成したいです。

大阪リージョンで RDS のインスタンスを作成せずに、AMSマネージド型キーのみ 作成することは可能でしょうか? キーのみを単独で作成する方法があれば教えてください。

どう対応すればいいの?

DescribeKey API [1] を使うことで、指定した AWSマネージド型キー を作成することができます。

DescribeKey API はキーの詳細情報を取得するためのアクションですが、指定したキーが無い場合は、キーを自動的に作成します。

例えば、以下のような AWS CLI コマンドを実行することで、指定のリージョンにて aws/rds キーを作成できます。

$ aws kms describe-key --key-id alias/aws/rds --region <リージョン名>

一方、AWSマネージド型キーは必要となったタイミングで AWS側で自動的に作成されますので、 基本的に事前にお客様側で作成する必要はありません。

参考資料

[1] DescribeKey - AWS Key Management Service