KMS AWSマネージド型キーを作成する方法を教えてください
困っていた内容
東京リージョンで作成した 暗号化済み RDS のバックアップを、大阪リージョンにコピーしようと考えています。
そのため、大阪リージョンに RDS の暗号化で利用される KMS AWSマネージド型キー(aws/rds)を作成したいです。
大阪リージョンで RDS のインスタンスを作成せずに、AMSマネージド型キーのみ 作成することは可能でしょうか? キーのみを単独で作成する方法があれば教えてください。
どう対応すればいいの?
DescribeKey API [1] を使うことで、指定した AWSマネージド型キー を作成することができます。
DescribeKey API はキーの詳細情報を取得するためのアクションですが、指定したキーが無い場合は、キーを自動的に作成します。
例えば、以下のような AWS CLI コマンドを実行することで、指定のリージョンにて aws/rds キーを作成できます。
$ aws kms describe-key --key-id alias/aws/rds --region <リージョン名>
一方、AWSマネージド型キーは必要となったタイミングで AWS側で自動的に作成されますので、 基本的に事前にお客様側で作成する必要はありません。
![【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
