ablog

不器用で落着きのない技術者のメモ

AWS managed CMK はリージョンが異なると別の鍵

AWSサービスの AWS managed CMK はリージョンが異なると別の Customer Master Key になる。以下は DynamoDBの東京リージョンとバージニア北部リージョンのスクリーンショット、キーエイリアスは同じ aws/dynamodb だがキーIDは異なる。

  • 東京リージョンの aws/dynamodb


カスタマー管理の CMK も同様に他のリージョンに移動はできない。Bring Your Own Keys(BYOK)では同じ鍵を複数リージョンにインポート可能だが、データキーは異なるため、別リージョンのKMSで復号することはできない。


と思う(上記全てにかかる)。