A. KMSマルチリージョンのプライマリキーを作成し、そのKMSマルチリージョンプライマリキーを使用して、アプリケーションが実行される各追加リージョンにKMSマルチリージョンレプリカキーを作成します。アプリケーションコードを更新して、各リージョンで特定のレプリカキーを使用します。

• 正解: これは最も適切なソリューションです。AWS KMSのマルチリージョンキー機能を使用すると、1つのプライマリキーを複数のリージョンにレプリケート（複製）できます。これにより、同じKMSキーを複数のリージョンで使用し、データの暗号化と復号化を実現できます。
• 利点: データの暗号化と復号化に一貫したキーを使用でき、セキュリティポリシーに適合します。
• 手順: プライマリキーを作成し、それを基に各リージョンでレプリカキーを作成することで、アプリケーションは異なるリージョンでも同じキーを使用できます。

B. アプリケーションが実行される各追加リージョンに新しいカスタマー管理のKMSキーを作成します。アプリケーションコードを更新して、各リージョンで特定のKMSキーを使用します。

• 不適切: これは推奨されません。各リージョンに異なるKMSキーを作成する場合、異なるキーを使って暗号化/復号化を行うことになり、各リージョンでのデータアクセスの整合性を確保するのが難しくなります。また、データを同じキーで復号化するという要件を満たせません。

C. AWS Private Certificate Authorityを使用して、プライマリリージョンに新しい証明書機関（CA）を作成します。CAからアプリケーションのウェブサイトURLのための新しいプライベート証明書を発行します。AWSリソースアクセスマネージャー（AWS RAM）を使用して、追加リージョンとCAを共有します。アプリケーションコードを更新して、各リージョンで共有されたCA証明書を使用します。

• 不適切: この選択肢は、証明書を管理する方法に関するものであり、KMSキーを使ったデータの暗号化/復号化とは関係ありません。証明書は、通常、TLS/SSL通信のセキュリティに使われ、データの暗号化とは異なります。

D. AWS Systems Manager Parameter Storeを使用して、アプリケーションが実行される各追加リージョンにパラメータを作成します。プライマリリージョンのKMSキーからキー素材をエクスポートします。各リージョンのパラメータにキー素材を保存します。アプリケーションコードを更新して、各リージョンでパラメータからキー情報を使用します。

• 不適切: KMSのキー素材をエクスポートして保存することは、セキュリティの観点から推奨されません。キー素材の管理は非常に慎重に行う必要があり、誤って漏洩すると重大なリスクとなります。また、KMSのキーを複数リージョンで使用するためにこの方法を使うことは、管理が複雑であり、望ましいアプローチではありません。

まとめ

• Aの選択肢が最適な解決策です。AWS KMSのマルチリージョンキー機能を使用することで、同じキーを複数のリージョンで利用し、データを暗号化および復号化することができます。これにより、企業のセキュリティポリシーに従った一貫したキー管理を実現できます。