Primärschlüssel für mehrere Regionen erstellen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Primärschlüssel für mehrere Regionen erstellen

Sie können einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe der AWS KMS API erstellen. Sie können den Primärschlüssel überall dort erstellen, AWS-Region wo Schlüssel für mehrere Regionen AWS KMS unterstützt werden.

Um einen Primärschlüssel mit mehreren Regionen zu erstellen, benötigt der Principal dieselben Berechtigungen wie für die Erstellung eines beliebigen KMS-Schlüssels, einschließlich der CreateKey kms-Berechtigung in einer IAM-Richtlinie. Der Principal benötigt außerdem die iam: -Berechtigung. CreateServiceLinkedRole Sie können den MultiRegionKeyType Bedingungsschlüssel kms: verwenden, um die Erlaubnis zum Erstellen von Primärschlüsseln für mehrere Regionen zuzulassen oder zu verweigern.

Anmerkung

Berücksichtigen Sie bei der Erstellung Ihres Primärschlüssels für mehrere Regionen sorgfältig die IAM-Benutzer und -Rollen, die Sie für die Verwaltung und Verwendung des Schlüssels auswählen. IAM-Richtlinien können anderen IAM-Benutzern und -Rollen die erforderlichen Berechtigungen zum Verwalten des KMS-Schlüssels erteilen.

Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Um einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole zu erstellen, verwenden Sie dasselbe Verfahren, das Sie für die Erstellung eines beliebigen KMS-Schlüssels verwenden würden. Wählen Sie einen multiregionalen Schlüssel unter Erweiterte Optionen aus. Vollständige Anweisungen finden Sie unter Einen KMS-Schlüssel erstellen.

Wichtig

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie einen symmetrischen oder asymmetrischen Schlüsseltyp. Symmetrische Schlüssel sind die Standardeinstellung.

    Sie können multiregionale symmetrische und asymmetrische Schlüssel, einschließlich multiregionaler HMAC-KMS-Schlüssel, die symmetrisch sind, erstellen.

  6. Wählen Sie Ihre Schlüsselverwendung aus. Encrypt and decrypt (Verschlüsseln und Entschlüsseln) ist die Standardeinstellung.

    Weitere Informationen finden Sie unter Einen KMS-Schlüssel erstellen, Erstellen eines asymmetrischen KMS-Schlüssels oder Erstellen Sie einen HMAC-KMS-Schlüssel.

  7. Erweitern Sie Advanced options (Erweiterte Optionen).

  8. Wählen Sie unter Herkunft des Schlüsselmaterials die Option KMS aus, damit das Schlüsselmaterial AWS KMS generiert wird, das Ihre Primär- und Replikatschlüssel gemeinsam nutzen. Wenn Sie Schlüsselmaterial in die Primär- oder die Replikatschlüssel importieren, wählen Sie External (Extern) aus.

  9. Wählen Sie unter Regionalität die Option Multi-Region-Schlüssel aus.

    Sie können diese Einstellung nicht ändern, nachdem Sie den KMS-Schlüssel erstellt haben.

  10. Geben Sie einen Alias für den Primärschlüssel ein.

    Aliasse sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten denselben Alias oder verschiedene Aliase zuweisen. AWS KMS synchronisiert die Aliase von Schlüsseln mit mehreren Regionen nicht.

    Anmerkung

    Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter ABAC für AWS KMS und Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern.

  11. (Optional) Geben Sie eine Beschreibung für den Primärschlüssel ein.

    Beschreibungen sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel mit mehreren Regionen und seinen Replikaten dieselbe oder unterschiedliche Beschreibungen geben. AWS KMS synchronisiert die Schlüsselbeschreibungen von Schlüsseln mit mehreren Regionen nicht.

  12. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wenn Sie dem Primärschlüssel mehrere Tags zuweisen möchten, wählen Sie Add tag (Tag hinzufügen) aus.

    Tags sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten dieselben Tags oder verschiedene Tags zuweisen. AWS KMS synchronisiert die Tags von multiregionalen Schlüsseln nicht. Sie können die Tags auf KMS-Schlüssel jederzeit ändern.

    Anmerkung

    Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter ABAC für AWS KMS und Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern.

  13. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.

    Hinweise

    • Dieser Schritt startet den Prozess zum Erstellen einer Schlüsselrichtlinie für den Primärschlüssel. Schlüsselrichtlinien sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten dieselbe Schlüsselrichtlinie oder unterschiedliche Schlüsselrichtlinien zuweisen. AWS KMS synchronisiert nicht die wichtigsten Richtlinien von Schlüsseln für mehrere Regionen. Sie können die Schlüsselrichtlinie eines KMS-Schlüssels jederzeit ändern.

    • Wenn Sie einen Primärschlüssel für mehrere Regionen erstellen, sollten Sie die von der Konsole generierte Standardschlüsselrichtlinie verwenden. Wenn Sie diese Richtlinie ändern, bietet die Konsole keine Schritte zur Auswahl wichtiger Administratoren und Benutzer bei der Erstellung von Replikatschlüsseln und fügt auch keine entsprechenden Richtlinienerklärungen hinzu. Daher müssen Sie diese manuell hinzufügen.

    • Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Statement-ID wichtige Administratoren hinzu"Allow access for Key Administrators". Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

  14. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Key deletion (Schlüssellöschung) das Kontrollkästchen Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen).

  15. Wählen Sie Weiter.

  16. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für kryptographische Operationen verwenden können.

    Hinweise

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen "Allow use of the key" und "Allow attachment of persistent resources" wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

  17. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt Other AWS-Konten(Andere Konten) unten auf der Seite die Option Add another AWS-Konto(Weiteres Konto hinzufügen) und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  18. Wählen Sie Weiter.

  19. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie Bearbeiten aus.

  20. Wählen Sie Weiter.

  21. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  22. Wählen Sie Fertig stellen, um den Primärschlüssel für mehrere Regionen zu erstellen.

Verwenden Sie den CreateKeyVorgang, um einen Primärschlüssel für mehrere Regionen zu erstellen. Sie müssen außerdem den MultiRegion-Parameter mit dem Wert True verwenden.

Der folgende Befehl erstellt beispielsweise einen Primärschlüssel für mehrere Regionen im Aufrufer AWS-Region (us-east-1). Er akzeptiert Standardwerte für alle anderen Eigenschaften, einschließlich der Schlüsselrichtlinie. Die Standardwerte für multiregionale Primärschlüssel sind dieselben wie die Standardwerte für alle anderen KMS-Schlüssel, einschließlich der Standard-Schlüsselrichtlinie. Dieses Verfahren erstellt einen symmetrischen Verschlüsselungsschlüssel, den Standard-KMS-Schlüssel.

Die Antwort enthält das MultiRegion-Element und das MultiRegionConfiguration-Element mit typischen Unterelementen und Werten für einen multiregionalen Primärschlüssel ohne Replikatschlüssel. Die Schlüssel-ID eines multiregionalen Schlüssels beginnt immer mit mrk-.

Wichtig

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}