Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schlüssel für mehrere Regionen eingeben AWS KMS
AWS KMS unterstützt Schlüssel für mehrere Regionen, AWS-Regionen die unterschiedlich sind und synonym verwendet werden können — als ob Sie denselben Schlüssel AWS KMS keys in mehreren Regionen hätten. Jeder Satz verwandter Schlüssel für mehrere Regionen hat dasselbe Schlüsselmaterial und dieselbe Schlüssel-ID, sodass Sie Daten in einem Schlüssel verschlüsseln AWS-Region und in einem anderen entschlüsseln können, AWS-Region ohne sie erneut zu verschlüsseln oder regionsübergreifend aufzurufen. AWS KMS
Wie alle KMS Schlüssel bleiben Schlüssel für mehrere Regionen niemals unverschlüsselt. AWS KMS Sie können symmetrische oder asymmetrische Schlüssel mit mehreren Regionen für die Verschlüsselung oder Signierung, Schlüssel mit HMAC mehreren Regionen zum Generieren und Überprüfen von HMAC Tags und Schlüssel mit mehreren Regionen mit importiertem Schlüsselmaterial oder generiertem Schlüsselmaterial erstellen. AWS KMS Sie müssen jeden multiregionalen Schlüssel verwalten, unabhängig voneinander, einschließlich der Erstellung von Aliasen und Tags und der Festlegung ihrer wichtigsten Richtlinien und Berechtigungen sowie der selektiven Aktivierung und Deaktivierung. Sie können multiregionale Schlüssel in allen kryptografischen Operationen verwenden, die Sie mit einzelregionalen Schlüsseln ausführen können.
Multiregionale Schlüssel sind eine flexible und leistungsstarke Lösung für viele gängige Datensicherheitsszenarien.
- Notfallwiederherstellung
-
In einer Sicherungs- und Wiederherstellungsarchitektur können Sie mit Schlüsseln für mehrere Regionen verschlüsselte Daten auch bei einem Ausfall unterbrechungsfrei verarbeiten. AWS-Region Daten, die in Backup-Regionen verwaltet werden, können im Backup-Bereich entschlüsselt werden, und Daten, die im Backup-Bereich neu verschlüsselt wurden, können in der primären Region entschlüsselt werden, wenn diese Region wiederhergestellt wird.
- Globales Datenmanagement
-
Unternehmen, die global tätig sind, benötigen global verteilte Daten, die konsistent über AWS-Regionen verfügbar sind. Sie können multiregionale Schlüssel in allen Regionen erstellen, in denen sich Ihre Daten befinden. Anschließend können Sie die Schlüssel so verwenden, als wären sie einzelregionale Schlüssel, ohne die Latenz eines regionsübergreifenden Anrufs oder die Kosten für die erneute Verschlüsselung von Daten unter einem anderen Schlüssel in jeder Region.
- Verteilte Signaturanwendungen
-
Anwendungen, die regionsübergreifende Signaturfunktionen erfordern, können asymmetrische Signaturschlüssel für mehrere Regionen verwenden, um identische digitale Signaturen konsistent und wiederholt in verschiedenen AWS-Regionen zu generieren.
Wenn Sie die Zertifikatsverkettung mit einem einzigen globalen Vertrauensspeicher (für eine einzelne Stammzertifizierungsstelle (CA)) und einem von der Stammzertifizierungsstelle CAs signierten Regional Intermediate verwenden, benötigen Sie keine Schlüssel für mehrere Regionen. Wenn Ihr System jedoch keine Zwischenzertifizierungen wie Anwendungssignaturen unterstütztCAs, können Sie Schlüssel für mehrere Regionen verwenden, um regionale Zertifizierungen einheitlich zu gestalten.
- Aktiv/aktiv-Anwendungen, die sich über mehrere Regionen erstrecken
-
Einige Arbeitslasten und Anwendungen können sich über mehrere Regionen in aktiv/aktiv-Architekturen erstrecken. Für diese Anwendungen können multiregionale Schlüssel die Komplexität reduzieren, indem sie dasselbe Schlüsselmaterial für gleichzeitige Verschlüsselungs- und Entschlüsselungsoperationen für Daten bereitstellen, die möglicherweise über Regionsgrenzen hinweg verschoben werden.
Sie können Schlüssel für mehrere Regionen mit clientseitigen Verschlüsselungsbibliotheken wie der AWS Datenbankverschlüsselung und der AWS Encryption SDKclientseitigen Amazon S3 S3-Verschlüsselung SDK verwenden.
AWS Dienste, die AWS KMS für Verschlüsselung im Ruhezustand oder digitale Signaturen integriert sind, behandeln Schlüssel mit
Multiregionale Schlüssel sind nicht global. Sie erstellen einen multiregionalen Primärschlüssel und replizieren ihn dann in Regionen, die Sie in einer AWS -Partition auswählen. Anschließend verwalten Sie den multiregionalen Schlüssel in jeder Region unabhängig. AWS Weder erstellt noch AWS KMS jemals automatisch Schlüssel für mehrere Regionen in Ihrem Namen oder repliziert sie in eine Region. Von AWS verwaltete Schlüssel, bei den KMS Schlüsseln, die AWS Dienste in Ihrem Konto für Sie erstellen, handelt es sich immer um Schlüssel für einzelne Regionen.
Sie können einen vorhandenen einzelregionalen Schlüssel nicht in einen multiregionalen Schlüssel konvertieren. Dieses Merkmal stellt sicher, dass alle Daten, die mit vorhandenen einzelregionalen Schlüsseln geschützt sind, dieselben Datenresidenz- und Datensouveränitäts-Eigenschaften beibehalten.
Für die meisten Datensicherheitsanforderungen sind Standardschlüssel für AWS KMS einzelne Regionen aufgrund der regionalen Isolierung und Fehlertoleranz regionaler Ressourcen die am besten geeignete Lösung. Wenn Sie jedoch Daten in clientseitigen Anwendungen über mehrere Regionen hinweg verschlüsseln oder signieren müssen, sind multiregionale Schlüssel möglicherweise die Lösung.
Regionen
Schlüssel für mehrere Regionen werden in allen Ländern AWS KMS unterstützt AWS-Regionen , mit Ausnahme von China (Peking) und China (Ningxia).
Preise und Kontingente
Jeder Schlüssel in einem Satz verwandter Schlüssel für mehrere Regionen zählt als ein KMS Schlüssel für Preise und Kontingente. AWS KMS Kontingente werden für jede Region eines Kontos separat berechnet. Die Verwendung und Verwaltung der multiregionalen Schlüssel in jeder Region zählen zu den Kontingenten für diese Region.
Unterstützte KMS Schlüsseltypen
Sie können die folgenden Typen von KMS Schlüsseln für mehrere Regionen erstellen:
-
Symmetrische Verschlüsselungsschlüssel KMS
-
Asymmetrische Schlüssel KMS
-
HMACKMSSchlüssel
-
KMSSchlüssel mit importiertem Schlüsselmaterial
Sie können keine multiregionale Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.
Weitere Informationen
-
Informationen zur Steuerung des Zugriffs auf KMS Schlüssel mit mehreren Regionen finden Sie unterSteuern Sie den Zugriff auf Schlüssel für mehrere Regionen.
-
Informationen zum Erstellen von KMS Primärschlüsseln beliebiger Art mit mehreren Regionen finden Sie unter. Primärschlüssel für mehrere Regionen erstellen
-
Informationen zum Erstellen von KMS Replikatschlüsseln mit mehreren Regionen finden Sie unter. Replikatschlüssel für mehrere Regionen erstellen
-
Informationen zum Aktualisieren der primären Region finden Sie unter. Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen
-
Informationen zum Identifizieren und Anzeigen von KMS Schlüsseln für mehrere Regionen finden Sie unterIdentifizieren Sie Schlüssel HMAC KMS.
-
Informationen zu besonderen Überlegungen beim Löschen von KMS Schlüsseln mit mehreren Regionen finden Sie unter. Deleting multi-Region keys
Terminologie und Konzepte
Die folgenden Begriffe und Konzepte werden mit multiregionalen Schlüsseln verwendet.
Multiregionaler Schlüssel
Ein Schlüssel mit mehreren Regionen gehört zu einer Reihe von KMS Schlüsseln mit derselben Schlüssel-ID und demselben Schlüsselmaterial (und anderen gemeinsamen Eigenschaften) in unterschiedlichen Schlüsseln. AWS-Regionen Jeder Schlüssel für mehrere Regionen ist ein voll funktionsfähiger KMS Schlüssel, der völlig unabhängig von den zugehörigen Multiregionsschlüsseln verwendet werden kann. Da alle zugehörigen Schlüssel für mehrere Regionen dieselbe Schlüssel-ID und dasselbe Schlüsselmaterial haben, sind sie interoperabel, d. h. jeder zugehörige Schlüssel für mehrere Regionen AWS-Region kann Chiffretext entschlüsseln, der mit einem anderen zugehörigen Schlüssel für mehrere Regionen verschlüsselt wurde.
Sie legen die Multiregions-Eigenschaft eines Schlüssels fest, wenn Sie ihn erstellen. KMS Sie können die multiregionale Eigenschaft für einen vorhandenen Schlüssel nicht ändern. Einzelregionale Schlüssel können nicht in multiregionale Schlüssel konvertiert werden oder umgekehrt. Um vorhandene Workloads in multiregionale Szenarien zu verschieben, müssen Sie die Daten erneut verschlüsseln oder neue Signaturen mit neuen multiregionalen Schlüsseln erstellen.
Ein Schlüssel mit mehreren Regionen kann symmetrisch oder asymmetrisch sein und er kann Schlüsselmaterial oder importiertes AWS KMS Schlüsselmaterial verwenden. Sie können keine multiregionale Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.
In einer Reihe von verwandten multiregionalen Schlüsseln gibt es zu jeder Zeit genau einen Primärschlüssel. Sie können Replikatschlüsseln dieses Primärschlüssels in anderen AWS-Regionen erstellen. Sie können auch die primäre Region aktualisieren, wodurch der Primärschlüssel in einen Replikatschlüssel und ein angegebener Replikatschlüssel in den Primärschlüssel geändert wird. Sie können jedoch jeweils nur einen Primärschlüssel oder Replikatschlüssel verwalten. AWS-Region Alle Regionen müssen sich in derselben AWS -Partition befinden.
Sie können mehrere Sätze von verwandten multiregionalen Schlüsseln in der gleichen oder in unterschiedlichen AWS-Regionen haben. Obwohl verwandte multiregionale Schlüssel interoperabel sind, sind unverwandte multiregionale Schlüssel nicht interoperabel.
Primärschlüssel
Ein Primärschlüssel mit mehreren Regionen ist ein KMS Schlüssel, der in andere AWS-Regionen in derselben Partition repliziert werden kann. Jeder Satz von multiregionalen Schlüsseln hat nur einen Primärschlüssel.
Ein Primärschlüssel unterscheidet sich von einem Replikatschlüssel wie folgt:
-
Nur ein Primärschlüssel kann repliziert werden.
-
Der Primärschlüssel ist die Quelle für die gemeinsam genutzten Eigenschaften seiner Replikatschlüssel, einschließlich Schlüsselmaterial und Schlüssel-ID.
-
Sie können die automatische Schlüsseldrehung nur für einen Primärschlüssel aktivieren oder deaktivieren.
-
Sie können jederzeit das Löschen eines Primärschlüssels planen. Ein Primärschlüssel AWS KMS wird jedoch erst gelöscht, wenn alle seine Replikatschlüssel gelöscht sind.
Primär- und Replikatschlüssel unterscheiden sich jedoch nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden.
Sie müssen keinen Primärschlüssel replizieren. Sie können ihn wie jeden anderen KMS Schlüssel verwenden und ihn replizieren, wenn und wann immer er nützlich ist. Da multiregionale Schlüssel jedoch andere Sicherheitseigenschaften haben als einzelregionale Schlüssel, empfiehlt es sich, einen multiregionalen Schlüssel nur dann zu erstellen, wenn Sie ihn replizieren möchten.
Replikat-Schlüssel
Ein Replikatschlüssel mit mehreren Regionen ist ein KMS Schlüssel, der dieselbe Schlüssel-ID und dasselbe Schlüsselmaterial wie sein Primärschlüssel und die zugehörigen Replikatschlüssel hat, der jedoch in einem anderen vorhanden ist. AWS-Region
Ein Replikatschlüssel ist ein voll funktionsfähiger KMS Schlüssel mit eigenen Schlüsselrichtlinien, Berechtigungen, Alias, Tags und anderen Eigenschaften. Es handelt sich nicht um eine Kopie oder einen Zeiger auf den Primärschlüssel oder einen sonstigen Schlüssel. Sie können einen Replikatschlüssel auch dann verwenden, wenn sein Primärschlüssel und alle verwandte Replikatschlüssel deaktiviert sind. Sie können auch einen Replikatschlüssel in einen Primärschlüssel und einen Primärschlüssel in einen Replikatschlüssel konvertieren. Sobald er erstellt wurde, stützt sich ein Replikatschlüssel auf seinen Primärschlüssel nur zur Schlüsseldrehung und zum Aktualisieren der primären Region.
Primär- und Replikatschlüssel unterscheiden sich nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden. Daten, die durch einen Primär- oder Replikatschlüssel verschlüsselt werden, können durch denselben Schlüssel oder durch einen beliebigen verwandten Primär- oder Replikatschlüssel entschlüsselt werden.
Replicate
Sie können einen Primärschlüssel mit mehreren Regionen in einen anderen AWS-Region Primärschlüssel in derselben Partition replizieren. Wenn Sie dies tun, AWS KMS wird in der angegebenen Region ein Replikatschlüssel mit mehreren Regionen erstellt, der dieselbe Schlüssel-ID und andere gemeinsame Eigenschaften wie der Primärschlüssel hat. Dann transportiert es das Schlüsselmaterial sicher über die Regionsgrenze und ordnet es dem neuen Replikatschlüssel zu, alles innerhalb von AWS KMS.
Freigegebene Eigenschaften
Gemeinsam genutzte Eigenschaften sind Eigenschaften eines Primärschlüssels mit mehreren Regionen, die mit seinen Replikatschlüsseln gemeinsam genutzt werden. AWS KMS erstellt die Replikatschlüssel mit denselben gemeinsamen Eigenschaftswerten wie die des Primärschlüssels. Anschließend synchronisiert es regelmäßig die gemeinsamen Eigenschaftswerte des Primärschlüssels mit seinen Replikatschlüsseln. Sie können diese Eigenschaften nicht für einen Replikatschlüssel festlegen.
Im Folgenden sind die gemeinsamen Eigenschaften von multiregionalen Schlüsseln aufgeführt.
-
Schlüssel-ID — (Das
RegionElement des Schlüssels ARN unterscheidet sich.) -
Schlüsselspezifikation und Verschlüsselungsalgorithmen
-
Automatische Schlüsseldrehung – Sie können die automatische Schlüsseldrehung nur für den Primärschlüssel aktivieren oder deaktivieren. Neue Replikatschlüssel werden mit allen Versionen des freigegebenen Schlüsselmaterials erstellt. Details hierzu finden Sie unter Rotating multi-Region keys.
-
Rotation auf Anforderung — Sie können die Rotation auf Anforderung nur für den Primärschlüssel durchführen. Neue Replikatschlüssel werden mit allen Versionen des freigegebenen Schlüsselmaterials erstellt. Details hierzu finden Sie unter Rotating multi-Region keys.
Sie können sich auch die Primär- und Replikatbezeichnungen verwandter Mehrbereichsschlüssel als gemeinsame Eigenschaften vorstellen. Wenn Sie neue Replikatschlüssel erstellen oder den Primärschlüssel aktualisieren, wird die Änderung mit allen zugehörigen Multiregions-Schlüsseln AWS KMS synchronisiert. Wenn diese Änderungen abgeschlossen sind, werden alle verwandte multiregionale Schlüssel ihren Primärschlüssel und die Replikatschlüssel korrekt auflisten.
Alle anderen Eigenschaften von multiregionalen Schlüsseln sind unabhängige Eigenschaften, einschließlich der Beschreibung, Schlüsselrichtlinie, Erteilungen, aktivierten und deaktivierten Schlüsselzustände, Aliasen und Tags. Sie können dieselben Werte für diese Eigenschaften für alle verwandte mutliregionale Schlüssel festlegen. Wenn Sie jedoch den Wert einer unabhängigen Eigenschaft ändern, wird dies von AWS KMS nicht synchronisiert.
Sie können die Synchronisierung der freigegebenen Eigenschaften Ihrer multiregionalen Schlüssel verfolgen. Suchen Sie in Ihrem AWS CloudTrail Protokoll nach dem Ereignis. SynchronizeMultiRegionKey
