Sicherheitsaspekte für multiregionale Schlüssel Funktionsweise von multiregionalen Schlüsseln Konzepte

Schlüssel für mehrere Regionen eingeben AWS KMS

AWS KMS unterstützt Schlüssel für mehrere Regionen, AWS-Regionen die unterschiedlich sind und synonym verwendet werden können — als ob Sie denselben Schlüssel AWS KMS keys in mehreren Regionen hätten. Jeder Satz verwandter Schlüssel für mehrere Regionen hat dasselbe Schlüsselmaterial und dieselbe Schlüssel-ID, sodass Sie Daten in einem Schlüssel verschlüsseln AWS-Region und in einem anderen entschlüsseln können, AWS-Region ohne sie erneut zu verschlüsseln oder regionsübergreifend aufzurufen. AWS KMS

Wie alle KMS-Schlüssel bleiben Schlüssel für mehrere Regionen niemals unverschlüsselt. AWS KMS Sie können symmetrische oder asymmetrische Schlüssel mit mehreren Regionen für die Verschlüsselung oder Signierung erstellen, HMAC-Schlüssel für mehrere Regionen zum Generieren und Überprüfen von HMAC-Tags und Schlüssel mit mehreren Regionen mit importiertem Schlüsselmaterial oder generiertem Schlüsselmaterial erstellen. AWS KMS Sie müssen jeden multiregionalen Schlüssel verwalten, unabhängig voneinander, einschließlich der Erstellung von Aliasen und Tags und der Festlegung ihrer wichtigsten Richtlinien und Berechtigungen sowie der selektiven Aktivierung und Deaktivierung. Sie können multiregionale Schlüssel in allen kryptografischen Operationen verwenden, die Sie mit einzelregionalen Schlüsseln ausführen können.

Multiregionale Schlüssel sind eine flexible und leistungsstarke Lösung für viele gängige Datensicherheitsszenarien.

Notfallwiederherstellung

In einer Sicherungs- und Wiederherstellungsarchitektur können Sie mit Schlüsseln für mehrere Regionen verschlüsselte Daten auch bei einem Ausfall unterbrechungsfrei verarbeiten. AWS-Region Daten, die in Backup-Regionen verwaltet werden, können im Backup-Bereich entschlüsselt werden, und Daten, die im Backup-Bereich neu verschlüsselt wurden, können in der primären Region entschlüsselt werden, wenn diese Region wiederhergestellt wird.

Globales Datenmanagement

Unternehmen, die global tätig sind, benötigen global verteilte Daten, die konsistent über AWS-Regionen verfügbar sind. Sie können multiregionale Schlüssel in allen Regionen erstellen, in denen sich Ihre Daten befinden. Anschließend können Sie die Schlüssel so verwenden, als wären sie einzelregionale Schlüssel, ohne die Latenz eines regionsübergreifenden Anrufs oder die Kosten für die erneute Verschlüsselung von Daten unter einem anderen Schlüssel in jeder Region.

Verteilte Signaturanwendungen

Anwendungen, die regionsübergreifende Signaturfunktionen erfordern, können asymmetrische Signaturschlüssel für mehrere Regionen verwenden, um identische digitale Signaturen konsistent und wiederholt in verschiedenen AWS-Regionen zu generieren.

Wenn Sie die Zertifikatverkettung mit einem einzigen globalen Vertrauensspeicher (für eine einzelne Stammzertifizierungsstelle) und regionale Zwischenzertifizierungsstellen verwenden, die von der Stammzertifizierungsstelle signiert sind, benötigen Sie keine multiregionalen Schlüssel. Wenn Ihr System jedoch keine Zwischenzertifizierungsstellen unterstützt, z. B. Anwendungssignierung, können Sie multiregionale Schlüssel verwenden, um die Konsistenz der regionalen Zertifizierungen zu gewährleisten.

Aktiv/aktiv-Anwendungen, die sich über mehrere Regionen erstrecken

Einige Arbeitslasten und Anwendungen können sich über mehrere Regionen in aktiv/aktiv-Architekturen erstrecken. Für diese Anwendungen können multiregionale Schlüssel die Komplexität reduzieren, indem sie dasselbe Schlüsselmaterial für gleichzeitige Verschlüsselungs- und Entschlüsselungsoperationen für Daten bereitstellen, die möglicherweise über Regionsgrenzen hinweg verschoben werden.

Sie können multiregionale Schlüssel mit clientseitigen Verschlüsselungsbibliotheken verwenden, z. B. die AWS Encryption SDK, den DynamoDB Encryption Client und clientseitige Simple Storage Service (Amazon S3)-Verschlüsselung. Ein Beispiel für die Verwendung von Regionsschlüsseln mit globalen Amazon DynamoDB-Tabellen und dem DynamoDB Encryption Client finden Sie im Security Blog unter Clientseitige Verschlüsselung globaler Daten mit Schlüsseln für mehrere Regionen. AWS KMS AWS

AWS Dienste, die AWS KMS für Verschlüsselung im Ruhezustand oder digitale Signaturen integriert sind, behandeln Schlüssel mit mehreren Regionen derzeit so, als ob es sich um Schlüssel mit nur einer Region handeln würde. Sie können Daten, die zwischen Regionen verschoben wurden, erneut verpacken oder neu verschlüsseln. Beispielsweise entschlüsselt und verschlüsselt die regionsübergreifende Replikation von Simple Storage Service (Amazon S3) Daten unter einem KMS-Schlüssel in der Zielregion, selbst wenn Objekte repliziert werden, die durch einen multiregionalen Schlüssel geschützt sind.

Multiregionale Schlüssel sind nicht global. Sie erstellen einen multiregionalen Primärschlüssel und replizieren ihn dann in Regionen, die Sie in einer AWS -Partition auswählen. Anschließend verwalten Sie den multiregionalen Schlüssel in jeder Region unabhängig. AWS Weder erstellt noch AWS KMS jemals automatisch Schlüssel für mehrere Regionen in Ihrem Namen oder repliziert sie in eine Region. Von AWS verwaltete Schlüssel, bei den KMS-Schlüsseln, die AWS Dienste in Ihrem Konto für Sie erstellen, handelt es sich immer um Schlüssel für einzelne Regionen.

Sie können einen vorhandenen einzelregionalen Schlüssel nicht in einen multiregionalen Schlüssel konvertieren. Dieses Merkmal stellt sicher, dass alle Daten, die mit vorhandenen einzelregionalen Schlüsseln geschützt sind, dieselben Datenresidenz- und Datensouveränitäts-Eigenschaften beibehalten.

Für die meisten Datensicherheitsanforderungen sind Standardschlüssel für AWS KMS einzelne Regionen aufgrund der regionalen Isolierung und Fehlertoleranz regionaler Ressourcen die am besten geeignete Lösung. Wenn Sie jedoch Daten in clientseitigen Anwendungen über mehrere Regionen hinweg verschlüsseln oder signieren müssen, sind multiregionale Schlüssel möglicherweise die Lösung.

Regionen

Schlüssel für mehrere Regionen werden in allen Ländern AWS KMS unterstützt AWS-Regionen , mit Ausnahme von China (Peking) und China (Ningxia).

Preise und Kontingente

Jeder Schlüssel in einem Satz verwandter multiregionaler Schlüssel zählt als ein KMS-Schlüssel für Preise und Kontingente. AWS KMS -Kontingente werden separat für jede Region eines Kontos berechnet. Die Verwendung und Verwaltung der multiregionalen Schlüssel in jeder Region zählen zu den Kontingenten für diese Region.

Unterstützte KMS-Schlüsseltypen

Sie können die folgenden Typen von für mehrere Regionen geltenden KMS-Schlüsseln erstellen:

KMS-Schlüssel zur symmetrischen Verschlüsselung
Asymmetrische KMS-Schlüssel
HMAC-KMS-Schlüssel
KMS-Schlüssel mit importiertem Schlüsselmaterial

Sie können keine multiregionale Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.

Themen

Sicherheitsaspekte für multiregionale Schlüssel

Verwenden Sie einen Schlüssel für AWS KMS mehrere Regionen nur, wenn Sie einen benötigen. Multiregionale Schlüssel bieten eine flexible und skalierbare Lösung für Workloads, die verschlüsselte Daten zwischen AWS-Regionen verschieben oder regionsübergreifenden Zugang benötigen. Verwenden Sie einen multiregionalen Schlüssel, wenn Sie geschützte Daten über Regionen hinweg freigeben, verschieben oder sichern müssen oder identische digitale Signaturen von Anwendungen erstellen müssen, die in verschiedenen Regionen ausgeführt werden.

Beim Erstellen eines multiregionalen Schlüssels wird das Schlüsselmaterial jedoch innerhalb AWS KMSüber die Grenzen der AWS-Region verschoben. Der Chiffretext, der von einem multiregionalen Schlüssel generiert wird, kann möglicherweise von mehreren verwandten Schlüsseln an mehreren geografischen Standorten entschlüsselt werden. Regional isolierte Services und Ressourcen bieten auch erhebliche Vorteile. Jede AWS-Region ist isoliert und unabhängig von den anderen Regionen. Regionen bieten Fehlertoleranz, Stabilität und Ausfallsicherheit und können auch die Latenz verkürzen. Sie ermöglichen das Erstellen redundanter Ressourcen, die verfügbar bleiben und von einem Ausfall in einer anderen Region nicht betroffen sind. Außerdem stellen sie sicher AWS KMS, dass jeder Chiffretext mit nur einem Schlüssel entschlüsselt werden kann.

Multiregionale Schlüssel werfen auch neue Sicherheitsbedenken auf.

Die Steuerung des Zugriffs und die Durchsetzung von Datensicherheitsrichtlinien ist mit multiregionalen Schlüsseln komplexer. Sie müssen sicherstellen, dass die Richtlinie bei Schlüsseln in mehreren isolierten Regionen konsistent überwacht wird. Und Sie müssen Richtlinien verwenden, um Grenzen zu erzwingen, anstatt sich auf separate Schlüssel zu verlassen.

Sie müssen beispielsweise Richtlinienbedingungen für Daten festlegen, um zu verhindern, dass Lohn- und Gehaltsabrechnungsteams in einer Region Lohn- und Gehaltsabrechnungsdaten für eine andere Region lesen können. Außerdem müssen Sie die Zugriffssteuerung verwenden, um ein Szenario zu verhindern, in dem ein multiregionaler Schlüssel in einer Region die Daten eines Mandanten schützt und ein verwandter multiregionaler Schlüssel in einer anderen Region die Daten eines anderen Mandanten schützt.
Die Prüfung von Schlüsseln über Regionen hinweg ist ebenfalls komplexer. Mit multiregionalen Schlüsseln müssen Sie Prüfungsaktivitäten über mehrere Regionen hinweg überprüfen und abstimmen, um ein vollständiges Verständnis der wichtigsten Aktivitäten für geschützte Daten zu erhalten.
Die Einhaltung von Datenresidenz-Mandaten kann komplexer sein. Mit isolierten Regionen können Sie die Einhaltung von Datenresidenz und Datenhoheit sicherstellen. KMS-Schlüssel in einer bestimmten Region können sensible Daten nur in dieser Region entschlüsseln. Daten, die in einer Region verschlüsselt sind, können in jeder anderen Region vollständig geschützt und unzugänglich bleiben.

Um die Datenresidenz und Datensouveränität mit Schlüsseln für mehrere Regionen zu überprüfen, müssen Sie Zugriffsrichtlinien implementieren und Ereignisse für mehrere Regionen zusammenstellen AWS CloudTrail .

Um Ihnen die Verwaltung der Zugriffskontrolle für Schlüssel mit mehreren Regionen zu erleichtern, ist die Berechtigung zum Replizieren eines Schlüssels für mehrere Regionen (kms: ReplicateKey) von der Standardberechtigung zum Erstellen von Schlüsseln (kms:) getrennt. CreateKey AWS KMS Unterstützt außerdem mehrere Richtlinienbedingungen für Schlüssel mit mehreren Regionen, z. B. die Erlaubniskms:MultiRegion, Schlüssel für mehrere Regionen zu erstellen, zu verwenden oder zu verwalten, oder die die Regionen einschränktkms:ReplicaRegion, in die ein Schlüssel für mehrere Regionen repliziert werden kann. Details hierzu finden Sie unter Steuern des Zugriffs auf multiregionale Schlüssel.

Funktionsweise von multiregionalen Schlüsseln

Sie beginnen mit der Erstellung eines symmetrischen oder asymmetrischen Primärschlüssels für mehrere Regionen in einem System, AWS-Region das dies AWS KMS unterstützt, z. B. US East (Nord-Virginia). Sie entscheiden nur, wenn Sie ihn erstellen, ob es sich bei einem Schlüssel um einen einzelregionalen Schlüssel oder um einen multiregionalen Schlüssel handelt. Sie können diese Eigenschaft später nicht ändern. Wie bei jedem KMS-Schlüssel, legen Sie eine Schlüsselrichtlinie für den multiregionalen Schlüssel fest, und Sie können Berechtigungen erstellen und Aliase und Tags für die Kategorisierung und Autorisierung hinzufügen. (Diese sind unabhängige Eigenschaften, die nicht gemeinsam genutzt oder mit anderen Schlüsseln synchronisiert werden.) Sie können Ihren multiregionalen Primärschlüssel in kryptografischen Operationen zur Verschlüsselung oder Signatur verwenden.

Sie können einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe der CreateKeyAPI erstellen, wobei der Parameter auf gesetzt istMultiRegion. true Beachten Sie, dass multiregionale Schlüssel eine unverwechselbare Schlüssel-ID haben, die mit mrk- beginnt. Sie können das mrk--Präfix verwenden, um multiregionale Schlüssel programmgesteuert zu identifizieren.

Wenn Sie möchten, können Sie den Primärschlüssel für mehrere Regionen in einen oder mehrere Primärschlüssel in derselben AWS Partition replizieren, z. B. AWS-Regionen in Europa (Irland). Wenn Sie dies tun, AWS KMS wird in der angegebenen Region ein Replikatschlüssel mit derselben Schlüssel-ID und anderen gemeinsamen Eigenschaften wie der Primärschlüssel erstellt. Dann transportiert es das Schlüsselmaterial sicher über die Regionsgrenze und ordnet es dem neuen KMS-Schlüssel in der Zielregion zu, alles innerhalb von AWS KMS. Das Ergebnis sind zwei verwandte multiregionale Schlüssel – ein Primärschlüssel und ein Replikatschlüssel – die austauschbar verwendet werden können.

Sie können einen Replikatschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe der API erstellen. ReplicateKey

Der resultierende multiregionale Replikatschlüssel ist ein voll funktionsfähiger KMS-Schlüssel mit denselben gemeinsam genutzten Eigenschaften wie der Primärschlüssel. In jeder anderen Hinsicht ist es ein unabhängiger KMS-Schlüssel mit eigener Beschreibung und Schlüsselrichtlinie und den eigenen Erteilungen, Aliasen und Tags. Das Aktivieren oder Deaktivieren eines multiregionalen Schlüssels hat keine Auswirkungen auf verwandte multiregionale Schlüssel. Sie können Primär- und Replikatschlüssel unabhängig von einander in kryptografischen Operationen verwenden oder deren Verwendung koordinieren. Beispielsweise können Sie Daten mit dem Primärschlüssel in der Region USA Ost (Nord-Virginia) verschlüsseln, die Daten in die Region Europa (Irland) verschieben und die Daten mit dem Replikatschlüssel entschlüsseln.

Verwandte multiregionale Schlüssel haben dieselbe Schlüssel-ID. Ihre Schlüssel-ARNs (Amazon Resource Names) unterscheiden sich nur im Feld Region. Zum Beispiel: Der multiregionale Primärschlüssel und die Replikatschlüssel haben die folgenden Beispiel-Schlüssel-ARNs. Die Schlüssel-ID – das letzte Element im Schlüssel ARN – ist identisch. Beide Schlüssel haben die unverwechselbare Schlüssel-ID von multiregionalen Schlüsseln, die mit mrk- beginnt.


Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Für die Interoperabilität ist dieselbe Schlüssel-ID erforderlich. AWS KMS Bindet beim Verschlüsseln die Schlüssel-ID des KMS-Schlüssels an den Chiffretext, sodass der Chiffretext nur mit diesem KMS-Schlüssel oder einem KMS-Schlüssel mit derselben Schlüssel-ID entschlüsselt werden kann. Diese Funktion macht auch verwandte multiregionale Schlüssel leicht zu erkennen und erleichtert die austauschbare Verwendung. Wenn Sie sie beispielsweise in einer Anwendung verwenden, können Sie auf verwandte multiregionale Schlüssel anhand ihrer geteilten Schlüssel-ID verweisen. Geben Sie dann, falls erforderlich, die Region oder den ARN an, um sie zu unterscheiden.

Wenn sich Ihre Datenanforderungen ändern, können Sie den Primärschlüssel auf andere AWS-Regionen in derselben Partition replizieren, z. B. USA West (Oregon) und Asien-Pazifik (Sydney). Das Ergebnis sind vier verwandte multiregionale Schlüssel mit demselben Schlüsselmaterial und denselben Schlüssel-IDs, wie im folgenden Diagramm gezeigt. Sie verwalten die Schlüssel unabhängig voneinander. Sie können sie unabhängig voneinander oder koordiniert verwenden. Beispielsweise können Sie Daten mit dem Replikatschlüssel in Asien-Pazifik (Sydney) verschlüsseln, die Daten nach USA West (Oregon) verschieben und mit dem Replikatschlüssel in USA West (Oregon) entschlüsseln.

Primär- und Replikatschlüssel in einem multiregionalen Schlüssel

Weitere Überlegungen für multiregionalen Schlüssel sind die folgenden:

Synchronisieren gemeinsam genutzter Eigenschaften — Wenn sich eine gemeinsame Eigenschaft der Schlüssel für mehrere Regionen ändert, AWS KMS wird die Änderung vom Primärschlüssel automatisch mit allen zugehörigen Replikatschlüsseln synchronisiert. Sie können eine Synchronisation von gemeinsam genutzten Eigenschaften nicht anfordern oder erzwingen. AWS KMS erkennt und synchronisiert alle Änderungen für Sie. Sie können die Synchronisation jedoch überprüfen, indem Sie das SynchronizeMultiRegionKeyEreignis in den CloudTrail Protokollen verwenden.

Wenn Sie beispielsweise die automatische Schlüsselrotation für einen symmetrischen Primärschlüssel mit mehreren Regionen aktivieren, wird diese Einstellung auf alle zugehörigen Replikatschlüssel AWS KMS kopiert. Wenn das Schlüsselmaterial gedreht wird, wird die Drehung zwischen allen verwandten multiregionalen Schlüsseln synchronisiert, sodass sie weiterhin dasselbe aktuelle Schlüsselmaterial haben und Zugriff auf alle älteren Versionen des Schlüsselmaterials haben. Wenn Sie einen neuen Replikatschlüssel erstellen, verfügt er über dasselbe aktuelle Schlüsselmaterial aller verwandten multiregionalen Schlüssel und Zugriff auf alle vorherigen Versionen des Schlüsselmaterials. Details hierzu finden Sie unter Drehen von multiregionalen Schlüsseln.

Ändern des Primärschlüssels – Jeder Satz von multiregionalen Schlüsseln muss genau einen Primärschlüssel haben. Der Primärschlüssel ist der einzige Schlüssel, der repliziert werden kann. Er ist auch die Quelle der gemeinsamen Eigenschaften seiner Replikatschlüssel. Sie können jedoch den Primärschlüssel in ein Replikat ändern und einen der Replikatschlüssel als Primärschlüssel heraufstufen. Sie können dies tun, damit Sie einen multiregionalen Primärschlüssel aus einer bestimmten Region löschen oder den Primärschlüssel in einer Region näher an den Projektadministratoren platzieren können. Details hierzu finden Sie unter Aktualisieren der primären Region.

Löschen von Schlüsseln mit mehreren Regionen — Wie bei allen KMS-Schlüsseln müssen Sie das Löschen von Schlüsseln mit mehreren Regionen planen, bevor Sie sie löschen. AWS KMS Solange der Schlüssel zur Löschung ansteht, können Sie ihn nicht in kryptografischen Operationen verwenden. Ein Primärschlüssel mit mehreren Regionen AWS KMS wird jedoch erst gelöscht, wenn alle zugehörigen Replikatschlüssel gelöscht wurden. Details hierzu finden Sie unter Löschen von multiregionalen Schlüsseln.

Konzepte

Die folgenden Begriffe und Konzepte werden mit multiregionalen Schlüsseln verwendet.

Multiregionaler Schlüssel

Ein multiregionaler Schlüssel ist einer von einer Reihe von KMS-Schlüsseln mit derselben Schlüssel-ID und demselben Schlüsselmaterial (und anderen gemeinsam genutzten Eigenschaften) in verschiedenen AWS-Regionen. Jeder multiregionale Schlüssel ist ein voll funktionsfähiger KMS-Schlüssel, der vollständig unabhängig von seinen verwandten multiregionalen Schlüsseln verwendet werden kann. Da alle zugehörigen Schlüssel für mehrere Regionen dieselbe Schlüssel-ID und dasselbe Schlüsselmaterial haben, sind sie interoperabel, d. h. jeder zugehörige Schlüssel für mehrere Regionen AWS-Region kann Chiffretext entschlüsseln, der mit einem anderen zugehörigen Schlüssel für mehrere Regionen verschlüsselt wurde.

Sie legen die multiregionale Eigenschaft eines KMS-Schlüssels fest, wenn Sie ihn erstellen. Sie können die multiregionale Eigenschaft für einen vorhandenen Schlüssel nicht ändern. Einzelregionale Schlüssel können nicht in multiregionale Schlüssel konvertiert werden oder umgekehrt. Um vorhandene Workloads in multiregionale Szenarien zu verschieben, müssen Sie die Daten erneut verschlüsseln oder neue Signaturen mit neuen multiregionalen Schlüsseln erstellen.

Ein Schlüssel mit mehreren Regionen kann symmetrisch oder asymmetrisch sein und er kann Schlüsselmaterial oder importiertes Schlüsselmaterial verwenden. AWS KMS Sie können keine multiregionale Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.

In einer Reihe von verwandten multiregionalen Schlüsseln gibt es zu jeder Zeit genau einen Primärschlüssel. Sie können Replikatschlüsseln dieses Primärschlüssels in anderen AWS-Regionen erstellen. Sie können auch die primäre Region aktualisieren, wodurch der Primärschlüssel in einen Replikatschlüssel und ein angegebener Replikatschlüssel in den Primärschlüssel geändert wird. Sie können jedoch jeweils nur einen Primärschlüssel oder Replikatschlüssel verwalten. AWS-Region Alle Regionen müssen sich in derselben AWS -Partition befinden.

Sie können mehrere Sätze von verwandten multiregionalen Schlüsseln in der gleichen oder in unterschiedlichen AWS-Regionen haben. Obwohl verwandte multiregionale Schlüssel interoperabel sind, sind unverwandte multiregionale Schlüssel nicht interoperabel.

Primärschlüssel

Ein Primärschlüssel mit mehreren Regionen ist ein KMS-Schlüssel, der in andere AWS-Regionen in derselben Partition repliziert werden kann. Jeder Satz von multiregionalen Schlüsseln hat nur einen Primärschlüssel.

Ein Primärschlüssel unterscheidet sich von einem Replikatschlüssel wie folgt:

Nur ein Primärschlüssel kann repliziert werden.
Der Primärschlüssel ist die Quelle für die gemeinsam genutzten Eigenschaften seiner Replikatschlüssel, einschließlich Schlüsselmaterial und Schlüssel-ID.
Sie können die automatische Schlüsseldrehung nur für einen Primärschlüssel aktivieren oder deaktivieren.
Sie können jederzeit das Löschen eines Primärschlüssels planen. Ein Primärschlüssel AWS KMS wird jedoch erst gelöscht, wenn alle seine Replikatschlüssel gelöscht sind.

Primär- und Replikatschlüssel unterscheiden sich jedoch nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden.

Sie müssen keinen Primärschlüssel replizieren. Sie können ihn genauso verwenden wie jeden KMS-Schlüssel und dabb replizieren, wenn es nützlich ist. Da multiregionale Schlüssel jedoch andere Sicherheitseigenschaften haben als einzelregionale Schlüssel, empfiehlt es sich, einen multiregionalen Schlüssel nur dann zu erstellen, wenn Sie ihn replizieren möchten.

Replikat-Schlüssel

Ein multiregionaler Replikatschlüssel ist ein KMS-Schlüssel, der die gleiche Schlüssel-ID und das gleiche Schlüsselmaterial wie sein Primärschlüssel und seine verwandten Replikatschlüsseln hat, aber in einer anderen AWS-Region existiert.

Ein Replikatschlüssel ist ein voll funktionsfähiger KMS-Schlüssel mit eigener Schlüsselrichtlinie und den eigenen Erteilungen, Aliasen, Tags und anderen Eigenschaften. Es handelt sich nicht um eine Kopie oder einen Zeiger auf den Primärschlüssel oder einen sonstigen Schlüssel. Sie können einen Replikatschlüssel auch dann verwenden, wenn sein Primärschlüssel und alle verwandte Replikatschlüssel deaktiviert sind. Sie können auch einen Replikatschlüssel in einen Primärschlüssel und einen Primärschlüssel in einen Replikatschlüssel konvertieren. Sobald er erstellt wurde, stützt sich ein Replikatschlüssel auf seinen Primärschlüssel nur zur Schlüsseldrehung und zum Aktualisieren der primären Region.

Primär- und Replikatschlüssel unterscheiden sich nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden. Daten, die durch einen Primär- oder Replikatschlüssel verschlüsselt werden, können durch denselben Schlüssel oder durch einen beliebigen verwandten Primär- oder Replikatschlüssel entschlüsselt werden.

Replicate

Sie können einen Primärschlüssel mit mehreren Regionen in einen anderen AWS-Region Primärschlüssel in derselben Partition replizieren. Wenn Sie dies tun, AWS KMS wird in der angegebenen Region ein Replikatschlüssel mit mehreren Regionen erstellt, der dieselbe Schlüssel-ID und andere gemeinsame Eigenschaften wie der Primärschlüssel hat. Dann transportiert es das Schlüsselmaterial sicher über die Regionsgrenze und ordnet es dem neuen Replikatschlüssel zu, alles innerhalb von AWS KMS.

Freigegebene Eigenschaften

Gemeinsam genutzte Eigenschaften sind Eigenschaften eines Primärschlüssels mit mehreren Regionen, die mit seinen Replikatschlüsseln gemeinsam genutzt werden. AWS KMS erstellt die Replikatschlüssel mit denselben gemeinsamen Eigenschaftswerten wie die des Primärschlüssels. Anschließend synchronisiert es regelmäßig die gemeinsamen Eigenschaftswerte des Primärschlüssels mit seinen Replikatschlüsseln. Sie können diese Eigenschaften nicht für einen Replikatschlüssel festlegen.

Im Folgenden sind die gemeinsamen Eigenschaften von multiregionalen Schlüsseln aufgeführt.

Schlüssel-ID – (Das Region-Element des Schüssel-ARN unterscheidet sich.)
Schlüsselmaterial
Ursprung des Schlüsselmaterials
Schlüsselspezifikation und Verschlüsselungsalgorithmen
Schlüsselnutzung
Automatische Schlüsseldrehung – Sie können die automatische Schlüsseldrehung nur für den Primärschlüssel aktivieren oder deaktivieren. Neue Replikatschlüssel werden mit allen Versionen des freigegebenen Schlüsselmaterials erstellt. Details hierzu finden Sie unter Drehen von multiregionalen Schlüsseln.
Rotation auf Anforderung — Sie können die Rotation auf Anforderung nur für den Primärschlüssel durchführen. Neue Replikatschlüssel werden mit allen Versionen des freigegebenen Schlüsselmaterials erstellt. Details hierzu finden Sie unter Drehen von multiregionalen Schlüsseln.

Sie können sich auch die Primär- und Replikatbezeichnungen verwandter Mehrbereichsschlüssel als gemeinsame Eigenschaften vorstellen. Wenn Sie neue Replikatschlüssel erstellen oder den Primärschlüssel aktualisieren, wird die Änderung mit allen zugehörigen Multiregions-Schlüsseln AWS KMS synchronisiert. Wenn diese Änderungen abgeschlossen sind, werden alle verwandte multiregionale Schlüssel ihren Primärschlüssel und die Replikatschlüssel korrekt auflisten.

Alle anderen Eigenschaften von multiregionalen Schlüsseln sind unabhängige Eigenschaften, einschließlich der Beschreibung, Schlüsselrichtlinie, Erteilungen, aktivierten und deaktivierten Schlüsselzustände, Aliasen und Tags. Sie können dieselben Werte für diese Eigenschaften für alle verwandte mutliregionale Schlüssel festlegen. Wenn Sie jedoch den Wert einer unabhängigen Eigenschaft ändern, wird dies von AWS KMS nicht synchronisiert.

Sie können die Synchronisierung der freigegebenen Eigenschaften Ihrer multiregionalen Schlüssel verfolgen. Suchen Sie in Ihrem AWS CloudTrail Protokoll nach dem Ereignis. SynchronizeMultiRegionKey

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Anzeigen von HMAC-Schlüsseln

Steuern des Zugriffs