Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen
<a name="multi-region-update"></a>

Jeder Satz verwandter multiregionaler Schlüssel muss über einen Primärschlüssel verfügen. Sie können jedoch den Primärschlüssel ändern. Diese Aktion, bekannt als *Aktualisieren der primären Region*, konvertiert den aktuellen Primärschlüssel in einen Replikatschlüssel und konvertiert einen der verwandten Replikatschlüssel in den Primärschlüssel. Sie können dies tun, wenn Sie den aktuellen Primärschlüssel löschen müssen, während die Replikatschlüssel beibehalten werden, oder um den Primärschlüssel in derselben Region wie die Schlüsseladministratoren zu platzieren.

Sie können einen beliebigen verwandten Replikatschlüssel als neuen Primärschlüssel auswählen. Sowohl der Primärschlüssel als auch der Replikatschlüssel müssen sich im [Schlüsselstatus](key-state.md) `Enabled` befinden, wenn die Operation gestartet wird. 

**Der `Updating` Schlüsselstatus**  
Auch nach Abschluss des `UpdatePrimaryRegion` Vorgangs dauert die Aktualisierung der primären Region möglicherweise noch einige Sekunden. Während dieser Zeit haben der alte und der neue Primärschlüssel den vorübergehenden Schlüsselstatus [Updating](#update-primary-keystate). Während der Schlüsselstatus lautet `Updating` ist, können Sie die Schlüssel in kryptografischen Vorgängen verwenden, aber Sie können den neuen Primärschlüssel nicht replizieren oder bestimmte Verwaltungsvorgänge ausführen, wie z. B. das Aktivieren oder Deaktivieren dieser Schlüssel. Bei Vorgängen werden [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)möglicherweise sowohl der alte als auch der neue Primärschlüssel als Replikate angezeigt. Die `Enabled`-Schlüsselstatus wird wiederhergestellt, wenn die Aktualisierung abgeschlossen ist.   
Informationen zu den Auswirkungen des `Updating`-Schlüsselstatus finden Sie unter [Wichtige Zustände von AWS KMS Schlüsseln](key-state.md).

**Funktionsweise**  
Angenommen, Sie haben einen Primärschlüssel in USA Ost (Nord-Virginia) (us-east-1) und einen Replikatschlüssel in Europa (Irland) (eu-west-1). Sie können die Aktualisierungsfunktion verwenden, um den Primärschlüssel in USA Ost (Nord-Virginia) (us-east-1) in einen Replikatschlüssel zu ändern und den Replikatschlüssel in Europa (Irland) (eu-west-1) in den Primärschlüssel zu ändern.   

![\[Aktualisieren des Primärschlüssels\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-keys-update-sm.png)

Wenn der Aktualisierungsvorgang abgeschlossen ist, ist der multiregionaler Schlüssel in der Region Europa (Irland) (eu-west-1) ein multiregionaler Primärschlüssel und der Schlüssel in der Region USA Ost (Nord-Virginia) (us-east-1) ist sein Replikatschlüssel. Wenn andere verwandte Replikatschlüssel vorhanden sind, werden sie zu Replikaten des neuen Primärschlüssels. Beim nächsten AWS KMS Synchronisieren der gemeinsamen Eigenschaften der Schlüssel mit mehreren Regionen werden die [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) aus dem neuen Primärschlüssel abgerufen und in die zugehörigen Replikatschlüssel kopiert, einschließlich des vorherigen Primärschlüssels.   
Der Aktualisierungsvorgang hat keine Auswirkungen auf den [Schüssel-ARN](concepts.md#key-id-key-ARN) eines beliebigen multiregionalen Schlüssels. Es hat auch keine Auswirkungen auf gemeinsame Eigenschaften, wie das Schlüsselmaterial, oder auf unabhängige Eigenschaften, wie die Schlüsselrichtlinie. Sie können ggf. die Schlüsselrichtlinie des neuen Primärschlüssels [aktualisieren](key-policy-modifying.md). Sie könnten zum Beispiel dem neuen Primärschlüssel [kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) Permission for Trusted Principals hinzufügen und ihn aus dem neuen Replikatschlüssel entfernen.

## Aktualisieren Sie die primäre Region
<a name="update-primary-region"></a>

Sie können einen Replikatschlüssel in einen Primärschlüssel konvertieren, wodurch der frühere Primärschlüssel in ein Replikat umgewandelt wird. Um die primäre Region zu aktualisieren, benötigen Sie in beiden Regionen die UpdatePrimaryRegion Berechtigung [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html).

Sie können die primäre Region in der AWS KMS Konsole oder mithilfe des [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)Vorgangs aktualisieren.

### Mithilfe der AWS KMS Konsole
<a name="update-primary-console"></a>

Sie können den Primärschlüssel in der AWS KMS Konsole aktualisieren. Starten Sie auf der Seite mit den Schlüsseldetails des aktuellen Primärschlüssels.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Wählen Sie die Schlüssel-ID oder den Alias des [multiregionalen Primärschlüssels](multi-region-keys-overview.md#mrk-primary-key) aus. Dadurch wird die Seite mit den Schlüsseldetails des Primärschlüssels geöffnet.

   Um einen multiregionalen Primärschlüssel zu identifizieren, verwenden Sie das Werkzeugsymbol in der oberen rechten Ecke, um die Spalte **Regionality (Regionalität)** zur Tabelle hinzuzufügen.

1. Wählen Sie die Registerkarte **Regionality (Regionalität)** aus.

1. In dem Abschnitt **Primary key (Primärschlüssel)** wählen Sie **Change primary Region (primäre Region ändern)** aus.

1. Wählen Sie die Region des neuen Primärschlüssels aus. Sie können nur eine Region aus dem Menü auswählen. 

   Das Menü **Change primary Regions (primären Regionen ändern)** enthält nur Regionen, die über einen verwandten multiregionalen Schlüssel verfügen. Möglicherweise haben Sie nicht die [Berechtigung zum Aktualisieren der primären Region](multi-region-keys-auth.md#mrk-auth-update) in allen Regionen auf dem Menü.

1. Wählen Sie **Change primary region (Primäre Region ändern)** aus.

### Verwenden der API AWS KMS
<a name="update-primary-api"></a>

Verwenden Sie den [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)Vorgang, um den Primärschlüssel in einer Reihe verwandter Schlüssel für mehrere Regionen zu ändern.

Verwenden Sie den `KeyId`-Parameter, um den aktuellen Primärschlüssel zu identifizieren. Verwenden Sie den `PrimaryRegion` Parameter, um den AWS-Region des neuen Primärschlüssels anzugeben. Wenn der Primärschlüssel noch kein Replikat in der neuen primären Region hat, schlägt die Operation fehl.

Im folgenden Beispiel wird der Primärschlüssel aus dem multiregionalen Schlüssel in der `us-west-2`-Region zu seinem Replikat im `eu-west-1`-Region geändert. Der `KeyId`-Parameter identifiziert den aktuellen Primärschlüssel in der Region `us-west-2`. Der `PrimaryRegion` Parameter gibt den AWS-Region des neuen Primärschlüssels an,`eu-west-1`.

```
$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1
```

Wenn diese Operation erfolgreich ist, gibt sie keine Ausgabe zurück, sondern nur den HTTP-Statuscode. Um den Effekt zu sehen, rufen Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang für einen der Multi-Region-Schlüssel auf. Möglicherweise möchten Sie warten, bis der Schlüsselstatus zu `Enabled` zurückkehrt. Während der Schlüsselstatus [Updating](#update-primary-keystate) ist, befinden sich die Werte für den Schlüssel möglicherweise noch im Fluss.

Beispielsweise erhält der folgenden `DescribeKey`-Aufruf die Details über den multiregionalen Schlüssel in der `eu-west-1`-Region. Die Ausgabe zeigt, dass der multiregionale Schlüssel in der Region `eu-west-1` ist jetzt der Primärschlüssel. Der verwandte multiregionale Schlüssel (gleiche Schlüssel-ID) in der Region `us-west-2` ist jetzt ein Replikatschlüssel.

```
$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}
```