Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat kunci utama Multi-wilayah
Anda dapat membuat kunci utama Multi-wilayah di AWS KMS konsol atau dengan menggunakan tombol. AWS KMS API Anda dapat membuat kunci utama di Wilayah AWS mana saja yang AWS KMS mendukung kunci Multi-wilayah.
Untuk membuat kunci primer Multi-wilayah, prinsipal memerlukan izin yang sama dengan yang mereka perlukan untuk membuat KMS kunci apa pun, termasuk CreateKey izin kms: dalam kebijakan. IAM Kepala sekolah juga membutuhkan iam: CreateServiceLinkedRole izin. Anda dapat menggunakan kms: MultiRegionKeyType condition key untuk mengizinkan atau menolak izin untuk membuat kunci utama Multi-region.
Untuk membuat kunci utama Multi-wilayah di AWS KMS konsol, gunakan proses yang sama yang akan Anda gunakan untuk membuat KMS kunci apa pun.. Anda memilih kunci multi-Wilayah di Opsi lanjutan. Untuk instruksi selengkapnya, lihat Buat KMS kunci.
penting
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih Buat kunci.
-
Pilih jenis kunci simetris atau asimetris. Tombol simetris adalah default.
Anda dapat membuat kunci simetris dan asimetris multi-wilayah, termasuk tombol Multi-region HMACKMS, yang simetris.
-
Pilih penggunaan kunci Anda. Enkripsi dan dekripsi adalah default.
Untuk bantuan, lihatBuat KMS kunci,Buat kunci asimetris KMS, atauBuat HMAC KMS kunci.
-
Perluas Opsi lanjutan.
-
Di bawah Asal material utama, untuk AWS KMS menghasilkan materi kunci yang akan dibagikan kunci utama dan replika Anda, pilih KMS. Jika Anda mengimpor materi kunci ke kunci primer dan replika, pilih Eksternal (Impor bahan kunci).
-
Di bawah Regionalitas, pilih Multi-Region key.
Anda tidak dapat mengubah pengaturan ini setelah Anda membuat KMS kunci.
-
Ketik alias untuk kunci utama.
Alias bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.
catatan
Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci. KMS Untuk detailnya, lihat ABACuntuk AWS KMS dan Gunakan alias untuk mengontrol akses ke kunci KMS.
-
(Opsional) Ketik deskripsi kunci utama.
Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.
-
(Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci utama, pilih Tambah tag.
Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag kunci Multi-wilayah. Anda dapat mengubah tag pada KMS tombol kapan saja.
catatan
Menandai atau melepas tag KMS kunci dapat mengizinkan atau menolak izin ke kunci. KMS Untuk detailnya, lihat ABACuntuk AWS KMS dan Gunakan tag untuk mengontrol akses ke KMS tombol.
-
Pilih IAM pengguna dan peran yang dapat mengelola kunci utama.
catatan
IAMkebijakan dapat memberikan izin kepada IAM pengguna dan peran lain untuk mengelola KMS kunci.
IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
Langkah ini memulai proses pembuatan kebijakan kunci untuk kunci utama. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan kunci kunci Multi-region. Anda dapat mengubah kebijakan kunci KMS kunci kapan saja.
-
Selesaikan langkah-langkah untuk membuat kebijakan utama, termasuk memilih pengguna utama. Setelah Anda meninjau kebijakan kunci, pilih Selesai untuk membuat KMS kunci.
Untuk membuat kunci primer Multi-wilayah, gunakan CreateKeyoperasi. Gunakan parameter MultiRegion dengan nilai True.
Misalnya, perintah berikut membuat kunci utama Multi-region di pemanggil ( Wilayah AWS us-east-1). Ia menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci. Nilai default untuk kunci primer Multi-region sama dengan nilai default untuk semua KMS kunci lainnya, termasuk kebijakan kunci default. Prosedur ini menciptakan kunci enkripsi simetris, KMS kunci default.
Tanggapan meliputi elemen MultiRegion dan elemen MultiRegionConfiguration dengan sub-elemen khas dan nilai untuk kunci primer multi-Wilayah tanpa kunci replika. ID kunci dari kunci multi-wilayah selalu dimulai dengan mrk-.
penting
Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
aws kms create-key --multi-region${ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }
