Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara kerja kunci multi-Wilayah
Anda mulai dengan membuat kunci primer Multi-wilayah simetris atau asimetris dalam Wilayah AWS yang AWS KMS mendukung, seperti US East (Virginia N.). Anda memutuskan apakah kunci adalah Wilayah tunggal atau multi-Wilayah hanya ketika Anda membuatnya; Anda tidak dapat mengubah properti ini nanti. Seperti halnya KMS kunci apa pun, Anda menetapkan kebijakan kunci untuk kunci Multi-wilayah, dan Anda dapat membuat hibah, serta menambahkan alias dan tag untuk kategorisasi dan otorisasi. (Ini adalah Properti independen yang tidak dibagikan atau disinkronkan dengan kunci lainnya.) Anda dapat menggunakan kunci primer multi-Wilayah Anda dalam operasi kriptografi untuk enkripsi atau penandatanganan.
Anda dapat membuat kunci utama Multi-region di AWS KMS konsol atau dengan menggunakan MultiRegion parameter yang CreateKeyAPIdisetel ketrue. Perhatikan bahwa kunci multi-Wilayah memiliki ID kunci khas yang dimulai dengan mrk-. Anda dapat menggunakan mrk- awalan untuk mengidentifikasi secara MRKs terprogram.
Jika Anda memilih, Anda dapat mereplikasi kunci utama Multi-wilayah menjadi satu atau lebih yang berbeda Wilayah AWS di AWS partisi yang sama, seperti Eropa (Irlandia). Bila Anda melakukannya, AWS KMS buat kunci replika di Wilayah tertentu dengan ID kunci yang sama dan properti bersama lainnya sebagai kunci utama. Kemudian dengan aman mengangkut materi utama melintasi batas Wilayah dan mengaitkannya dengan KMS kunci baru di Wilayah tujuan, semuanya di dalamnya. AWS KMS Hasilnya adalah dua kunci multi-Wilayah terkait — kunci primer dan kunci replika — yang dapat digunakan secara bergantian.
Anda dapat membuat kunci replika Multi-wilayah di AWS KMS konsol atau dengan menggunakan tombol. ReplicateKeyAPI
Kunci replika Multi-wilayah yang dihasilkan adalah kunci yang berfungsi penuh dengan properti bersama yang sama dengan KMS kunci utama. Dalam semua hal lain, ini adalah KMS kunci independen dengan deskripsi, kebijakan kunci, hibah, alias, dan tag sendiri. Mengaktifkan atau menonaktifkan kunci multi-Wilayah tidak berpengaruh pada kunci multi-Wilayah terkait. Anda dapat menggunakan kunci primer dan replika secara independen dalam operasi kriptografi atau mengoordinasikan penggunaannya. Misalnya, Anda dapat mengenkripsi data dengan kunci primer di Wilayah US East (N. Virginia), memindahkan data ke Wilayah Eropa (Irlandia) dan menggunakan kunci replika untuk mendekripsi data.
Kunci multi-Wilayah terkait memiliki ID kunci yang sama. Kunci mereka ARNs (Nama Sumber Daya Amazon) hanya berbeda di bidang Wilayah. Misalnya, kunci primer Multi-region dan kunci replika mungkin memiliki kunci contoh berikut. ARNs ID kunci — elemen terakhir dalam kunci ARN — identik. Kedua kunci memiliki ID kunci khas dari kunci Multi-wilayah, yang dimulai dengan mrk-.
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Memiliki ID kunci yang sama yang diperlukan untuk interoperabilitas. Saat mengenkripsi, AWS KMS mengikat ID kunci KMS kunci ke ciphertext sehingga ciphertext dapat didekripsi hanya dengan kunci itu atau kunci dengan ID KMS kunci yang sama. KMS Fitur ini juga membuat kunci multi-Wilayah terkait mudah dikenali, dan membuatnya lebih mudah untuk menggunakannya secara bergantian. Misalnya, ketika menggunakannya dalam aplikasi, Anda dapat merujuk ke kunci multi-Wilayah terkait dengan ID kunci bersama mereka. Kemudian, jika perlu, tentukan Wilayah atau ARN untuk membedakannya.
Saat data Anda perlu berubah, Anda dapat mereplikasi kunci utama ke yang lain Wilayah AWS di partisi yang sama, seperti US West (Oregon) dan Asia Pasifik (Sydney). Hasilnya adalah empat kunci Multi-region terkait dengan bahan kunci dan kunci yang samaIDs, seperti yang ditunjukkan pada diagram berikut. Anda mengelola kunci secara terpisah. Anda dapat menggunakannya secara terpisah atau secara terkoordinasi. Misalnya, Anda dapat mengenkripsi data dengan kunci replika di Asia Pacific (Sydney), memindahkan data ke US West (Oregon), dan mendekripsi dengan kunci replika di US West (Oregon).
Pertimbangan lain untuk kunci multi-Wilayah termasuk berikut ini.
Menyinkronkan properti bersama - Jika properti bersama dari kunci Multi-region berubah, AWS KMS secara otomatis menyinkronkan perubahan dari kunci utama ke semua kunci replika. Anda tidak dapat meminta atau memaksa sinkronisasi properti bersama. AWS KMS mendeteksi dan menyinkronkan semua perubahan untuk Anda. Namun, Anda dapat mengaudit sinkronisasi dengan menggunakan SynchronizeMultiRegionKeyperistiwa di CloudTrail log.
Misalnya, jika Anda mengaktifkan rotasi tombol otomatis pada kunci primer Multi-wilayah simetris, AWS KMS salin pengaturan itu ke semua kunci replika. Ketika materi kunci diputar, rotasi disinkronkan di antara semua kunci multi-Wilayah terkait, sehingga mereka terus memiliki materi kunci saat ini yang sama, dan akses ke semua versi lama dari materi kunci. Jika Anda membuat kunci replika baru, ia memiliki bahan kunci saat ini sama dari semua kunci multi-Wilayah terkait dan akses ke semua versi sebelumnya dari materi kunci. Untuk detailnya, lihat Rotating multi-Region keys.
Mengubah kunci primer — Setiap set kunci multi-Wikayah harus memiliki tepatnya satu kunci utama. Parameter kunci primer adalah satu-satunya kunci yang dapat direplikasi. Ini juga merupakan sumber properti bersama dari kunci replika. Tapi Anda dapat mengubah kunci primer untuk replika dan mempromosikan salah satu kunci replika untuk primer. Anda dapat melakukannya sehingga Anda dapat menghapus kunci primer multi-Wilayah dari Wilayah tertentu, atau menemukan kunci utama di Wilayah yang lebih dekat dengan administrator proyek. Untuk detailnya, lihat Ubah kunci utama dalam satu set kunci Multi-wilayah.
Menghapus tombol Multi-region — Seperti semua KMS kunci, Anda harus menjadwalkan penghapusan kunci Multi-region sebelum menghapusnya. AWS KMS Saat kunci menunggu penghapusan, Anda tidak dapat menggunakannya dalam operasi kriptografi apapun. Namun, tidak AWS KMS akan menghapus kunci utama Multi-wilayah sampai semua kunci replika dihapus. Untuk detailnya, lihat Deleting multi-Region keys.
