Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kunci Multi-Region di AWS KMS
AWS KMS mendukung kunci Multi-region, yang berbeda Wilayah AWS yang dapat digunakan AWS KMS keys secara bergantian — seolah-olah Anda memiliki kunci yang sama di beberapa Wilayah. Setiap set kunci Multi-wilayah terkait memiliki materi kunci dan ID kunci yang sama, sehingga Anda dapat mengenkripsi data dalam satu Wilayah AWS dan mendekripsi dengan cara yang berbeda Wilayah AWS tanpa mengenkripsi ulang atau melakukan panggilan lintas wilayah. AWS KMS
Seperti semua KMS kunci, kunci multi-wilayah tidak pernah dibiarkan tidak AWS KMS terenkripsi. Anda dapat membuat kunci Multi-region simetris atau asimetris untuk enkripsi atau penandatanganan, membuat kunci HMAC Multi-region untuk membuat dan memverifikasi HMAC tag, dan membuat kunci Multi-region dengan materi kunci impor atau materi kunci yang dihasilkan. AWS KMS Anda harus mengelola setiap kunci multi-Wilayah secara independen, termasuk membuat alias dan tag, menetapkan kebijakan dan izin kuncinya, serta mengaktifkan dan menonaktifkannya secara selektif. Anda dapat menggunakan kunci multi-Wilayah di semua operasi kriptografi yang dapat Anda lakukan dengan kunci Wilayah tunggal.
Kunci multi-Wilayah adalah solusi fleksibel dan canggih untuk berbagai skenario keamanan data umum.
- Pemulihan bencana
-
Dalam arsitektur pencadangan dan pemulihan, kunci Multi-region memungkinkan Anda memproses data terenkripsi tanpa gangguan bahkan jika terjadi pemadaman. Wilayah AWS Data yang dikelola di Wilayah backup dapat didekripsi di Wilayah backup, dan data yang baru dienkripsi di Wilayah backup dapat didekripsi di Wilayah utama saat Wilayah tersebut dipulihkan.
- Pengelolaan data global
-
Bisnis yang beroperasi secara global memerlukan data yang terdistribusi secara global yang tersedia secara konsisten di seluruh Wilayah AWS. Anda dapat membuat kunci multi-Wilayah di semua Wilayah di mana data Anda berada, kemudian gunakan kunci selayaknya kunci Wilayah tunggal tanpa latensi panggilan lintas Wilayah atau biaya enkripsi ulang data di berdasarkan kunci yang berbeda di setiap Wilayah.
- Aplikasi penandatanganan terdistribusi
-
Aplikasi yang memerlukan kemampuan tanda tangan lintas Wilayah dapat menggunakan kunci penandatanganan asimetris multi-Wilayah untuk menghasilkan tanda tangan digital identik secara konsisten dan berulang kali di Wilayah AWS yang berbeda.
Jika Anda menggunakan rantai sertifikat dengan satu toko kepercayaan global (untuk satu otoritas sertifikat root (CA), dan perantara Regional yang CAs ditandatangani oleh root CA, Anda tidak memerlukan kunci Multi-wilayah. Namun, jika sistem Anda tidak mendukung perantaraCAs, seperti penandatanganan aplikasi, Anda dapat menggunakan kunci Multi-wilayah untuk membawa konsistensi ke sertifikasi Regional.
- Aplikasi Active-Active yang menjangkau beberapa Wilayah
-
Beberapa beban kerja dan aplikasi dapat mencakup beberapa Wilayah dalam arsitektur Active-Active. Untuk aplikasi ini, kunci multi-Wilayah dapat mengurangi kompleksitas dengan menyediakan materi kunci yang sama untuk mengenkripsi dan mendekripsi operasi bersamaan pada data yang mungkin bergerak melintasi batas Wilayah.
Anda dapat menggunakan kunci Multi-region dengan pustaka enkripsi sisi klien, seperti Enkripsi AWS Database AWS Encryption SDK, dan enkripsi sisi klien SDK Amazon S3.
AWS layanan yang terintegrasi dengan AWS KMS
Kunci multi-Wilayah tidak bersifat global. Anda membuat kunci primer multi-Wilayah, kemudian mereplikasi ke dalam Wilayah yang Anda pilih dalam partisi AWS. Kemudian, Anda mengelola kunci multi-Wilayah di setiap Wilayah secara independen. Tidak AWS AWS KMS pernah secara otomatis membuat atau mereplikasi kunci Multi-wilayah ke Wilayah mana pun atas nama Anda. Kunci yang dikelola AWS, KMS kunci yang dibuat AWS layanan di akun Anda untuk Anda, selalu merupakan kunci wilayah tunggal.
Anda tidak dapat mengonversi kunci Wilayah tunggal yang ada menjadi kunci multi-Wilayah. Desain ini memastikan bahwa semua data yang dilindungi dengan kunci Wilayah tunggal yang ada mempertahankan residensi data dan properti kedaulatan data yang sama.
Untuk sebagian besar kebutuhan keamanan data, isolasi Regional dan toleransi kesalahan sumber daya Regional menjadikan kunci AWS KMS Single-region standar sebagai solusi yang paling sesuai. Namun, ketika Anda perlu untuk mengenkripsi atau menandatangani data dalam aplikasi sisi klien di beberapa Wilayah, kunci multi-Wilayah mungkin solusi yang cocok.
Daerah
Kunci Multi-Region didukung di semua Wilayah AWS yang AWS KMS mendukung kecuali China (Beijing) dan China (Ningxia).
Harga dan kuota
Setiap kunci dalam satu set kunci Multi-wilayah terkait dihitung sebagai satu KMS kunci untuk harga dan kuota. AWS KMS kuota dihitung secara terpisah untuk setiap Wilayah akun. Penggunaan dan pengelolaan kunci multi-Wilayah di setiap Wilayah dihitung terhadap kuota untuk Wilayah tersebut.
Jenis KMS kunci yang didukung
Anda dapat membuat jenis KMS kunci Multi-region berikut:
-
Kunci enkripsi KMS simetris
-
Kunci asimetris KMS
-
HMACKMSkunci
-
KMSkunci dengan bahan kunci impor
Anda tidak dapat membuat kunci multi-Wilayah di penyimpanan kunci kustom.
Pelajari selengkapnya
-
Untuk mempelajari cara mengontrol akses ke KMS tombol Multi-region, lihatKontrol akses ke tombol Multi-wilayah.
-
Untuk membuat KMS kunci utama Multi-region dari jenis apa pun, lihatBuat kunci utama Multi-wilayah.
-
Untuk membuat KMS kunci replika Multi-wilayah, lihat. Buat kunci replika Multi-wilayah
-
Untuk memperbarui Wilayah utama, lihatUbah kunci utama dalam satu set kunci Multi-wilayah.
-
Untuk mengidentifikasi dan melihat KMS kunci Multi-wilayah, lihatIdentifikasi HMAC KMS kunci.
-
Untuk mempelajari tentang pertimbangan khusus untuk menghapus KMS kunci Multi-region, lihat. Deleting multi-Region keys
Terminologi dan konsep
Istilah dan konsep berikut digunakan dengan kunci multi-Wilayah.
Kunci multi-Wilayah
Kunci Multi-region adalah salah satu dari sekumpulan KMS kunci dengan ID kunci dan materi kunci yang sama (dan properti bersama lainnya) yang berbeda Wilayah AWS. Setiap kunci Multi-region adalah kunci yang berfungsi penuh yang dapat digunakan sepenuhnya secara independen dari KMS kunci Multi-region terkait. Karena semua kunci Multi-wilayah terkait memiliki ID kunci dan materi kunci yang sama, kunci tersebut dapat dioperasikan, yaitu, kunci Multi-wilayah terkait di mana pun Wilayah AWS dapat mendekripsi ciphertext yang dienkripsi oleh kunci Multi-wilayah terkait lainnya.
Anda mengatur properti Multi-region KMS kunci saat Anda membuatnya. Anda tidak dapat mengubah properti Multi-region pada kunci yang ada. Anda tidak dapat mengonversi kunci Single-region menjadi kunci Multi-region atau mengonversi kunci Multi-region menjadi kunci Single-region. Untuk memindahkan beban kerja yang ada ke dalam skenario Multi-wilayah, Anda harus mengenkripsi ulang data Anda atau membuat tanda tangan baru dengan kunci Multi-wilayah baru.
Kunci multi-wilayah dapat simetris atau asimetris dan dapat menggunakan bahan kunci atau bahan AWS KMS kunci impor. Anda tidak dapat membuat kunci multi-Wilayah di penyimpanan kunci kustom.
Dalam satu set kunci multi-Wilayah terkait, ada persis satu kunci primer pada setiap saat. Anda dapat membuat kunci replika dari kunci primer tersebut di Wilayah AWS lain. Anda juga dapat memperbarui wilayah primer, yang mengubah kunci primer untuk kunci replika dan perubahan kunci replika tertentu untuk kunci primer. Namun, Anda hanya dapat mempertahankan satu kunci utama atau kunci replika di masing-masing Wilayah AWS. Semua Wilayah harus berada dalam partisi AWS yang sama.
Anda dapat memiliki beberapa kumpulan kunci multi-Wilayah terkait di Wilayah AWS yang sama atau berbeda. Meskipun kunci multi-Wilayah terkait interoperable, kunci multi-Wilayah yang tidak terkait tidak dapat dioperasikan.
Kunci primer
Kunci utama Multi-region adalah KMS kunci yang dapat direplikasi ke yang lain Wilayah AWS di partisi yang sama. Setiap set kunci multi-Wilayah hanya memiliki satu kunci primer.
Kunci utama berbeda dari kunci replika dengan cara berikut:
-
Hanya kunci primer yang dapat direplika.
-
Kunci utama adalah sumber untuk properti bersama dari replika kuncinya, termasuk materi kunci dan ID kunci.
-
Anda dapat mengaktifkan dan menonaktifkan rotasi kunci otomatis hanya pada kunci primer.
-
Anda dapat menjadwalkan penghapusan kunci primer pada setiap saat. Tetapi tidak AWS KMS akan menghapus kunci utama sampai semua kunci replika dihapus.
Namun, kunci primer dan replika tidak berbeda dalam properti kriptografi apa pun. Anda dapat menggunakan kunci utama dan kunci replika secara bergantian.
Anda tidak perlu mereplikasi kunci primer. Anda dapat menggunakannya seperti halnya KMS kunci apa pun dan mereplikasi jika dan kapan itu berguna. Namun, karena kunci Multi-region memiliki properti keamanan yang berbeda dari kunci Single-region, sebaiknya Anda membuat kunci Multi-region hanya jika Anda berencana untuk mereplikasi kunci tersebut.
Kunci replika
Kunci replika Multi-region adalah KMS kunci yang memiliki ID kunci dan materi kunci yang sama dengan kunci utama dan kunci replika terkait, tetapi ada dalam kunci yang berbeda. Wilayah AWS
Kunci replika adalah kunci yang berfungsi penuh dengan kebijakan KMS kunci, hibah, alias, tag, dan properti lainnya. Ini bukan salinan atau pointer ke kunci primer atau kunci lainnya. Anda dapat menggunakan kunci replika bahkan jika kunci primer dan semua kunci replika terkait dinonaktifkan. Anda juga dapat mengkonversi kunci replika untuk kunci primer dan kunci primer untuk kunci replika. Setelah dibuat, kunci replika bergantung pada kunci primernya hanya untuk rotasi kunci dan memperbarui Wilayah primer.
Kunci primer dan replika tidak berbeda dalam properti kriptografi apa pun. Anda dapat menggunakan kunci utama dan kunci replika secara bergantian. Data yang dienkripsi oleh kunci primer atau replika dapat didekripsi dengan kunci yang sama, atau oleh kunci primer atau replika terkait.
Replikasi
Anda dapat mereplikasi kunci utama Multi-region menjadi yang berbeda Wilayah AWS di partisi yang sama. Bila Anda melakukannya, AWS KMS buat kunci replika Multi-region di Region yang ditentukan dengan ID kunci yang sama dan properti bersama lainnya sebagai kunci utamanya. Kemudian, kunci dengan aman mengirim materi kunci di seluruh batas Wilayah dan mengaitkannya dengan kunci replika baru di Wilayah tujuan, semua dalam AWS KMS.
Properti bersama
Properti bersama adalah properti kunci utama Multi-wilayah yang dibagikan dengan kunci replika. AWS KMS membuat kunci replika dengan nilai properti bersama yang sama dengan kunci utama. Kemudian, secara berkala menyinkronkan nilai properti bersama kunci primer untuk kunci replika. Anda tidak dapat mengatur properti ini pada kunci replika.
Berikut ini adalah properti bersama dari kunci multi-Wilayah.
-
Spesifikasi kunci dan algoritme enkripsi
-
Rotasi kunci otomatis — Anda dapat mengaktifkan dan menonaktifkan rotasi kunci otomatis hanya pada kunci primer. Kunci replika baru dibuat dengan semua versi dari materi kunci bersama. Untuk detailnya, lihat Rotating multi-Region keys.
-
Rotasi sesuai permintaan — Anda dapat melakukan rotasi sesuai permintaan hanya pada kunci utama. Kunci replika baru dibuat dengan semua versi dari materi kunci bersama. Untuk detailnya, lihat Rotating multi-Region keys.
Anda juga dapat memikirkan sebutan primer dan replika kunci multi-Wilayah terkait sebagai properti bersama. Saat Anda membuat kunci replika baru atau memperbarui kunci utama, AWS KMS menyinkronkan perubahan ke semua kunci Multi-wilayah terkait. Ketika perubahan ini selesai, semua kunci multi-Wilayah terkait mencantumkan kunci primer dan replikanya secara akurat.
Semua properti lain dari kunci multi-Wilayah adalah properti independen, termasuk deskripsi, kebijakan kunci, izin, status kunci diaktifkan dan dinonaktifkan, alias, dan tag. Anda dapat mengatur nilai yang sama untuk properti ini pada semua kunci multi-Wilayah terkait, tetapi jika Anda mengubah nilai properti independen, AWS KMS tidak menyinkronkannya.
Anda dapat melacak sinkronisasi properti bersama kunci multi-Wilayah Anda. Di AWS CloudTrail log Anda, cari SynchronizeMultiRegionKeyacara tersebut.
