Membuat kunci replika multi-Wilayah - AWS Key Management Service
Wilayah ReplikaMembuat kunci replika (konsol)Membuat kunci replika (API AWS KMS)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kunci replika multi-Wilayah

Anda dapat membuat kunci replika Multi-region di AWS KMS konsol, dengan menggunakan ReplicateKeyoperasi, atau dengan menggunakan template. AWS CloudFormation Anda tidak dapat menggunakan CreateKeyoperasi untuk membuat kunci replika.

Anda dapat menggunakan prosedur ini untuk mereplikasi kunci utama Multi-region, termasuk kunci KMS enkripsi simetris, kunci KMSasimetris, atau kunci KMS HMAC.

Ketika operasi ini selesai, kunci replika baru memiliki status kunci sementara dari Creating. Status kunci ini berubah menjadi Enabled (atau PendingImport) setelah beberapa detik ketika proses pembuatan kunci replika baru selesai. Sementara status kunci adalah Creating, Anda dapat mengelola kunci, tetapi Anda belum bisa menggunakannya dalam operasi kriptografi. Jika Anda membuat dan menggunakan kunci replika secara terprogram, coba lagi KMSInvalidStateException atau panggil DescribeKeyuntuk memeriksa KeyState nilainya sebelum menggunakannya.

Jika Anda salah menghapus kunci replika, Anda dapat menggunakan prosedur ini untuk membuatnya kembali. Jika Anda mereplikasi kunci utama yang sama di Wilayah yang sama, kunci replika baru yang Anda buat akan memiliki properti bersama yang sama dengan kunci replika asli.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Pelajari selengkapnya

Wilayah Replika

Anda biasanya memilih untuk mereplikasi kunci multi-Wilayah ke Wilayah AWSberdasarkan model bisnis dan persyaratan peraturan Anda. Misalnya, Anda mungkin mereplikasi kunci ke Wilayah di mana Anda menyimpan sumber daya Anda. Atau, untuk memenuhi persyaratan pemulihan bencana, Anda mungkin mereplikasi kunci ke Wilayah yang jauh secara geografis.

Berikut ini adalah persyaratan AWS KMS untuk replika Wilayah. Jika Wilayah yang Anda pilih tidak sesuai dengan persyaratan ini, upaya untuk mereplikasi kunci gagal.

  • Satu kunci multi-wilayah terkait per Wilayah — Anda tidak dapat membuat kunci replika di Wilayah yang sama dengan kunci primernya, atau di Wilayah yang sama dengan replika kunci primer lainnya.

    Jika Anda mencoba mereplikasi kunci utama di Wilayah yang sudah memiliki replika kunci utama itu, upaya gagal. Jika kunci replika saat ini di Wilayah berada dalam status PendingDeletion kunci, Anda dapat membatalkan penghapusan kunci replika atau menunggu hingga kunci replika dihapus.

  • Beberapa kunci multi-wilayah yang tidak terkait di Wilayah yang sama — Anda dapat memiliki beberapa kunci multi-Wilah yang tidak terkait di Wilayah yang sama. Misalnya, Anda dapat memiliki dua kunci primer multi-Wilayah di Wilayah us-east-1. Masing-masing kunci primer dapat memiliki kunci replika di Wilayah us-west-2.

  • Wilayah di partisi yang sama — Kunci replika Wilayah harus berada di partisi AWS yang sama dengan kunci primer Wilayah.

  • Wilayah harus diaktifkan — Jika Wilayah dinonaktifkan secara default, Anda tidak dapat membuat sumber daya apa pun di Wilayah tersebut sampai Wilayah diaktifkan untuk Akun AWS Anda.

Membuat kunci replika (konsol)

Di konsol AWS KMS tersebut, Anda dapat membuat satu atau banyak replika kunci primer multi-Wilayah dalam operasi yang sama.

Prosedur ini mirip dengan membuat kunci KMS wilayah tunggal standar di konsol. Namun, karena kunci replika didasarkan pada kunci primer, Anda tidak memilih nilai untuk properti bersama, seperti spesifikasi kunci (simetris atau asimetris), penggunaan kunci, atau asal kunci.

Anda menentukan properti yang tidak dibagi, termasuk alias, tanda, deskripsi, dan kebijakan kunci. Sebagai kenyamanan, konsol tersebut menampilkan nilai properti saat ini dari kunci primer, namun Anda dapat mengubahnya. Bahkan jika Anda menyimpan nilai-nilai kunci primer, AWS KMS tidak menyinkronkan nilai ini.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih ID kunci atau alias dari kunci primer multi-Wilayah. Ini membuka halaman detail kunci untuk kunci KMS.

    Untuk mengidentifikasi kunci primer multi-Wilayah, gunakan ikon alat di sudut kanan atas untuk menambahkan kolom Regionalitas ke tabel.

  5. Pilih tab Regionalitas.

  6. Pada bagian Kunci multi-Wilayah yang terkait, pilih Buat kunci replika baru.

    Bagian Kunci multi-Wilayah yang terkait menampilkan wilayah kunci primer dan kunci replika. Anda dapat menggunakan tampilan ini untuk membantu Anda memilih Wilayah untuk kunci replika baru Anda.

  7. Pilih satu atau lebih Wilayah AWS. Prosedur ini membuat kunci replika di masing-masing Wilayah yang Anda pilih.

    Menu hanya mencakup Wilayah di partisi AWS yang sama sebagai kunci primer. Wilayah yang sudah memiliki kunci multi-Wilayah terkait ditampilkan, tetapi tidak dapat dipilih. Anda mungkin tidak memiliki izin untuk mereplikasi kunci ke semua Wilayah pada menu.

    Setelah selesai memilih Wilayah, tutup menu. Wilayah yang Anda pilih akan ditampilkan. Untuk membatalkan replikasi ke Wilayah, pilih X di samping nama Wilayah.

  8. Ketik alias untuk kunci replika.

    Konsol tersebut menampilkan salah satu alias kunci primer saat ini, namun Anda dapat mengubahnya. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. Alias bukan properti bersama kunci Multi-wilayah. AWS KMStidak menyinkronkan alias kunci Multi-wilayah.

    Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Menggunakan alias untuk mengontrol akses ke tombol KMS.

  9. (Opsional) Ketik deskripsi kunci replika.

    Konsol tersebut menampilkan deskripsi kunci primer saat ini, namun Anda dapat mengubahnya. Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMStidak menyinkronkan deskripsi kunci kunci Multi-region.

  10. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci replika, pilih Tambah tag.

    Konsol tersebut menampilkan tanda yang saat ini terlampir pada kunci primer, tetapi Anda dapat mengubahnya. Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMStidak menyinkronkan tag tombol Multi-wilayah.

    Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Menggunakan tag untuk mengontrol akses ke tombol KMS.

  11. Pilih pengguna IAM dan peran yang dapat mengelola kunci replika.

    catatan

    Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci replika.

    Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

    Langkah ini memulai proses pembuatan kebijakan kunci untuk kunci replika. Konsol tersebut menampilkan kebijakan kunci primer saat ini, namun Anda dapat mengubahnya. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMStidak menyinkronkan kebijakan utama. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.

  12. Selesaikan langkah-langkah untuk membuat kebijakan utama, termasuk memilih pengguna utama. Setelah Anda meninjau kebijakan kunci, pilih Selesai untuk membuat kunci replika.

Tampilkan lebih banyakTampilkan lebih sedikit

Membuat kunci replika (API AWS KMS)

Untuk membuat kunci replika Multi-wilayah, gunakan operasi. ReplicateKey Anda tidak dapat menggunakan CreateKeyoperasi untuk membuat kunci replika. Operasi ini menciptakan satu kunci replika pada satu waktu. Wilayah yang Anda tentukan harus mematuhi Persyaratan wilayah untuk kunci replika.

Ketika Anda menggunakan operasi ReplicateKey, Anda tidak menentukan nilai untuk properti bersama kunci multi-Wilayah apa pun. Nilai properti bersama disalin dari kunci primer dan terus disinkronkan. Namun, Anda dapat menentukan nilai untuk properti yang tidak dibagi. Jika tidak, AWS KMS menerapkan nilai default standar untuk kunci KMS, bukan nilai kunci primer.

catatan

Jika Anda tidak menentukan nilai untukDescription,KeyPolicy, atau Tags parameter, AWS KMS membuat kunci replika dengan deskripsi string kosong, kebijakan kunci default, dan tanpa tag.

Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Misalnya, perintah berikut membuat kunci replika multi-Wilayah di Wilayah Asia Pacific (Sydney) (ap-southeast-2). Kunci replika ini dimodelkan pada kunci primer di Wilayah US East (N. Virginia) (us-east-1), yang diidentifikasi oleh nilai parameter KeyId. Contoh ini menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci.

Tanggapan menjelaskan kunci replika baru. Ini mencakup bidang untuk properti bersama, sepertiKeyId,, KeySpecKeyUsage, dan key material origin (Origin). Ini juga mencakup properti yang independen dari kunci primer, seperti Description, kebijakan kunci (ReplicaKeyPolicy), dan tanda (ReplicaTags).

Tanggapan juga mencakup ARN kunci dan wilayah kunci primer serta semua kunci replikanya, termasuk salah satu yang baru saja dibuat di Wilayah ap-southeast-2. Dalam contoh ini, elemen ReplicaKey menunjukkan bahwa kunci primer ini sudah direplikasi di Wilayah Eropa (Irlandia) (eu-west-1).

$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}
Tampilkan lebih banyakTampilkan lebih sedikit