Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Buat kunci replika Multi-wilayah

PDF
RSS
Mode fokus
Buat kunci replika Multi-wilayah - AWS Key Management Service
Langkah 1: Pilih Wilayah replikaLangkah 2: Buat kunci replika

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda dapat membuat kunci replika Multi-region di AWS KMS konsol, dengan menggunakan ReplicateKeyoperasi, atau dengan menggunakan template. AWS::KMS::ReplicaKey AWS CloudFormation Anda tidak dapat menggunakan CreateKeyoperasi untuk membuat kunci replika.

Anda dapat menggunakan prosedur ini untuk mereplikasi kunci utama Multi-region, termasuk kunci KMS enkripsi simetris, kunci KMSasimetris, atau kunci KMS HMAC.

Ketika operasi ini selesai, kunci replika baru memiliki status kunci sementara dari Creating. Status kunci ini berubah menjadi Enabled (atau PendingImport jika Anda membuat kunci Multi-wilayah dengan materi kunci yang diimpor) setelah beberapa detik saat proses pembuatan kunci replika baru selesai. Sementara status kunci adalah Creating, Anda dapat mengelola kunci, tetapi Anda belum bisa menggunakannya dalam operasi kriptografi. Jika Anda membuat dan menggunakan kunci replika secara terprogram, coba lagi KMSInvalidStateException atau panggil DescribeKeyuntuk memeriksa KeyState nilainya sebelum menggunakannya.

Jika Anda salah menghapus kunci replika, Anda dapat menggunakan prosedur ini untuk membuatnya kembali. Jika Anda mereplikasi kunci utama yang sama di Wilayah yang sama, kunci replika baru yang Anda buat akan memiliki properti bersama yang sama dengan kunci replika asli.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Untuk menggunakan AWS CloudFormation template untuk membuat kunci replika, lihat AWS::KMS::ReplicaKeydi Panduan AWS CloudFormation Pengguna.

Langkah 1: Pilih Wilayah replika

Anda biasanya memilih untuk mereplikasi kunci Multi-wilayah menjadi Wilayah AWS berdasarkan model bisnis dan persyaratan peraturan Anda. Misalnya, Anda mungkin mereplikasi kunci ke Wilayah di mana Anda menyimpan sumber daya Anda. Atau, untuk memenuhi persyaratan pemulihan bencana, Anda mungkin mereplikasi kunci ke Wilayah yang jauh secara geografis.

Berikut ini adalah AWS KMS persyaratan untuk Wilayah replika. Jika Wilayah yang Anda pilih tidak sesuai dengan persyaratan ini, upaya untuk mereplikasi kunci gagal.

  • Satu kunci multi-wilayah terkait per Wilayah — Anda tidak dapat membuat kunci replika di Wilayah yang sama dengan kunci primernya, atau di Wilayah yang sama dengan replika kunci primer lainnya.

    Jika Anda mencoba mereplikasi kunci utama di Wilayah yang sudah memiliki replika kunci utama itu, upaya gagal. Jika kunci replika saat ini di Wilayah berada dalam status PendingDeletion kunci, Anda dapat membatalkan penghapusan kunci replika atau menunggu hingga kunci replika dihapus.

  • Beberapa kunci multi-wilayah yang tidak terkait di Wilayah yang sama — Anda dapat memiliki beberapa kunci multi-Wilah yang tidak terkait di Wilayah yang sama. Misalnya, Anda dapat memiliki dua kunci primer multi-Wilayah di Wilayah us-east-1. Masing-masing kunci primer dapat memiliki kunci replika di Wilayah us-west-2.

  • Wilayah di partisi yang sama — Kunci replika Wilayah harus berada di partisi AWS yang sama dengan kunci primer Wilayah.

  • Wilayah harus diaktifkan — Jika Wilayah dinonaktifkan secara default, Anda tidak dapat membuat sumber daya apa pun di Wilayah tersebut sampai Wilayah diaktifkan untuk Akun AWS Anda.

Langkah 2: Buat kunci replika

catatan

Saat membuat kunci replika, pertimbangkan dengan cermat pengguna dan peran IAM yang Anda pilih untuk dikelola dan gunakan tombol replika. Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci KMS.

Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

Di AWS KMS konsol, Anda dapat membuat satu atau banyak replika kunci utama Multi-wilayah dalam operasi yang sama.

Prosedur ini mirip dengan membuat kunci KMS wilayah tunggal standar di konsol. Namun, karena kunci replika didasarkan pada kunci primer, Anda tidak memilih nilai untuk properti bersama, seperti spesifikasi kunci (simetris atau asimetris), penggunaan kunci, atau asal kunci.

Anda menentukan properti yang tidak dibagi, termasuk alias, tanda, deskripsi, dan kebijakan kunci. Sebagai kenyamanan, konsol tersebut menampilkan nilai properti saat ini dari kunci primer, namun Anda dapat mengubahnya. Bahkan jika Anda menyimpan nilai kunci primer, AWS KMS tidak menjaga nilai-nilai ini disinkronkan.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih ID kunci atau alias dari kunci primer multi-Wilayah. Ini membuka halaman detail kunci untuk kunci KMS.

    Untuk mengidentifikasi kunci primer multi-Wilayah, gunakan ikon alat di sudut kanan atas untuk menambahkan kolom Regionalitas ke tabel.

  5. Pilih tab Regionalitas.

  6. Pada bagian Kunci multi-Wilayah yang terkait, pilih Buat kunci replika baru.

    Bagian Kunci multi-Wilayah yang terkait menampilkan wilayah kunci primer dan kunci replika. Anda dapat menggunakan tampilan ini untuk membantu Anda memilih Wilayah untuk kunci replika baru Anda.

  7. Pilih satu atau lebih Wilayah AWS. Prosedur ini membuat kunci replika di masing-masing Wilayah yang Anda pilih.

    Menu hanya mencakup Wilayah di AWS partisi yang sama dengan kunci utama. Wilayah yang sudah memiliki kunci multi-Wilayah terkait ditampilkan, tetapi tidak dapat dipilih. Anda mungkin tidak memiliki izin untuk mereplikasi kunci ke semua Wilayah pada menu.

    Setelah selesai memilih Wilayah, tutup menu. Wilayah yang Anda pilih akan ditampilkan. Untuk membatalkan replikasi ke Wilayah, pilih X di samping nama Wilayah.

  8. Ketik alias untuk kunci replika.

    Konsol tersebut menampilkan salah satu alias kunci primer saat ini, namun Anda dapat mengubahnya. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. Alias bukan properti bersama kunci Multi-wilayah. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.

    Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan alias untuk mengontrol akses ke tombol KMS.

  9. (Opsional) Ketik deskripsi kunci replika.

    Konsol tersebut menampilkan deskripsi kunci primer saat ini, namun Anda dapat mengubahnya. Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.

  10. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci replika, pilih Tambah tag.

    Konsol tersebut menampilkan tanda yang saat ini terlampir pada kunci primer, tetapi Anda dapat mengubahnya. Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag kunci Multi-wilayah.

    Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan tag untuk mengontrol akses ke tombol KMS.

  11. Pilih pengguna IAM dan peran yang dapat mengelola kunci replika.

    Catatan

    • Jika Anda mengubah kebijakan kunci default saat membuat kunci primer Multi-wilayah, konsol tidak akan meminta Anda untuk memilih administrator kunci atau pengguna kunci (langkah 11-15) selama pembuatan kunci replika. Dalam hal ini, Anda harus menambahkan izin yang diperlukan secara manual untuk administrator kunci dan pengguna ke kebijakan kunci dengan memilih Edit di langkah kebijakan kunci Edit (Langkah 17).

    • Langkah ini memulai proses pembuatan kebijakan kunci untuk kunci replika. Konsol tersebut menampilkan kebijakan kunci primer saat ini, namun Anda dapat mengubahnya. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan utama. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.

    • AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal "Allow access for Key Administrators" pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  12. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.

  13. Pilih Berikutnya.

  14. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi kriptografi.

    Catatan

    AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan "Allow use of the key" dan"Allow attachment of persistent resources". Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  15. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.

    catatan

    Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  16. Pilih Berikutnya.

  17. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih Edit.

  18. Pilih Berikutnya.

  19. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

  20. Pilih Selesai untuk membuat kunci replika Multi-wilayah.

Di AWS KMS konsol, Anda dapat membuat satu atau banyak replika kunci utama Multi-wilayah dalam operasi yang sama.

Prosedur ini mirip dengan membuat kunci KMS wilayah tunggal standar di konsol. Namun, karena kunci replika didasarkan pada kunci primer, Anda tidak memilih nilai untuk properti bersama, seperti spesifikasi kunci (simetris atau asimetris), penggunaan kunci, atau asal kunci.

Anda menentukan properti yang tidak dibagi, termasuk alias, tanda, deskripsi, dan kebijakan kunci. Sebagai kenyamanan, konsol tersebut menampilkan nilai properti saat ini dari kunci primer, namun Anda dapat mengubahnya. Bahkan jika Anda menyimpan nilai kunci primer, AWS KMS tidak menjaga nilai-nilai ini disinkronkan.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih ID kunci atau alias dari kunci primer multi-Wilayah. Ini membuka halaman detail kunci untuk kunci KMS.

    Untuk mengidentifikasi kunci primer multi-Wilayah, gunakan ikon alat di sudut kanan atas untuk menambahkan kolom Regionalitas ke tabel.

  5. Pilih tab Regionalitas.

  6. Pada bagian Kunci multi-Wilayah yang terkait, pilih Buat kunci replika baru.

    Bagian Kunci multi-Wilayah yang terkait menampilkan wilayah kunci primer dan kunci replika. Anda dapat menggunakan tampilan ini untuk membantu Anda memilih Wilayah untuk kunci replika baru Anda.

  7. Pilih satu atau lebih Wilayah AWS. Prosedur ini membuat kunci replika di masing-masing Wilayah yang Anda pilih.

    Menu hanya mencakup Wilayah di AWS partisi yang sama dengan kunci utama. Wilayah yang sudah memiliki kunci multi-Wilayah terkait ditampilkan, tetapi tidak dapat dipilih. Anda mungkin tidak memiliki izin untuk mereplikasi kunci ke semua Wilayah pada menu.

    Setelah selesai memilih Wilayah, tutup menu. Wilayah yang Anda pilih akan ditampilkan. Untuk membatalkan replikasi ke Wilayah, pilih X di samping nama Wilayah.

  8. Ketik alias untuk kunci replika.

    Konsol tersebut menampilkan salah satu alias kunci primer saat ini, namun Anda dapat mengubahnya. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. Alias bukan properti bersama kunci Multi-wilayah. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.

    Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan alias untuk mengontrol akses ke tombol KMS.

  9. (Opsional) Ketik deskripsi kunci replika.

    Konsol tersebut menampilkan deskripsi kunci primer saat ini, namun Anda dapat mengubahnya. Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.

  10. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci replika, pilih Tambah tag.

    Konsol tersebut menampilkan tanda yang saat ini terlampir pada kunci primer, tetapi Anda dapat mengubahnya. Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag kunci Multi-wilayah.

    Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan tag untuk mengontrol akses ke tombol KMS.

  11. Pilih pengguna IAM dan peran yang dapat mengelola kunci replika.

    Catatan

    • Jika Anda mengubah kebijakan kunci default saat membuat kunci primer Multi-wilayah, konsol tidak akan meminta Anda untuk memilih administrator kunci atau pengguna kunci (langkah 11-15) selama pembuatan kunci replika. Dalam hal ini, Anda harus menambahkan izin yang diperlukan secara manual untuk administrator kunci dan pengguna ke kebijakan kunci dengan memilih Edit di langkah kebijakan kunci Edit (Langkah 17).

    • Langkah ini memulai proses pembuatan kebijakan kunci untuk kunci replika. Konsol tersebut menampilkan kebijakan kunci primer saat ini, namun Anda dapat mengubahnya. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan utama. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.

    • AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal "Allow access for Key Administrators" pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  12. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.

  13. Pilih Berikutnya.

  14. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi kriptografi.

    Catatan

    AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan "Allow use of the key" dan"Allow attachment of persistent resources". Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  15. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.

    catatan

    Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  16. Pilih Berikutnya.

  17. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih Edit.

  18. Pilih Berikutnya.

  19. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

  20. Pilih Selesai untuk membuat kunci replika Multi-wilayah.

Untuk membuat kunci replika Multi-wilayah, gunakan operasi. ReplicateKey Anda tidak dapat menggunakan CreateKeyoperasi untuk membuat kunci replika. Operasi ini menciptakan satu kunci replika pada satu waktu. Wilayah yang Anda tentukan harus mematuhi Persyaratan wilayah untuk kunci replika.

Ketika Anda menggunakan operasi ReplicateKey, Anda tidak menentukan nilai untuk properti bersama kunci multi-Wilayah apa pun. Nilai properti bersama disalin dari kunci primer dan terus disinkronkan. Namun, Anda dapat menentukan nilai untuk properti yang tidak dibagi. Jika tidak, AWS KMS menerapkan nilai default standar untuk kunci KMS, bukan nilai kunci primer.

catatan

Jika Anda tidak menentukan nilai untukDescription,KeyPolicy, atau Tags parameter, AWS KMS membuat kunci replika dengan deskripsi string kosong, kebijakan kunci default, dan tidak ada tag.

Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Misalnya, perintah berikut membuat kunci replika multi-Wilayah di Wilayah Asia Pacific (Sydney) (ap-southeast-2). Kunci replika ini dimodelkan pada kunci primer di Wilayah US East (N. Virginia) (us-east-1), yang diidentifikasi oleh nilai parameter KeyId. Contoh ini menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci.

Tanggapan menjelaskan kunci replika baru. Ini mencakup bidang untuk properti bersama, sepertiKeyId,, KeySpecKeyUsage, dan key material origin (Origin). Ini juga mencakup properti yang independen dari kunci primer, seperti Description, kebijakan kunci (ReplicaKeyPolicy), dan tanda (ReplicaTags).

Tanggapan juga mencakup ARN kunci dan wilayah kunci primer serta semua kunci replikanya, termasuk salah satu yang baru saja dibuat di Wilayah ap-southeast-2. Dalam contoh ini, elemen ReplicaKey menunjukkan bahwa kunci primer ini sudah direplikasi di Wilayah Eropa (Irlandia) (eu-west-1).

$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}

Untuk membuat kunci replika Multi-wilayah, gunakan operasi. ReplicateKey Anda tidak dapat menggunakan CreateKeyoperasi untuk membuat kunci replika. Operasi ini menciptakan satu kunci replika pada satu waktu. Wilayah yang Anda tentukan harus mematuhi Persyaratan wilayah untuk kunci replika.

Ketika Anda menggunakan operasi ReplicateKey, Anda tidak menentukan nilai untuk properti bersama kunci multi-Wilayah apa pun. Nilai properti bersama disalin dari kunci primer dan terus disinkronkan. Namun, Anda dapat menentukan nilai untuk properti yang tidak dibagi. Jika tidak, AWS KMS menerapkan nilai default standar untuk kunci KMS, bukan nilai kunci primer.

catatan

Jika Anda tidak menentukan nilai untukDescription,KeyPolicy, atau Tags parameter, AWS KMS membuat kunci replika dengan deskripsi string kosong, kebijakan kunci default, dan tidak ada tag.

Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Misalnya, perintah berikut membuat kunci replika multi-Wilayah di Wilayah Asia Pacific (Sydney) (ap-southeast-2). Kunci replika ini dimodelkan pada kunci primer di Wilayah US East (N. Virginia) (us-east-1), yang diidentifikasi oleh nilai parameter KeyId. Contoh ini menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci.

Tanggapan menjelaskan kunci replika baru. Ini mencakup bidang untuk properti bersama, sepertiKeyId,, KeySpecKeyUsage, dan key material origin (Origin). Ini juga mencakup properti yang independen dari kunci primer, seperti Description, kebijakan kunci (ReplicaKeyPolicy), dan tanda (ReplicaTags).

Tanggapan juga mencakup ARN kunci dan wilayah kunci primer serta semua kunci replikanya, termasuk salah satu yang baru saja dibuat di Wilayah ap-southeast-2. Dalam contoh ini, elemen ReplicaKey menunjukkan bahwa kunci primer ini sudah direplikasi di Wilayah Eropa (Irlandia) (eu-west-1).

$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.