Ubah kunci utama dalam satu set kunci Multi-wilayah - AWS Key Management Service
Perbarui Wilayah utama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ubah kunci utama dalam satu set kunci Multi-wilayah

Setiap kumpulan kunci multi-Wilayah terkait harus memiliki kunci primer. Tapi Anda dapat mengubah kunci primer. Tindakan ini, yang dikenal sebagai memperbarui Wilayah primer, mengubah kunci primer saat ini ke kunci replika dan mengubah salah satu kunci replika terkait ke kunci primer. Anda harus melakukan ini jika Anda perlu menghapus kunci primer saat ini sambil mempertahankan kunci replika, atau untuk menemukan kunci primer di Wilayah yang sama dengan administrator kunci Anda.

Anda dapat memilih kunci replika terkait untuk menjadi kunci primer baru. Kunci primer dan kunci replika harus dalam status kunci Enabled saat operasi dimulai.

Negara Updating kunci

Bahkan setelah UpdatePrimaryRegion operasi selesai, proses memperbarui Wilayah utama mungkin masih berlangsung selama beberapa detik lagi. Selama waktu ini, kunci primer lama dan baru memiliki status kunci sementara Memperbarui. Sementara status kunci adalah Updating, Anda dapat menggunakan kunci dalam operasi kriptografi, tetapi Anda tidak dapat mereplikasi kunci primer baru atau melakukan operasi manajemen tertentu, seperti mengaktifkan atau menonaktifkan kunci ini. Operasi seperti DescribeKeymungkin menampilkan kunci primer lama dan baru sebagai replika. Status kunci Enabled dipulihkan ketika pembaruan selesai.

Untuk informasi tentang efek dari status kunci Updating, lihat Status AWS KMS kunci kunci.

Cara kerjanya

Misalkan Anda memiliki kunci primer di US East (N. Virginia) (us-east-1) dan kunci replika di Eropa (Irlandia) (eu-west-1). Anda dapat menggunakan fitur pembaruan untuk mengubah kunci primer pada US East (N. Virginia) (us-east-1) ke kunci replika dan mengubah kunci replika di Eropa (Irlandia) (eu-barat-1) ke kunci primer.

Memperbarui kunci primer

Ketika proses pembaruan selesai, kunci multi-Wilayah di Wilayah Eropa (Irlandia) (eu-west-1) adalah kunci primer multi-Wilayah dan kunci di Wilayah US East (N. Virginia) (us-east-1) adalah kunci replikanya. Jika ada kunci replika terkait lainnya, maka mereka menjadi replika kunci primer baru. Lain kali yang AWS KMS menyinkronkan properti bersama dari kunci Multi-region, ia akan mendapatkan properti bersama dari kunci utama baru dan menyalinnya ke kunci replika, termasuk kunci primer sebelumnya.

Operasi pembaruan tidak berpengaruh pada kunci kunci ARN Multi-wilayah apa pun. Ini juga tidak berpengaruh pada properti bersama, seperti materi kunci, atau pada properti independen, seperti kebijakan kunci. Namun, Anda mungkin ingin memperbarui kebijakan kunci dari kunci primer baru. Misalnya, Anda mungkin ingin menambahkan ReplicateKey izin kms: untuk prinsipal tepercaya ke kunci utama baru dan menghapusnya dari kunci replika baru.

Perbarui Wilayah utama

Anda dapat mengonversi kunci replika menjadi kunci utama, yang mengubah kunci primer sebelumnya menjadi replika. Untuk memperbarui Wilayah utama, Anda memerlukan UpdatePrimaryRegion izin kms: di kedua Wilayah.

Anda dapat memperbarui Wilayah utama di AWS KMS konsol atau dengan menggunakan UpdatePrimaryRegionoperasi.

Anda dapat memperbarui kunci utama di AWS KMS konsol. Mulai pada halaman detail kunci untuk kunci primer saat ini.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Pada panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih ID kunci atau alias dari kunci primer multi-Wilayah. Ini membuka halaman detail kunci untuk kunci utama.

    Untuk mengidentifikasi kunci primer multi-Wilayah, gunakan ikon alat di sudut kanan atas untuk menambahkan kolom Regionalitas ke tabel.

  5. Pilih tab Regionalitas.

  6. Pada bagian Kunci primer, pilih Ubah Wilayah primer.

  7. Pilih Wilayah kunci primer baru. Anda hanya dapat memilih satu Wilayah dari menu.

    Menu Ubah Wilayah primer hanya mencakup Wilayah yang memiliki kunci multi-Wilayah terkait. Anda mungkin tidak memiliki izin untuk memperbarui Wilayah primer di semua Wilayah pada menu.

  8. Pilih Ubah Wilayah primer.

Untuk mengubah kunci utama dalam satu set kunci Multi-wilayah terkait, gunakan UpdatePrimaryRegionoperasi.

Gunakan parameter KeyId untuk mengidentifikasi kunci primer saat ini. Gunakan PrimaryRegion parameter untuk menunjukkan Wilayah AWS kunci utama baru. Jika kunci primer belum memiliki replika di Wilayah primer baru, operasi gagal.

Contoh berikut merubah kunci primer dari kunci multi-Wilayah di Wilayah us-west-2 untuk replikanya di Wilayah eu-west-1. Parameter KeyId mengidentifikasi kunci primer saat ini di Wilayah us-west-2. PrimaryRegionParameter menentukan kunci Wilayah AWS utama baru,eu-west-1.

$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

Ketika berhasil, operasi ini tidak mengembalikan output apa pun; hanya kode HTTP status. Untuk melihat efeknya, panggil DescribeKeyoperasi pada salah satu tombol Multi-region. Anda mungkin ingin menunggu sampai status kunci kembali ke Enabled. Sementara status kunci adalah Memperbarui, nilai untuk kunci mungkin masih dalam fluks.

Misalnya, DescribeKey berikut mendapat detail tentang kunci multi-Wilayah di Wilayah eu-west-1. Output menunjukkan bahwa kunci multi-Wilayah dalam Wilayah eu-west-1 sekarang adalah kunci primer. Kunci multi-Wilayah terkait (ID kunci yang sama) di Wilayah us-west-2 sekarang adalah kunci replika.

$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}