Proses replikasi untuk kunci Multi-wilayah - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Proses replikasi untuk kunci Multi-wilayah

AWS KMS menggunakan mekanisme replikasi lintas wilayah untuk menyalin materi kunci dalam KMS kunci dari HSM dalam satu Wilayah AWS ke yang HSM berbeda. Wilayah AWS Agar mekanisme ini berfungsi, KMS kunci yang sedang direplikasi harus berupa kunci Multi-wilayah. Saat mereplikasi KMS kunci dari satu Wilayah ke Wilayah lainnya, HSMs di Wilayah tidak dapat berkomunikasi secara langsung, karena mereka berada di jaringan yang terisolasi. Sebagai gantinya, pesan yang dipertukarkan selama replikasi Lintas wilayah dikirimkan oleh layanan proxy.

Selama replikasi lintas wilayah, setiap pesan yang dihasilkan oleh sebuah AWS KMS HSM ditandatangani secara kriptografis menggunakan kunci penandatanganan replikasi. Kunci penandatanganan replikasi (RSKs) adalah ECDSA kunci pada kurva NIST P-384. Setiap Wilayah memiliki setidaknya satuRSK, dan komponen publik masing-masing RSK dibagi dengan setiap Wilayah lain dalam AWS partisi yang sama.

Proses replikasi lintas wilayah untuk menyalin materi kunci dari Wilayah A ke Wilayah B berfungsi sebagai berikut:

  1. HSMDi Wilayah B menghasilkan kunci fana pada kurva NIST P-384, ECDH Kunci Perjanjian Replikasi B (). RAKB Komponen publik RAKB dikirim ke HSM di Wilayah A oleh layanan proxy.

  2. HSMDi Wilayah A menerima komponen publik RAKB dan kemudian menghasilkan kunci fana lain pada kurva NIST P-384, ECDH Kunci Perjanjian Replikasi A (). RAKA HSMMenjalankan skema pembentukan ECDH kunci pada RAKA dan komponen publikRAKB, dan memperoleh kunci simetris dari output, Replication Wrapping Key (). RWK RWKIni digunakan untuk mengenkripsi materi kunci dari kunci Multi-wilayah yang sedang KMS direplikasi.

  3. Komponen publik RAKA dan materi kunci yang dienkripsi dengan RWK dikirim ke HSM dalam Wilayah B melalui layanan proxy.

  4. HSMDi Wilayah B menerima komponen publik RAKA dan bahan kunci yang dienkripsi menggunakan. RWK Ini HSM diperoleh RWK dengan menjalankan skema pendirian ECDH kunci RAKB dan komponen publik. RAKA

  5. HSMDi Wilayah B menggunakan RWK untuk mendekripsi bahan kunci dari Wilayah A.