选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

多区域密钥的工作原理

PDF
RSS
聚焦模式
多区域密钥的工作原理 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

首先,您要在 AWS KMS 支持的(例如美国东部(弗吉尼亚北部)中创建 AWS 区域 对称或非对称的多区域主键。只有在创建密钥时,才能决定密钥是单区域还是多区域;以后不能更改此属性。与任何 KMS 密钥一样,您可以为多区域密钥设置密钥策略,并且可以创建授权,并添加别名和标签以进行分类和授权。(这些是独立属性,不与其他密钥共享或同步。) 您可以在加密操作中使用多区域主键进行加密或签名。

您可以在 AWS KMS 控制台中创建多区域主密钥,也可以使用MultiRegion参数设置为的 CreateKeyAPI 来true创建多区域主密钥。请注意,多区域密钥具有一个以 mrk- 开头的独特密钥 ID。您可以使用mrk-前缀以 MRKs编程方式进行识别。

Multi-Region primary key icon with red key symbol and sample key ID format.

如果您愿意,可以将多区域主键复制到同一个分区 AWS 区域 中的一个或多个不同的AWS 分区,例如欧洲(爱尔兰)。完成后,在指定区域 AWS KMS 创建与主键相同的密钥 ID 和其他共享属性的副本密钥。然后,它将密钥材料安全地跨区域边界传输,并将其与目标区域中的新 KMS 密钥相关联,一切都在 AWS KMS中进行。结果会产生两个相关的多区域密钥(主键和副本密钥),它们可以互换使用。

您可以在 AWS KMS 控制台中或使用 ReplicateKeyAPI 创建多区域副本密钥

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

由此产生的多区域副本密钥是一个功能齐全的 KMS 密钥,具有与主键相同的共享属性。在所有其他方面,它是一个独立的 KMS 密钥,具有自己的说明、密钥策略、授权、别名和标签。启用或禁用多区域密钥对相关的多区域密钥没有影响。您可以在加密操作中独立使用主密钥和副本密钥,也可以协调它们的使用。例如,您可以使用美国东部(弗吉尼亚北部)区域的主键对数据进行加密,将数据移动到欧洲(爱尔兰)区域,然后使用副本密钥解密数据。

相关的多区域密钥具有相同的密钥 ID。它们的密钥 ARNs (Amazon 资源名称)仅在 “区域” 字段中有所不同。例如,多区域主键和副本密钥可能具有以下示例密钥 ARNs。密钥 ID(密钥 ARN 中的最后一个元素)是相同的。两个密钥都具有多区域密钥的独特密钥 ID,开头为 mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

为了实现互操作性,需要具有相同的密钥 ID。加密时,将 KM AWS KMS S 密钥的密钥 ID 绑定到密文,因此只能使用该 KMS 密钥或具有相同密钥 ID 的 KMS 密钥来解密密文。此功能还使相关的多区域密钥易于识别,并且可以更轻松地互换使用它们。例如,在应用程序中使用它们时,您可以通过它们的共享密钥 ID 来引用相关的多区域密钥。然后,在必要时,指定区域或 ARN 以区分它们。

随着数据需求的变化,您可以将主键复制到同一分区 AWS 区域 中的其他分区,例如美国西部(俄勒冈)和亚太地区(悉尼)。结果是四个相关的多区域密钥,其密钥材料和密钥相同 IDs,如下图所示。您可以独立管理密钥。您可以独立使用它们,也可以以协调的方式使用它们。例如,您可以在亚太地区(悉尼)区域使用副本密钥对数据进行加密,将数据移动到美国西部(俄勒冈)区域,然后在美国西部(俄勒冈)区域使用副本密钥对其进行解密。

多区域密钥中的主密钥和副本密钥

多区域密钥的其他注意事项包括以下内容。

同步共享属性 -如果多区域密钥的共享属性发生变化,则 AWS KMS 会自动同步从主键到其所有副本密钥的更改。您不能请求或强制同步共享属性。 AWS KMS 为您检测并同步所有更改。但是,您可以使用 CloudTrail 日志中的SynchronizeMultiRegionKey事件来审核同步。

例如,如果您在对称的多区域主密钥上启用自动密钥轮换,则会将该设置 AWS KMS 复制到其所有副本密钥中。轮换密钥材料时,轮换将在所有相关的多区域密钥之间同步,因此它们继续具有相同的当前密钥材料,并可访问所有旧版本的密钥材料。如果创建新的副本密钥,则该密钥具有与所有相关多区域密钥相同的当前密钥材料,并可访问密钥材料的所有以前版本。有关详细信息,请参阅Rotating multi-Region keys

更改主键 — 每组多区域密钥必须只有一个主键。主键是唯一可以复制的密钥。它也是其副本密钥的共享属性的来源。但是,您可以将主键更改为副本密钥,并将其中一个副本密钥提升为主键。您可以执行此操作,以便从特定区域删除多区域主键,或将主键定位在离项目管理员更近的区域中。有关详细信息,请参阅更改一组多区域密钥中的主密钥

删除多区域密钥-与所有 KMS 密钥一样,在删除多区域密钥之前,您必须安排 AWS KMS 删除这些密钥。密钥处于待删除状态时,您无法在任何加密操作中使用它。但是,在删除多区域主键的所有副本密钥之前, AWS KMS 不会将其删除。有关详细信息,请参阅Deleting multi-Region keys

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。