更改一组多区域密钥中的主密钥 - AWS Key Management Service
更新主区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改一组多区域密钥中的主密钥

每组相关的多区域密钥都必须具有一个主密钥。但您可以更改主密钥。此操作称为更新主区域,会将当前主密钥转换为副本密钥,并将其中一个相关的副本密钥转换为主密钥。如果您需要在维护副本密钥的同时删除当前主密钥,或者在与密钥管理员相同的区域中查找主密钥,则可以执行此操作。

您可以选择任何相关的副本密钥作为新的主密钥。操作开始时,主密钥和副本密钥都必须处于 Enabled 密钥状态

Updating 密钥状态

即使在 UpdatePrimaryRegion 操作完成后,更新主区域的过程可能仍要进行几秒钟。在此期间,旧的主密钥和新的主密钥具有临时密钥状态 Updating(正在更新)。当密钥状态为 Updating 时,您可以在加密操作中使用密钥,但不能复制新的主密钥或执行某些管理操作,例如启用或禁用这些密钥。DescribeKey 之类的操作可能会将旧的主密钥和新的主密钥同时显示为副本。当更新完成时,Enabled 密钥状态将恢复。

有关 Updating 密钥状态的影响的信息,请参阅 AWS KMS 密钥的密钥状态

工作方式

假设您在美国东部(弗吉尼亚北部)(us-east-1) 区域中有一个主密钥,在欧洲(爱尔兰)(eu-west-1) 区域有一个副本密钥。您可以使用更新功能将美国东部(弗吉尼亚北部)(us-east-1) 区域中的主密钥更改为副本密钥,并将欧洲(爱尔兰)(eu-west-1) 区域中的副本密钥更改为主密钥。

更新主密钥

更新过程完成后,欧洲(爱尔兰)(eu-west-1) 区域中的多区域密钥为多区域主密钥,美国东部(弗吉尼亚北部)(us-east-1) 区域中的密钥是其副本密钥。如果存在其他相关的副本密钥,则它们将成为新主密钥的副本密钥。AWS KMS 下一次同步多区域密钥的共享属性时,将从新的主密钥中获得共享属性并将它们复制到其副本密钥(包括以前的主密钥)中。

更新操作不会影响任何多区域密钥的密钥 ARN。它也不会影响共享属性(如密钥材料)或独立属性(如密钥策略)。不过,您可能需要对新的主密钥的密钥策略进行更新。例如,您可能要将信任委托人的 kms:ReplicateKey 权限添加到新的主密钥中,并将其从新的副本密钥中删除。

更新主区域

您可以将副本密钥转换为主密钥,从而将以前的主密钥更改为副本密钥。要更新主区域,您需要在这两个区域中具有 kms:UpdatePrimaryRegion 权限。

您可以在 AWS KMS 控制台中或使用 UpdatePrimaryRegion 操作更新主区域。

您可以在 AWS KMS 控制台中更新主密钥。从当前主密钥的密钥详细信息页面开始。

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择多区域主密钥的密钥 ID 或别名。这将打开主密钥的密钥详细信息页面。

    要识别多区域主密钥,请使用右上角的工具图标将 Regionality(区域性)列添加到表中。

  5. 选择 Regionality(区域性)选项卡。

  6. Primary key(主密钥)部分中,选择 Change primary Region(更改主区域)。

  7. 选择新的主密钥的区域。您只能从菜单中选择一个区域。

    Change primary Regions(更改主区域)菜单仅包含具有相关多区域密钥的区域。您可能没有权限更新菜单上的所有区域中的主区域。

  8. 选择 Change primary Region(更改主区域)。

要更改一组相关的多区域密钥中的主密钥,请使用 UpdatePrimaryRegion 操作。

使用 KeyId 参数来标识当前主密钥。使用 PrimaryRegion 参数来指示新的主密钥的 AWS 区域。如果主密钥在新的主区域中还没有副本,则操作将失败。

以下示例将主密钥从 us-west-2 区域中的多区域密钥更改为其在 eu-west-1 区域中的副本密钥。KeyId 参数标识 us-west-2 区域中的当前主密钥。PrimaryRegion 参数指定新的主密钥的 AWS 区域,即 eu-west-1

$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

如果成功,此操作不会返回任何输出,只返回 HTTP 状态代码。要查看影响,请对任意一个多区域密钥调用 DescribeKey 操作。您可能需要等到密钥状态返回 Enabled。虽然密钥状态为 Updating(正在更新),但密钥的值可能仍处于变化中。

例如,以下 DescribeKey 调用将获取有关 eu-west-1 区域中多区域密钥的详细信息。输出显示,eu-west-1 区域中的多区域密钥现在为主密钥。us-west-2 区域中相关的多区域密钥(相同的密钥 ID)现在已成为副本密钥。

$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}