本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立多區域主索引鍵
<a name="create-primary-keys"></a>

您可以在 AWS KMS 主控台或使用 AWS KMS API 建立[多區域主索引鍵](multi-region-keys-overview.md#mrk-primary-key)。您可以在 AWS KMS 支援多區域金鑰的任何 AWS 區域 中建立主金鑰。

若要建立多區域主要金鑰，委託人需要其建立任何 KMS 金鑰所需的相同[許可](create-keys.md#create-key-permissions)，包括 IAM 政策中的 [kms:CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 許可。委託人還需要 [iam:CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) 許可。您可以使用 [kms:MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type) 條件索引鍵，以允許或拒絕建立多區域主要金鑰的許可。

**注意**  
建立多區域主金鑰時，請仔細考慮您選取要管理和使用金鑰的 IAM 使用者和角色。IAM 政策可授權其他 IAM 使用者和角色來管理 KMS 金鑰。  
IAM 最佳實務不建議使用具有長期憑證的 IAM 使用者。盡可能使用提供臨時憑證的 IAM 角色。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM 中的安全性最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

## 使用 AWS KMS 主控台
<a name="create-primary-console"></a>

若要在 AWS KMS 主控台中建立多區域主金鑰，請使用您用來建立任何 KMS 金鑰的相同程序。您在 **Advanced options** (進階選項) 中選取多區域金鑰。如需完整說明，請參閱 [建立 KMS 金鑰](create-keys.md)。

**重要**  
請勿在別名、說明或標籤包含機密或敏感資訊。這些欄位可能在 CloudTrail 日誌與其他輸出中以純文字顯示。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。

1. 選擇**建立金鑰**。

1. 選取[對稱或非對稱](symmetric-asymmetric.md)金鑰類型。對稱金鑰為預設值。

   您可以建立多區域對稱和非對稱金鑰，包括多區域 HMAC KMS 金鑰，這些都是對稱金鑰。

1. 選擇您的金鑰用途。**Encrypt and decrypt** (加密和解密) 為預設值。

   如需相關說明，請參閱[建立 KMS 金鑰](create-keys.md)、[建立非對稱 KMS 金鑰](asymm-create-key.md)或[建立 HMAC KMS 金鑰](hmac-create-key.md)。

1. 展開 **Advanced options (進階選項)**。

1. 在**金鑰材料來源**下，若要讓 AWS KMS 產生主要金鑰和複本金鑰將共用的金鑰材料，請選擇 **KMS**。若您要將[金鑰材料匯入](importing-keys-create-cmk.md)主要金鑰和複本金鑰中，請選擇 **External (Import key material)** (外部 (匯入金鑰材料))。

1. 在**區域性**下，選擇**多區域金鑰**。

   您無法在建立 KMS 金鑰之後變更此設定。

1. 輸入主要金鑰的[別名](kms-alias.md)。

   別名不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的別名或不同的別名。 AWS KMS 不會同步多區域金鑰的別名。
**注意**  
新增、刪除或更新別名可允許或拒絕 KMS 金鑰的許可。如需詳細資訊，請參閱 [適用於 的 ABAC AWS KMS](abac.md) 和 [使用別名來控制對 KMS 金鑰的存取](alias-authorization.md)。

1. (選用) 輸入主要金鑰的描述。

   描述不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的描述或不同的描述。 AWS KMS 不會同步多區域金鑰的金鑰描述。

1. (選用) 輸入標籤索引鍵和選用標籤值。若要為主要金鑰指派超過一個標籤，請選擇 **Add tag** (新增標籤)。

   標籤不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的標籤或不同的標籤。 AWS KMS 不會同步多區域金鑰的標籤。您可以隨時變更 KMS 金鑰上的標籤。
**注意**  
標記或取消標記 KMS 金鑰可以允許或拒絕 KMS 金鑰的許可。如需詳細資訊，請參閱 [適用於 的 ABAC AWS KMS](abac.md) 和 [使用標籤來控制對 KMS 金鑰的存取](tag-authorization.md)。

1. 選取可管理主要金鑰的 IAM 使用者和角色。
**備註**  
這個步驟會開始為主要金鑰建立[金鑰政策](key-policies.md)的程序。金鑰政策不是多區域金鑰的共用屬性。您可以為多區域主金鑰及其複本提供相同的金鑰政策或不同的金鑰政策。 AWS KMS 不會同步多區域金鑰的金鑰政策。您可以隨時變更 KMS 金鑰的金鑰政策。
建立多區域主金鑰時，請考慮使用主控台產生的[預設金鑰政策](key-policy-default.md)。如果您修改此政策，主控台不會在建立複本金鑰時提供選取金鑰管理員和使用者的步驟，也不會新增對應的政策陳述式。因此，您需要手動新增這些項目。
 AWS KMS 主控台會將金鑰管理員新增至陳述式識別碼 下的金鑰政策`"Allow access for Key Administrators"`。修改此陳述式識別符可能會影響主控台顯示您對陳述式所做的更新的方式。

1. (選用) 為了防止選取的 IAM 使用者和角色刪除此 KMS 金鑰，請在頁面底部的 **Key deletion** (金鑰刪除) 區段中，清除 **Allow key administrators to delete this key** (允許金鑰管理員刪除此金鑰) 核取方塊。

1. 選擇**下一步**。

1. 選取可將 KMS 金鑰用於[密碼編譯操作](kms-cryptography.md#cryptographic-operations)的 IAM 使用者和角色。
**備註**  
 AWS KMS 主控台會將金鑰使用者新增至陳述式識別碼 `"Allow use of the key"`和 下的金鑰政策`"Allow attachment of persistent resources"`。修改這些陳述式識別符可能會影響主控台顯示您對陳述式所做的更新。

1. （選用） 您可以允許其他 AWS 帳戶 使用此 KMS 金鑰進行密碼編譯操作。若要這樣做，請在頁面底部的**其他 AWS 帳戶** 區段中，選擇**新增另一個 AWS 帳戶**，然後輸入外部帳戶的 AWS 帳戶 識別號碼。若要新增多個外部帳戶，請重複此步驟。
**注意**  
若要允許外部帳戶中的主體使用 KMS 金鑰，外部帳戶的管理員必須建立 IAM 政策來提供這些許可。如需詳細資訊，請參閱[允許其他帳戶中的使用者使用 KMS 金鑰](key-policy-modifying-external-accounts.md)。

1. 選擇**下一步**。

1. 檢閱金鑰的金鑰政策陳述式。若要變更金鑰政策，請選取**編輯**。

1. 選擇**下一步**。

1. 檢閱您選擇的金鑰設定。您仍然可以返回並變更所有設定。

1. 選擇**完成**以建立多區域主索引鍵。

## 使用 AWS KMS API
<a name="create-primary-api"></a>

若要建立多區域主要金鑰，請使用 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 操作。使用值為 `True` 的 `MultiRegion` 參數。

例如，下列命令會在呼叫者的 AWS 區域 (us-east-1) 中建立多區域主索引鍵。它會接受所有其他屬性 (包括金鑰政策) 的預設值。多區域主要金鑰的預設值與所有其他 KMS 金鑰的預設值相同，包括[預設金鑰政策](key-policy-default.md)。此程序會建立一個對稱加密金鑰，即預設 KMS 金鑰。

回應包含具有一般子元素的 `MultiRegion` 元素和 `MultiRegionConfiguration` 元素，以及無複本金鑰的多區域主要金鑰值。多區域金鑰的[金鑰 ID](concepts.md#key-id-key-id) 始終以 `mrk-` 開頭。

**重要**  
請勿在 `Description` 或 `Tags` 欄位包含機密或敏感資訊。這些欄位可能在 CloudTrail 日誌與其他輸出中以純文字顯示。

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```