多區域金鑰的運作方式 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

多區域金鑰的運作方式

首先在 AWS KMS 支援 AWS 區域 的 中建立對稱或非對稱多區域主索引鍵,例如美國東部 (維吉尼亞北部)。只有在建立金鑰時,您才會決定是單一區域金鑰還是多區域金鑰;之後就無法變更此屬性。與任何KMS金鑰一樣,您可以為多區域金鑰設定金鑰政策,而且可以建立授予,並新增別名和標籤以進行分類和授權。(這些是獨立屬性,並未與其他金鑰共用或同步。) 您可以在密碼編譯操作中使用多區域主要金鑰進行加密或簽署。

您可以在 AWS KMS 主控台中建立多區域主金鑰,或使用 參數MultiRegion設定為 CreateKeyAPI的 true。請注意,多區域金鑰具有開頭為 mrk- 的獨特金鑰 ID。您可以使用 mrk- 字首以MRKs程式設計方式識別 。

Multi-Region primary key icon with red key symbol and sample key ID format.

如果您選擇,您可以將多區域主索引鍵複寫到相同分割區 AWS 區域 中的一個或多個不同 ,例如歐洲 (愛爾蘭)。 AWS執行此操作時, AWS KMS 會在指定區域中建立複本金鑰,其金鑰 ID 和其他共用屬性與主要金鑰相同。然後,它會安全地跨區域界限傳輸金鑰材料,並將其與目的地區域中的新KMS金鑰建立關聯,所有這些都位於 內 AWS KMS。其結果是兩個相關多區域金鑰 (主要金鑰和複本金鑰) 可以互換使用。

您可以在 AWS KMS 主控台或使用 ReplicateKey 建立多區域複本金鑰API。

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

產生的多區域複本金鑰是全功能KMS金鑰,具有與主金鑰相同的共用屬性。在所有其他方面,它是一個獨立的KMS金鑰,具有自己的描述、金鑰政策、授予、別名和標籤。啟用或停用多區域金鑰不會影響相關的多區域金鑰。您可以在密碼編譯操作中獨立使用主要金鑰和複本金鑰,或協調其使用。例如,您可以使用美國東部 (維吉尼亞北部) 區域的主要金鑰來加密資料、將資料移至歐洲 (愛爾蘭) 區域,然後使用複本金鑰來解密資料。

相關的多區域金鑰具有相同的金鑰 ID。其金鑰 ARNs(Amazon Resource Name) 僅在區域欄位中不同。例如,多區域主索引鍵和複本索引鍵可能具有下列範例索引鍵 ARNs。金鑰 ID – 金鑰中的最後一個元素 ARN – 完全相同。兩個金鑰都有多區域金鑰的特殊金鑰 ID,開頭為 mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

具有相同的金鑰 ID 才能交互操作。加密時, 會將KMS金鑰的金鑰 ID 與密碼文字 AWS KMS 合併,以便只能使用該KMS金鑰或具有相同金鑰 ID 的KMS金鑰解密密碼文字。這項功能也讓相關的多區域金鑰易於識別,並且可以更輕鬆地對其進行互換使用。例如,在應用程式中使用時,您可以透過其共用金鑰 ID 來引用相關的多區域金鑰。然後,如有必要,請指定 區域或 ARN來加以區分。

隨著資料需要變更,您可以將主金鑰複寫至相同分割區 AWS 區域 中的其他金鑰,例如美國西部 (奧勒岡) 和亞太區域 (雪梨)。結果是具有相同金鑰材料和金鑰 的四個相關多區域金鑰IDs,如下圖所示。您可以獨立管理金鑰。您可以獨立或以協調的方式使用這些金鑰。例如,您可以使用亞太區域 (雪梨) 中的複本金鑰來加密資料、將資料移至美國西部 (奧勒岡),然後使用美國西部 (奧勒岡) 的複本金鑰來解密資料。

多區域金鑰中的主要金鑰和複本金鑰

多區域金鑰的其他考量包括下列各項。

同步共用屬性 — 如果多區域金鑰的共用屬性變更, AWS KMS 會自動將變更從主金鑰同步到其所有複本金鑰 。您無法請求或強制同步共用屬性。 會為您 AWS KMS 偵測和同步所有變更。不過,您可以在 CloudTrail 日誌中使用SynchronizeMultiRegionKey事件來稽核同步。

例如,如果您在對稱多區域主金鑰上啟用自動金鑰輪換, 會將該設定 AWS KMS 複製到其所有複本金鑰。輪換金鑰材料時,所有相關多區域金鑰之間的輪換會同步,因此其仍然具有相同的當前金鑰材料,並存取所有舊版的金鑰材料。如果您建立新的複本金鑰,則該金鑰具有與所有相關多區域金鑰相同的當前金鑰材料,並可存取所有舊版金鑰材料。如需詳細資訊,請參閱 Rotating multi-Region keys

變更主要金鑰 – 每組多區域金鑰必須只有一個主要金鑰。主要金鑰是唯一可以複寫的金鑰。它也是其複本金鑰共用屬性的來源。但是您可以將主要金鑰變更為複本,並將其中一個複本金鑰升級為主要金鑰。您可以這樣做,以便您可以從特定區域刪除多區域主要金鑰,或者在更接近專案管理員的區域找到主要金鑰。如需詳細資訊,請參閱 變更一組多區域金鑰中的主金鑰

刪除多區域索引鍵 — 如同所有KMS索引鍵,您必須先排程刪除多區域索引鍵,然後才能 AWS KMS 刪除它們。當金鑰正在等待刪除時,您無法在任何密碼編譯操作中使用金鑰。不過,在刪除其所有複本金鑰之前, AWS KMS 不會刪除多區域主金鑰。如需詳細資訊,請參閱Deleting multi-Region keys