為什麼所有具有匯入金鑰材料的 KMS 金鑰都不可互通？建立具有匯入金鑰材料的主要金鑰建立具有匯入金鑰材料的複本金鑰

將金鑰材料匯入多區域金鑰

您可匯入自己的金鑰資料至多區域 KMS 金鑰。使用您自己的金鑰材料建立的多區域金鑰可互通操作。您可以在一個區域中加密資料，並使用相關的多區域金鑰在任何其他區域中解密資料。

但是，您必須管理金鑰材料。

AWS KMS 不會將金鑰材料從具有匯入金鑰材料的主要金鑰複製或同步至其複本金鑰。您必須將相同的金鑰材料匯入相關的主要金鑰和複本金鑰。
當您匯入金鑰材料時，您可以獨立設定過期模型和每個金鑰的過期日期。您可以為相關的多區域金鑰設定相同或不同的過期模型和過期日期。如果金鑰材料即將過期，則您必須將金鑰材料重新匯入到受影響的多區域金鑰中。

相關的多區域金鑰的金鑰狀態是相互獨立的。例如，如果主要金鑰中的金鑰材料過期，則其複本金鑰不會受到影響。

相同複本金鑰的區域需求適用於具有匯入金鑰材料的多區域金鑰。如果您將相同的金鑰材料匯入單一區域金鑰或不相關的多區域金鑰，則這些 KMS 金鑰不可互通操作。

您可利用匯入的對稱、非對稱或 HMAC 金鑰資料來建立多區域金鑰。AWS KMS 不支援自訂金鑰存放區中的匯入金鑰資料。此外，您無法為具有匯入金鑰材料的任何 KMS 金鑰啟用自動金鑰輪換。

除了多區域功能之外，具有匯入金鑰材料的多區域金鑰與具有匯入金鑰材料的其他 KMS 金鑰相同。如需建立和設定具有匯入金鑰資料之單一區域金鑰的詳細資訊，請參閱關於匯入的金鑰材料。

為什麼所有具有匯入金鑰材料的 KMS 金鑰都不可互通？

具有匯入金鑰材料的單一區域 KMS 金鑰無法互通，即使它們具有相同的金鑰材料。AWS KMS 使用 KMS 金鑰來加密資料時，它會以密碼編譯方式將某些金鑰中繼資料繫結至加密文字。這會保護加密文字，以便只有加密資料的 KMS 金鑰可以解密該資料。

多區域金鑰設計為可互通操作。除了具有相同的金鑰材料之外，它們還具有相同的金鑰 ID 和其他中繼資料。因此，其生成的加密文字可以通過任何相關的多區域金鑰進行解密。因此，多區域金鑰的信任屬性與單一區域金鑰的信任屬性不同。但對於某些客戶來說，在多個區域中解密的好處超過了依賴於單一 AWS 區域中單一 KMS 金鑰的加密文字安全值。

建立具有匯入金鑰材料的主要金鑰

若要建立包含匯入金鑰資料的主要金鑰，請先建立不含金鑰資料的 KMS 金鑰。當您建立不含金鑰資料的主要金鑰時，您必須根據您計畫匯入的金鑰資料來指定可反映其類型的金鑰規格。然後，您可匯入金鑰資料至主要金鑰。

建立不含金鑰材料之多區域主要金鑰的操作程序幾乎與建立不含金鑰材料的單一區域金鑰相同。唯一的差別是，您指定金鑰為多區域金鑰。

使用匯入的金鑰材料建立多區域主索引鍵的許可，與使用金鑰材料建立多區域主索引鍵 (包括 IAM 政策中的 kms: CreateKey 和 iam: CreateServiceLinkedRole 許可) 所需的權限相同。AWS KMS您可以使用 kms: MultiRegionKeyType 和 kms: KeyOrigin 條件金鑰來允許或拒絕使用匯入金鑰材料建立多區域主索引鍵的權限。

在 AWS KMS 主控台建立具有匯入金鑰材料的主索引鍵時，請使用 Advanced options (進階選項) 區段中的設定。建立 KMS 金鑰之後即無法變更這些屬性。

將 Key material origin (金鑰材料來源) 設定為 External (Import key material) (外部 (匯入金鑰材料))。
將 Multi-Region replication (多區域複寫) 設定為 Allow this key to be replicated into other Regions (允許此金鑰複寫至其他區域)。

使用CreateKey作業建立具有匯入關鍵字材料的主關鍵字時，請使用Origin和MultiRegion參數KeySpec並指定和KeyUsage。下列範例會建立可匯入 ECC_NIST_P384 金鑰資料的 EXTERNAL KMS 金鑰。


$ aws kms create-key --origin EXTERNAL --key-spec ECC_NIST_P384 --key-usage SIGN_VERIFY --multi-region

結果是不含金鑰材料的多區域金鑰，且金鑰狀態為 PendingImport。

若要啟用此 KMS 金鑰，您必須下載公有金鑰和匯入字符、使用公有金鑰來加密您的金鑰材料，然後匯入您的金鑰材料。如需相關指示，請參閱匯入 AWS KMS 金鑰的金鑰材料。

建立具有匯入金鑰材料的複本金鑰

您可以在 AWS KMS 主控台或使用 AWS KMS API 操作建立多區域複本金鑰。若要複寫具有匯入金鑰材料的多區域主要金鑰，請使用與建立具有 AWS KMS 金鑰材料的複本金鑰相同的操作程序。但是，結果是不同的。複寫程序會傳回不含金鑰材料且金鑰狀態為 PendingImport 的複本金鑰，並非傳回具有與主要金鑰相同之金鑰材料的複本金鑰。若要啟用複本金鑰，您必須將相同的金鑰材料匯入您已匯入到其主要金鑰的複本金鑰。

雖然不會複寫金鑰材料，但 AWS KMS 會建立與主要金鑰具有相同金鑰 ID、金鑰規格、金鑰使用情形和金鑰材料來源的複本金鑰。它也可確保您匯入至複本金鑰的金鑰材料與您已匯入至主要金鑰的金鑰材料相同。

建立具有匯入金鑰材料的複本金鑰：

建立具有匯入金鑰材料的多區域主要金鑰。
執行下列其中一項操作。

在 AWS KMS 主控台中，選擇具有匯入金鑰材料的多區域主要金鑰。然後，在其 Regionality (區域性) 索引標籤上選擇 Create new replica keys (建立新的複本金鑰)。如需說明，請參閱建立複本金鑰 (主控台)。

或者使用ReplicateKey操作。對於 KeyId 參數，輸入具有匯入金鑰材料之多區域主要金鑰的金鑰 ID 或金鑰 ARN。如需說明，請參閱建立複本金鑰 (AWS KMS API)。
對於每個新的複本金鑰，請依照步驟下載公有金鑰和匯入字符。使用公有金鑰來加密主要金鑰的金鑰資料，然後在複本金鑰中匯入主要金鑰的金鑰材料。您需要每個複本金鑰的不同公有金鑰和匯入字符。

如果您嘗試匯入複本金鑰的金鑰材料與其主要金鑰不相同，則操作會失敗。AWS KMS 不需要協調過期模型和過期日期，但您可以為多區域金鑰建立業務規則。如需說明，請參閱匯入 AWS KMS 金鑰的金鑰材料。

複寫具有匯入金鑰材料之金鑰的許可

若要建立具有匯入金鑰材料的複本金鑰，您必須具有下列許可。

在主要金鑰區域中：

公里：ReplicateKey在主鍵（在主鍵的區域）。在主要金鑰的金鑰政策或 IAM 政策中包含此許可。

在複本金鑰區域中：

公里：CreateKey在 IAM 政策中。
公里：GetParametersForImport。您可以在複本金鑰的金鑰政策或 IAM 政策中包含此許可。
公里：ImportKeyMaterial。您可以在複本金鑰的金鑰政策或 IAM 政策中包含此許可。
kms：需TagResource要在複製時指派標籤。將此許可包含在複本區域的 IAM 政策中。
公里：需要CreateAlias在AWS KMS控制台中複製一個密鑰。如需詳細資訊，請參閱控制對別名的存取。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

管理多區域金鑰

刪除多區域金鑰