中的多區域金鑰 AWS KMS - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的多區域金鑰 AWS KMS

AWS KMS 支援多區域金鑰,這些金鑰 AWS KMS keys 位於不同的 AWS 區域 中,可以互換使用,就像您在多個區域中擁有相同的金鑰一樣。每組相關的多區域金鑰都具有相同的金鑰材料和金鑰 ID,因此您可以加密一個 中的資料 AWS 區域 ,並在不同的 中解密資料, AWS 區域 而無需重新加密或進行跨區域呼叫 AWS KMS。

如同所有 KMS 金鑰,多區域金鑰永遠不會保持 AWS KMS 未加密。您可以建立對稱或非對稱多區域金鑰以進行加密或簽署,或是建立 HMAC 多區域金鑰以產生和驗證 HMAC 標籤,或是建立含有匯入金鑰資料或 AWS KMS 產生之金鑰資料的多區域金鑰。您必須獨立管理每個多區域金鑰,包括建立別名和標籤、設定其金鑰政策和授予,以及選擇性地將其啟用和停用。您可以在所有可以使用單一區域金鑰執行的密碼編譯操作中使用多區域金鑰。

多區域金鑰是靈活且強大的解決方案,適用於許多常見的資料安全案例。

災難復原

在備份和復原架構中,多區域金鑰可讓您在不中斷的情況下處理加密的資料,即使發生 AWS 區域 中斷也一樣。備份區域中維護的資料可以在備份區域中解密,備份區域中新加密的資料可以在主要區域 (當該區域還原時) 中解密。

全域資料管理

全球營運的企業需要全球分散式資料,這些資料可一致地跨 AWS 區域提供。您可以在資料所在的所有區域中建立多區域金鑰,然後將金鑰當作單一區域金鑰使用,以避免跨區域呼叫的延遲,或是在每個區域中不同金鑰下重新加密資料的成本。

分散式簽署應用程式

需要跨區域簽章功能的應用程式可以使用多區域非對稱簽署金鑰,在不同 AWS 區域中一致且重複地產生相同的數位簽章。

如果您將憑證鏈結與單一全域信任存放區 (針對單一根憑證授權機構 (CA)) 和根 CA 簽署的區域中繼 CA,則不需要多區域金鑰。不過,如果您的系統不支援中繼 CA (例如應用程式簽署),則可以使用多區域金鑰來為區域認證提供一致性。

跨越多個區域的主動-主動應用程式

某些工作負載和應用程式可以跨越主動-主動架構中的多個區域。對於這些應用程式,透過為針對可能跨區域邊界移動之資料的同時加密和解密操作提供相同的金鑰材料,多區域金鑰可以降低複雜性。

您可以搭配用戶端加密程式庫使用多區域金鑰,例如 AWS Encryption SDKAWS 資料庫加密 SDKAmazon S3 用戶端加密

AWS 與 整合以進行靜態加密或數位簽章的 服務 AWS KMS,目前將多區域金鑰視為單一區域金鑰。其可能會重新包裝或重新加密在區域之間移動的資料。例如,Amazon S3 跨區域複寫會在目的地區域的 KMS 金鑰下解密和重新加密資料,即使複寫受多區域金鑰保護的物件也一樣。

多區域金鑰不適用於全域。您建立多區域主要金鑰,然後將其複寫到您在 AWS 分割區內選取的區域中。然後,您可以獨立管理每個區域中的多區域金鑰。 AWS AWS KMS 永遠不會代表您自動將多區域金鑰建立或複寫到任何區域。 AWS 受管金鑰是 AWS 服務在帳戶中為您建立的 KMS 金鑰,一律是單一區域金鑰。

在中國區域中,您可以使用多區域金鑰功能,在中國區域分割區 () 中複寫 KMS 金鑰aws-cn。例如,您可以將金鑰從中國 (北京) 區域複寫到中國 (寧夏) 區域,或反向複寫。透過將金鑰從一個中國區域複寫到另一個中國區域,您同意使用 AWS Key Management Service 目的地區域的 ,並遵循目的地區域的所有適用協議條款。您無法將金鑰從北京和寧夏區域複寫到中國區域分割區以外的 AWS 區域。同樣地,您無法將金鑰從中國區域分區以外的區域複寫到北京和寧夏區域。

您無法將現有的單一區域金鑰轉換為多區域金鑰。此設計可確保所有受現有單一區域金鑰保護的資料都維持相同的資料落地和資料主權屬性。

對於大多數資料安全需求,區域資源的區域隔離和容錯能力使標準 AWS KMS 單一區域金鑰成為最適合的解決方案。不過,當您需要跨多個區域加密或簽署用戶端應用程式中的資料時,多區域金鑰可能就是解決方案。

區域

AWS 區域 支援的所有 AWS KMS 都支援多區域金鑰。

定價和配額

一組相關多區域金鑰中的每個金鑰都會計為一個 KMS 金鑰,用於定價和配額。AWS KMS 配額會針對帳戶的每個區域個別計算。在每個區域中使用和管理多區域金鑰會計為該區域的配額。

支援的 KMS 金鑰類型

您可以建立以下類型的多區域 KMS 金鑰:

  • 對稱加密 KMS 金鑰

  • 非對稱 KMS 金鑰

  • HMAC KMS 金鑰

  • 包含匯入金鑰資料的 KMS 金鑰

您無法在自訂金鑰存放區建立多區域金鑰。

進一步了解

術語與概念

下列術語和概念與多區域金鑰搭配使用。

多區域金鑰

多區域金鑰是在不同 AWS 區域中具有相同金鑰 ID 和金鑰材料 (以及其他共用屬性) 的一組 KMS 金鑰之一。每個多區域金鑰都是功能完善的 KMS 金鑰,可完全獨立於其相關的多區域金鑰之外使用。因為所有相關的多區域金鑰都有相同的金鑰 ID 和金鑰材料,所以它們可以互通,也就是說,任何 中的任何相關多區域金鑰 AWS 區域 都可以解密任何其他相關多區域金鑰加密的加密文字。

您在建立 KMS 金鑰時會設定其多區域屬性。您無法在現有金鑰上變更多區域屬性。您無法將單一區域金鑰轉換為多區域金鑰,或將多區域金鑰轉換為單一區域金鑰。若要將現有的工作負載移至多區域案例,您必須重新加密資料,或使用新的多區域金鑰建立新的簽章。

多區域金鑰可以是對稱或非對稱,而且可以使用 AWS KMS 金鑰材料或匯入的金鑰材料。您無法在自訂金鑰存放區建立多區域金鑰。

在一組相關的多區域金鑰中,任何時候都只有一個主要金鑰。您可以在其他 AWS 區域建立該主要金鑰的複本金鑰。您也可以更新主要區域,它會將主要金鑰變更為複本金鑰,並將指定的複本金鑰變更為主要金鑰。不過,每個 只能維護一個主索引鍵或複本索引鍵 AWS 區域。所有區域必須在相同的 AWS 分割區中。

您可以在相同或不同的 AWS 區域中擁有多組相關的多區域金鑰。雖然相關的多區域金鑰可互通操作,但不相關的多區域金鑰無法互通操作。

主索引鍵

多區域主金鑰是 KMS 金鑰,可複寫至相同分割區 AWS 區域 中的其他金鑰。每組多區域金鑰只有一個主要金鑰。

主要金鑰與複本金鑰有下列幾點不同之處:

不過,主要和複本金鑰在任何密碼編譯屬性中都沒有差異。您可以互換使用主要金鑰及其複本金鑰。

您不需要複寫主要金鑰。您可以像使用任何 KMS 金鑰一樣使用它,並在有用時對其進行複寫。不過,由於多區域金鑰與單一區域金鑰具有不同的安全屬性,建議您只在計劃複寫時建立多區域金鑰。

複本金鑰

多區域複本金鑰是 KMS 金鑰,其金鑰 ID 和金鑰材料與其主要金鑰和相關複本金鑰相同,但存在於不同的 中 AWS 區域。

複本金鑰是功能完善的 KMS 金鑰,具有自己的金鑰政策、授予、別名、標籤和其他屬性。它不是主要金鑰或任何其他金鑰的指標複本。您可以使用複本金鑰,即使其主要金鑰和所有相關的複本金鑰已停用。您也可以將複本金鑰轉換為主要金鑰,將主要金鑰轉換為複本金鑰。建立後,複本金鑰僅依賴其主要金鑰進行金鑰輪換更新主要區域

主要和複本金鑰在任何密碼編譯屬性中都沒有差異。您可以互換使用主要金鑰及其複本金鑰。透過主要金鑰或複本金鑰加密的資料可以透過相同的金鑰或任何相關的主要金鑰或複本金鑰進行解密。

複寫

您可以將多區域主索引鍵複寫到相同分割區 AWS 區域 中的不同 。當您這樣做時, 會在指定的區域中 AWS KMS 建立多區域複本金鑰,其金鑰 ID 和其他共用屬性與其主要金鑰相同。然後,它會安全地跨越區域邊界傳輸金鑰材料,並將其與新複本金鑰相關聯,全部在 AWS KMS範圍內。

共用屬性

共用屬性是多區域主要金鑰的屬性,其會與其複本金鑰共用。 會 AWS KMS 建立具有與主要金鑰相同共用屬性值的複本金鑰。然後,它會定期將主要金鑰的共用屬性值同步至其複本金鑰。您無法在複本金鑰上設定這些屬性。

以下是多區域金鑰的共用屬性。

您也可以將相關多區域金鑰的主要和複本指定視為共用屬性。當您建立新的複本金鑰更新主金鑰時, 會將變更 AWS KMS 同步至所有相關多區域金鑰。完成這些變更後,所有相關的多區域金鑰都會準確地列出其主要金鑰和複本金鑰。

多區域金鑰的所有其他屬性都是獨立屬性,包括描述、金鑰政策授予已啟用和已停用的金鑰狀態別名,以及標籤。您可以在所有相關的多區域金鑰上為這些屬性設定相同的值,但是如果您變更獨立屬性的值,則 AWS KMS 不會將其同步。

您可以追蹤多區域金鑰之共用屬性的同步。在您的 AWS CloudTrail 日誌中,尋找 SynchronizeMultiRegionKey 事件。