本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

多區域按鍵 AWS KMS

AWS KMS 支援多區域金鑰，這些金鑰不同， AWS 區域 可互換使用，就好像您 AWS KMS keys 在多個區域擁有相同的金鑰一樣。每組相關的多區域金鑰都具有相同的金鑰材料和金鑰 ID，因此您可以將其中的資料加密 AWS 區域 並以不同的方式解密， AWS 區域 而無需重新加密或進行跨區域呼叫。 AWS KMS

與所有 KMS 金鑰一樣，多區域金鑰永遠不會保留 AWS KMS 未加密。您可以建立用於加密或簽署的對稱或非對稱多區域金鑰、建立 HMAC 多區域金鑰來產生和驗證 HMAC 標籤，以及使用匯入的金鑰材料或產生的金鑰材料建立多區域金鑰。 AWS KMS 您必須獨立管理每個多區域金鑰，包括建立別名和標籤、設定其金鑰政策和授予，以及選擇性地將其啟用和停用。您可以在所有可以使用單一區域金鑰執行的密碼編譯操作中使用多區域金鑰。

多區域金鑰是靈活且強大的解決方案，適用於許多常見的資料安全案例。

您可以將多區域金鑰與用戶端加密程式庫搭配使用，例如 AWS Encryption SDK、DynamoDB 加密用戶端和 Amazon S3 用戶端加密。如需將多區域金鑰與 Amazon DynamoDB 全域表和 DynamoDB 加密用戶端搭配使用的範例，請參閱安全部落格中的使用AWS KMS 多區域金鑰加密全域資料用戶端。 AWS

AWS 與 AWS KMS靜態加密或數位簽章整合的服務目前會將多區域金鑰視為單一區域金鑰。其可能會重新包裝或重新加密在區域之間移動的資料。例如，Amazon S3 跨區域複寫會在目的地區域的 KMS 金鑰下解密和重新加密資料，即使複寫受多區域金鑰保護的物件也一樣。

多區域金鑰不適用於全域。您建立多區域主要金鑰，然後將其複寫到您在 AWS 分割區內選取的區域中。然後，您可以獨立管理每個區域中的多區域金鑰。 AWS 也不會代表您 AWS KMS 自動建立或複製多區域金鑰至任何區域。 AWS 受管金鑰 AWS 服務在您的帳戶中為您建立的 KMS 金鑰一律為單一區域金鑰。

您無法將現有的單一區域金鑰轉換為多區域金鑰。此設計可確保所有受現有單一區域金鑰保護的資料都維持相同的資料落地和資料主權屬性。

針對大多數資料安全需求，區域資源的區域隔離和容錯功能使標準 AWS KMS 單一區域金鑰成為最適合的解決方案。不過，當您需要跨多個區域加密或簽署用戶端應用程式中的資料時，多區域金鑰可能就是解決方案。

區域

除中國（北京）和中國（寧夏） AWS 區域 以外，所有 AWS KMS 支持的支持都支持多區域密鑰。

定價和配額

一組相關多區域金鑰中的每個金鑰都會計為一個 KMS 金鑰，用於定價和配額。AWS KMS 配額會針對帳戶的每個區域個別計算。在每個區域中使用和管理多區域金鑰會計為該區域的配額。

支援的 KMS 金鑰類型

您可以建立以下類型的多區域 KMS 金鑰：

您無法在自訂金鑰存放區建立多區域金鑰。

多區域金鑰的安全考量

只有在需要時才使用 AWS KMS 多區域金鑰。多區域金鑰為在 AWS 區域 之間移動加密資料的工作負載或需要跨區域存取的工作負載提供靈活且可擴展的解決方案。如果您必須跨區域共用、移動或備份受保護的資料，或者需要建立在不同區域中運作之應用程式的相同數位簽章，請考慮使用多區域金鑰。

不過，建立多區域金鑰的程序會在 AWS KMS內跨 AWS 區域 邊界移動您的金鑰材料。由多區域金鑰產生的加密文字可能會由多個地理位置中的多個相關金鑰進行解密。區域隔離的服務和資源也有顯著的優勢。每個 AWS 區域 都是隔離的，且與其他區域各自獨立。區域提供容錯能力、穩定性和恢復能力，也可降低延遲。它們可讓您建立冗餘資源，這些資源會保持可用且不受其他區域運行中斷的影響。在中 AWS KMS，他們還確保每個密文只能通過一個密鑰進行解密。

多區域金鑰也會引發新的安全考量：

為了讓您更輕鬆地管理多區域金鑰的存取控制，複寫多區域金鑰 (kms: ReplicateKey) 的權限與建立金鑰的標準權限 (kms: CreateKey) 不同。此外， AWS KMS 支援多區域金鑰的多個原則條件kms:MultiRegion，包括允許或拒絕建立、使用或管理多區域金鑰的權限kms:ReplicaRegion，以及限制可複寫多區域金鑰的區域。如需詳細資訊，請參閱 控制對多區域金鑰的存取。

多區域金鑰的運作方式

首先，您可以在 AWS KMS 支援的 (例如美國東部 (維吉尼亞北部) 中建立對稱或非對稱的多區域主索引鍵。 AWS 區域 只有在建立金鑰時，您才會決定是單一區域金鑰還是多區域金鑰；之後就無法變更此屬性。與任何 KMS 金鑰一樣，您可以設定多區域金鑰的金鑰政策，並建立授予，以及新增分類和授權的別名和標籤。(這些是獨立屬性，並未與其他金鑰共用或同步。) 您可以在密碼編譯操作中使用多區域主要金鑰進行加密或簽署。

您可以在主 AWS KMS 控台中建立多區域主索引鍵，或使用 CreateKeyAPI 並將MultiRegion參數設定為true。請注意，多區域金鑰具有開頭為 mrk- 的獨特金鑰 ID。您可以使用 mrk- 字首，以程式設計方式識別 MRK。

如果您選擇，您可以將多區域主索引鍵複製到相同AWS 分割區 AWS 區域 中的一個或多個不同的金鑰，例如歐洲 (愛爾蘭)。當您這麼做時， AWS KMS 會在指定的區域中建立複本金鑰，並具有與主索引鍵相同的金鑰 ID 和其他共用內容。然後，它會安全地跨越區域邊界傳輸金鑰材料，並將其與目的地區域中的新 KMS 金鑰相關聯，全部在 AWS KMS範圍內。其結果是兩個相關多區域金鑰 (主要金鑰和複本金鑰) 可以互換使用。

您可以在 AWS KMS 主控台或使用 ReplicateKeyAPI 建立多區域複本金鑰。

由此產生的多區域複本金鑰是功能齊全的 KMS 金鑰，具有與主要金鑰相同的共用屬性。在所有其他方面，它是獨立的 KMS 金鑰，具有自己的描述、金鑰政策、授予、別名和標籤。啟用或停用多區域金鑰不會影響相關的多區域金鑰。您可以在密碼編譯操作中獨立使用主要金鑰和複本金鑰，或協調其使用。例如，您可以使用美國東部 (維吉尼亞北部) 區域的主要金鑰來加密資料、將資料移至歐洲 (愛爾蘭) 區域，然後使用複本金鑰來解密資料。

相關的多區域金鑰具有相同的金鑰 ID。其金鑰 ARN (Amazon Resource Name) 僅在區域字段中不同。例如，多區域主要金鑰和複本金鑰可能具有下列範例金鑰 ARN。金鑰 ID (金鑰 ARN 中的最後一個元素) 是相同的。兩個金鑰都有多區域金鑰的獨特金鑰 ID，開頭為 mrk-。

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

具有相同的金鑰 ID 才能交互操作。加密時，會將 KMS 金鑰的金鑰識別碼 AWS KMS 繫結至加密文字，因此只能使用該 KMS 金鑰或具有相同金鑰識別碼的 KMS 金鑰來解密密文。這項功能也讓相關的多區域金鑰易於識別，並且可以更輕鬆地對其進行互換使用。例如，在應用程式中使用時，您可以透過其共用金鑰 ID 來引用相關的多區域金鑰。然後，如有必要，請指定區域或 ARN 來區分這些金鑰。

隨著資料需求變更，您可以將主索引鍵複製到相同分割區 AWS 區域 中的其他索引鍵，例如美國西部 (奧勒岡) 和亞太區域 (雪梨)。其結果是具有相同金鑰材料和金鑰 ID 的四個相關多區域金鑰，如下圖所示。您可以獨立管理金鑰。您可以獨立或以協調的方式使用這些金鑰。例如，您可以使用亞太區域 (雪梨) 中的複本金鑰來加密資料、將資料移至美國西部 (奧勒岡)，然後使用美國西部 (奧勒岡) 的複本金鑰來解密資料。

多區域金鑰的其他考量包括下列各項。

同步處理共用內容 — 如果多區域金鑰的共用內容發生變更， AWS KMS 會自動將主索引鍵的變更同步至其所有複本金鑰。您無法要求或強制執行共用內容的同步處理。 AWS KMS 為您檢測並同步所有更改。不過，您可以使用 CloudTrail 記錄檔中的SynchronizeMultiRegionKey事件來稽核同步處理。

例如，如果您在對稱的多區域主索引鍵上啟用自動金鑰輪換，則會 AWS KMS 將該設定複製到其所有複本金鑰。輪換金鑰材料時，所有相關多區域金鑰之間的輪換會同步，因此其仍然具有相同的當前金鑰材料，並存取所有舊版的金鑰材料。如果您建立新的複本金鑰，則該金鑰具有與所有相關多區域金鑰相同的當前金鑰材料，並可存取所有舊版金鑰材料。如需詳細資訊，請參閱 輪換多區域金鑰。

變更主要金鑰 – 每組多區域金鑰必須只有一個主要金鑰。主要金鑰是唯一可以複寫的金鑰。它也是其複本金鑰共用屬性的來源。但是您可以將主要金鑰變更為複本，並將其中一個複本金鑰升級為主要金鑰。您可以這樣做，以便您可以從特定區域刪除多區域主要金鑰，或者在更接近專案管理員的區域找到主要金鑰。如需詳細資訊，請參閱 更新主要區域。

刪除多區域金鑰 — 與所有 KMS 金鑰一樣，您必須先排定刪除多區域金鑰，然後再 AWS KMS 刪除多區域金鑰。當金鑰正在等待刪除時，您無法在任何密碼編譯操作中使用金鑰。但是， AWS KMS 在刪除其所有複本金鑰之前，不會刪除多區域主索引鍵。如需詳細資訊，請參閱 刪除多區域金鑰。

概念

下列術語和概念與多區域金鑰搭配使用。

多區域金鑰

多區域金鑰是在不同 AWS 區域中具有相同金鑰 ID 和金鑰材料 (以及其他共用屬性) 的一組 KMS 金鑰之一。每個多區域金鑰都是功能完善的 KMS 金鑰，可完全獨立於其相關的多區域金鑰之外使用。由於所有相關的多區域金鑰都具有相同的金鑰 ID 和金鑰材料，因此它們可互通，也就是說，任何相關的多區域金鑰都 AWS 區域 可以解密由任何其他相關多區域金鑰加密的加密文字。

您在建立 KMS 金鑰時會設定其多區域屬性。您無法在現有金鑰上變更多區域屬性。您無法將單一區域金鑰轉換為多區域金鑰，或將多區域金鑰轉換為單一區域金鑰。若要將現有的工作負載移至多區域案例，您必須重新加密資料，或使用新的多區域金鑰建立新的簽章。

多區域金鑰可以是對稱或非對稱的，它可以使用 AWS KMS 金鑰材料或匯入的金鑰材料。您無法在自訂金鑰存放區建立多區域金鑰。

在一組相關的多區域金鑰中，任何時候都只有一個主要金鑰。您可以在其他 AWS 區域建立該主要金鑰的複本金鑰。您也可以更新主要區域，它會將主要金鑰變更為複本金鑰，並將指定的複本金鑰變更為主要金鑰。但是，您只能在每個主索引鍵或複本金鑰中維護一個 AWS 區域。所有區域必須在相同的 AWS 分割區中。

您可以在相同或不同的 AWS 區域中擁有多組相關的多區域金鑰。雖然相關的多區域金鑰可互通操作，但不相關的多區域金鑰無法互通操作。

主索引鍵

多區域主索引鍵是 KMS 金鑰，可以複寫到同一個磁碟分割 AWS 區域 中的其他金鑰。每組多區域金鑰只有一個主要金鑰。

主要金鑰與複本金鑰有下列幾點不同之處：

不過，主要和複本金鑰在任何密碼編譯屬性中都沒有差異。您可以互換使用主要金鑰及其複本金鑰。

您不需要複寫主要金鑰。您可以像使用任何 KMS 金鑰一樣使用它，並在有用時對其進行複寫。不過，由於多區域金鑰與單一區域金鑰具有不同的安全屬性，建議您只在計劃複寫時建立多區域金鑰。

複本金鑰

多區域複本金鑰是 KMS 金鑰，具有與其主要金鑰和相關複本金鑰相同的金鑰 ID 和金鑰材料，但存在於不同的 AWS 區域中。

複本金鑰是功能完善的 KMS 金鑰，具有自己的金鑰政策、授予、別名、標籤和其他屬性。它不是主要金鑰或任何其他金鑰的指標複本。您可以使用複本金鑰，即使其主要金鑰和所有相關的複本金鑰已停用。您也可以將複本金鑰轉換為主要金鑰，將主要金鑰轉換為複本金鑰。建立後，複本金鑰僅依賴其主要金鑰進行金鑰輪換和更新主要區域。

主要和複本金鑰在任何密碼編譯屬性中都沒有差異。您可以互換使用主要金鑰及其複本金鑰。透過主要金鑰或複本金鑰加密的資料可以透過相同的金鑰或任何相關的主要金鑰或複本金鑰進行解密。

複寫

您可以將多區域主索引鍵複製到相同磁碟分割 AWS 區域 中的不同金鑰。當您這麼做時， AWS KMS 會在指定的區域中建立多區域複本金鑰，並具有與其主索引鍵相同的金鑰 ID 和其他共用內容。然後，它會安全地跨越區域邊界傳輸金鑰材料，並將其與新複本金鑰相關聯，全部在 AWS KMS範圍內。

共用屬性

共用內容是與其複本金鑰共用的多區域主索引鍵的內容。 AWS KMS 建立具有與主索引鍵相同共用屬性值的複本金鑰。然後，它會定期將主要金鑰的共用屬性值同步至其複本金鑰。您無法在複本金鑰上設定這些屬性。

以下是多區域金鑰的共用屬性。

您也可以將相關多區域金鑰的主要和複本指定視為共用屬性。當您建立新的複本金鑰或更新主索引鍵時，會將變更 AWS KMS 同步處理至所有相關的多區域金鑰。完成這些變更後，所有相關的多區域金鑰都會準確地列出其主要金鑰和複本金鑰。

多區域金鑰的所有其他屬性都是獨立屬性，包括描述、金鑰政策、授予、已啟用和已停用的金鑰狀態、別名，以及標籤。您可以在所有相關的多區域金鑰上為這些屬性設定相同的值，但是如果您變更獨立屬性的值，則 AWS KMS 不會將其同步。

您可以追蹤多區域金鑰之共用屬性的同步。在您的 AWS CloudTrail 記錄檔中尋找SynchronizeMultiRegionKey事件。