建立多區域複本金鑰 - AWS Key Management Service
複本區域建立複本金鑰 (主控台)建立複本金鑰 (AWS KMS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立多區域複本金鑰

您可以使用ReplicateKey作業或使用AWS CloudFormation範本,在主AWS KMS控台中建立多區域複本金鑰。您無法使用此CreateKey作業來建立複本金鑰。

您可以使用這些程序複製任何多區域主要金鑰,包括對稱加密 KMS 金鑰非對稱 KMS 金鑰HMAC KMS 金鑰

當這項操作完成時,新的複本金鑰會有短暫的 Creating 金鑰狀態。建立新複本金鑰的程序完成後,此金鑰狀態會在幾秒鐘後變更為 Enabled (或 PendingImport)。雖然金鑰狀態為 Creating,您可以管理金鑰,但還無法在密碼編譯操作中使用金鑰。如果您以程式設計方式建立並使用複本金鑰,請在使用前重試KMSInvalidStateException或呼叫DescribeKey以檢查其KeyState值。

如果錯誤地刪除了複本金鑰,則可使用此程序重新建立。如果您在同一個區域中複寫相同的主要金鑰,則您建立的新複本金鑰將具有相同的共用屬性作為原始複本金鑰。

重要

請勿在別名、說明或標籤包含機密或敏感資訊。在 CloudTrail 記錄檔和其他輸出中,這些欄位可能會以純文字顯示。

進一步了解

複本區域

您通常會根據您的業務模式和法規要求選擇將多區域金鑰複寫至 AWS 區域。例如,您可能會將金鑰複寫至您保留資源的區域。或者,為了符合災難復原要求,您可以將金鑰複寫至地理位置偏遠的區域。

如下是複本區域的 AWS KMS 要求。如果您選擇的區域不符合這些要求,則嘗試複寫金鑰會失敗。

  • 每個區域一個相關的多區域金鑰 – 您無法在與其主要金鑰相同的區域中建立複本金鑰,或在與主要金鑰之另一個複本相同的區域中建立複本金鑰。

    如果嘗試在已有該主要金鑰的區域中複寫主要金鑰,則嘗試會失敗。如果區域中目前的複本金鑰處於 PendingDeletion 金鑰狀態,您可以取消複本金鑰刪除,或等到複本金鑰刪除完成。

  • 同一區域中多個不相關的多個區域金鑰 – 您可以在同一區域中擁有多個不相關的多區域金鑰。例如,您可以在 us-east-1 區域中有兩個多區域主要金鑰。每個主要金鑰都可以在 us-west-2 區域中有複本金鑰。

  • 相同分割區中的區域 – 複本金鑰區域必須位於與主要金鑰區域相同的 AWS 分割區中。

  • 必須啟用區域 – 如果區域預設為停用,則您無法在該區域中建立任何資源,直到為您的 AWS 帳戶 啟用。

建立複本金鑰 (主控台)

在 AWS KMS 主控台中,您可以在相同操作中建立多區域主要金鑰的一或多個複本。

此程序類似於在主控台中建立標準的單一區域 KMS 金鑰。不過,因為複本金鑰是以主要金鑰為基礎,所以您不會選取共用屬性的值,例如金鑰規格 (對稱或非對稱)、金鑰使用情形或金鑰來源。

您可以指定不共用的屬性,包括別名、標籤、描述和金鑰政策。為了方便起見,主控台會顯示主要金鑰的目前屬性值,但您可以對其進行變更。即使您保留主要鍵值,AWS KMS 也不會保持這些值同步。

重要

請勿在別名、說明或標籤包含機密或敏感資訊。在 CloudTrail 記錄檔和其他輸出中,這些欄位可能會以純文字顯示。

  1. 請登入 AWS Management Console,並開啟 AWS Key Management Service (AWS KMS) 主控台 (網站:https://console.aws.amazon.com/kms)。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選取器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

  4. 選取多區域主要金鑰的金鑰 ID 或別名。如此會開啟 KMS 金鑰的金鑰詳細資訊頁面。

    若要識別多區域主要金鑰,請使用右上角的工具圖示新增 Regionality (區域性) 資料欄至資料表。

  5. 選擇 Regionality (區域性) 索引標籤。

  6. Related multi-Region keys (相關的多區域金鑰) 區段中,選擇 Create new replica keys (建立新的複本金鑰)。

    Related multi-Region keys (相關的多區域金鑰) 區段會顯示主要金鑰及其複本金鑰的區域。您可以使用此顯示來協助您為新複本金鑰選擇區域。

  7. 選擇一或多個 AWS 區域。此操作程序會在您選取的每個區域中建立複本金鑰。

    該選單只包括與主要金鑰所在相同 AWS 分割區中的區域。已有相關多區域金鑰的區域會顯示出來,但無法選取。您可能沒有許可將金鑰複寫至選單上的所有區域。

    完成選擇「區域」後,請關閉選單。隨即會顯示您選擇的區域。若要取消複寫至區域,請選擇區域名稱旁邊的 X

  8. 輸入複本金鑰的別名

    主控台會顯示主要金鑰目前的其中一個別名,但您可以對其進行變更。您可以為多區域主要金鑰及其複本提供相同的別名或不同的別名。別名不是多區域金鑰的共用屬性。AWS KMS 不會同步多區域金鑰的別名。

    新增、刪除或更新別名可允許或拒絕 KMS 金鑰的許可。如需詳細資訊,請參閱 AWS KMS 的 ABAC使用別名來控制KMS金鑰的存取

  9. (選用) 輸入複本金鑰的描述。

    主控台會顯示主要金鑰的當前描述,但您可以對其進行變更。描述不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的描述或不同的描述。AWS KMS 不會同步多區域金鑰的金鑰描述。

  10. (選用) 輸入標籤索引鍵和選用標籤值。若要為複本金鑰指派超過一個標籤,請選擇 Add tag (新增標籤)。

    主控台會顯示目前連接至主要金鑰的標籤,但您可以對其進行變更。標籤不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的標籤或不同的標籤。AWS KMS 不會同步多區域金鑰的標籤。

    標記或取消標記 KMS 金鑰可以允許或拒絕 KMS 金鑰的許可。如需詳細資訊,請參閱 AWS KMS 的 ABAC使用標籤來控制對 KMS 金鑰的存取

  11. 選取可管理複本金鑰的 IAM 使用者和角色。

    注意

    IAM 政策可授權其他 IAM 使用者和角色來管理複本金鑰。

    IAM 最佳實務不建議使用具有長期憑證的 IAM 使用者。盡可能使用提供臨時憑證的 IAM 角色。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的安全性最佳實務

    這個步驟會開始為複本金鑰建立金鑰政策的程序。主控台會顯示主要金鑰的當前金鑰政策,但您可以對其進行變更。金鑰政策不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的金鑰政策或不同的金鑰政策。AWS KMS 不會同步金鑰政策。您可以隨時變更任何 KMS 金鑰的金鑰政策。

  12. 完成建立金鑰政策的步驟,包括選取金鑰使用者。檢閱金鑰政策後,選擇 Finish (完成) 以建立複本金鑰。

顯示較多顯示較少

建立複本金鑰 (AWS KMS API)

若要建立多區域複本金鑰,請使用作ReplicateKey業。您無法使用此CreateKey作業來建立複本金鑰。此操作一次會建立一個複本金鑰。您指定的區域必須符合複本金鑰的區域要求

當使用 ReplicateKey 操作時,您不需要為多區域金鑰的任何共用屬性指定值。共用屬性值會從主要金鑰複製並保持同步。然而,您可以為不共用的屬性指定值。否則,AWS KMS 會套用 KMS 金鑰的標準預設值,而不是主要金鑰的值。

注意

如不為 DescriptionKeyPolicyTags 參數指定值,則 AWS KMS 會建立複本金鑰 (具空字串描述、預設金鑰政策,且無標籤)。

請勿在 DescriptionTags 欄位包含機密或敏感資訊。在 CloudTrail 記錄檔和其他輸出中,這些欄位可能會以純文字顯示。

例如,以下命令會在亞太區域 (雪梨) 區域 (ap-southeast-2) 建立多區域複本金鑰。此複本金鑰是基於美國東部 (維吉尼亞北部) 區域 (us-east-1) 的主要金鑰進行建模,由 KeyId 參數值識別。此範例會接受所有其他屬性 (包括金鑰政策) 的預設值。

回應會描述新的複本金鑰。它包含共用屬性的欄位,例如 KeyIdKeySpecKeyUsage,以及金鑰材料來源 (Origin)。它也包含獨立於主要金鑰的屬性,例如 Description、金鑰政策 (ReplicaKeyPolicy) 和標籤 (ReplicaTags)。

回應還包括金鑰 ARN 和主要金鑰的區域及其所有複本金鑰,包括剛剛在 ap-southeast-2 區域中建立的金鑰。在此範例中,ReplicaKey 元素顯示此主要金鑰已在歐洲 (愛爾蘭) 區域 (eu-west-1) 中複寫。

$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}
顯示較多顯示較少