本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
每組相關的多區域金鑰都必須有主要金鑰。但您可以變更主要金鑰。這個動作,稱為更新主要區域,會將目前的主要金鑰轉換為複本金鑰,並將其中一個相關的複本金鑰轉換為主要金鑰。如果您需要在維護複本金鑰的同時刪除目前的主要金鑰,或是要在與金鑰管理員相同的區域中尋找主要金鑰,則可以執行此動作。
您可以選取任何相關的複本金鑰做為新的主要金鑰。主要金鑰和複本金鑰都必須在操作開始時處於 Enabled 金鑰狀態。
Updating金鑰狀態-
即使
UpdatePrimaryRegion操作完成後,更新主要區域的程序仍可能再進行幾秒鐘。在此期間,舊的和新的主要金鑰具有更新的暫時性金鑰狀態。雖然金鑰狀態為Updating,您可以在密碼編譯操作中使用金鑰,但無法複寫新的主要金鑰或執行特定的管理操作,例如啟用或停用這些金鑰。DescribeKey 等操作可能會同時將舊主要金鑰和新主要金鑰顯示為複本。更新完成時,Enabled金鑰狀態會還原。如需有關
Updating金鑰狀態之影響的資訊,請參閱 金鑰的 AWS KMS 金鑰狀態。 - 運作方式
-
假設您在美國東部 (維吉尼亞北部) (us-east-1) 中有主要金鑰和在歐洲 (愛爾蘭) (eu-west-1) 中有複本金鑰。您可以使用更新功能將美國東部 (維吉尼亞北部) (us-east-1) 的主要金鑰變更為複本金鑰,並將歐洲 (愛爾蘭) (eu-west-1) 的複本金鑰變更為主要金鑰。
當更新程序完成時,歐洲 (愛爾蘭) (eu-west-1) 區域的多區域金鑰是多區域主要金鑰,而美國東部 (維吉尼亞北部) (us-east-1) 區域的多區域主要金鑰是其複本金鑰。如果有其他相關的複本金鑰,它們會成為新主要金鑰的複本。下次 AWS KMS 同步多區域金鑰的共用屬性時,它會從新的主金鑰取得共用屬性,並將其複製到其複本金鑰,包括先前的主金鑰。
更新操作並不會影響任何多區域金鑰的金鑰 ARN。它也不會影響共用屬性 (例如金鑰材料) 或獨立屬性 (例如金鑰政策)。不過,您可能想要更新新主要金鑰的金鑰政策。例如,您可能想要為可信任委託人將 kms:ReplicateKey 許可新增至新的主要金鑰,並將其從新的複本金鑰中移除。
更新主要區域
您可以將複本金鑰轉換為主金鑰,這會將先前的主金鑰變更為複本。若要更新主要區域,您需要兩個區域中的 kms:UpdatePrimaryRegion 許可。
您可以在 AWS KMS 主控台或使用 UpdatePrimaryRegion 操作來更新主要區域。
您可以在 AWS KMS 主控台中更新主索引鍵。從目前主要金鑰的金鑰詳細資訊頁面開始。
-
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/kms
開啟 AWS Key Management Service (AWS KMS) 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。
-
選取多區域主要金鑰的金鑰 ID 或別名。如此會開啟主要金鑰的金鑰詳細資訊頁面。
若要識別多區域主要金鑰,請使用右上角的工具圖示新增 Regionality (區域性) 資料欄至資料表。
-
選擇 Regionality (區域性) 索引標籤。
-
在 Primary key (主要金鑰) 區段中,選擇 Change primary Region (變更主要區域)。
-
選擇新主要金鑰的區域。您只可以從選單中選擇一個區域。
Change primary Regions (變更主要區域) 選單只包含具有相關多區域金鑰的區域。您可能沒有更新選單上所有區域中主要區域的許可。
-
選擇 Change primary Region (變更主要區域)。
若要變更一組相關多區域金鑰中的主要金鑰,請使用 UpdatePrimaryRegion 操作。
使用 KeyId 參數來識別目前的主要金鑰。使用 PrimaryRegion 參數來指出新主索引鍵 AWS 區域 的 。如果主要金鑰尚未在新的主要區域中有複本,則操作會失敗。
下列範例會將 us-west-2 區域中多區域金鑰的主要金鑰變更為其在 eu-west-1 區域的複本。KeyId 參數會識別 us-west-2 區域中的目前主要金鑰。PrimaryRegion 參數指定新主索引鍵 AWS 區域 的 eu-west-1。
$aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1
成功時,此操作不會返回任何輸出;只是 HTTP 狀態碼。若要查看效果,請針對任一多區域金鑰呼叫 DescribeKey 操作。您可能需要等到金鑰狀態返回到 Enabled。金鑰狀態為正在更新時,金鑰的值可能仍在變化中。
例如,下列 DescribeKey 呼叫會取得有關 eu-west-1 區域中多區域金鑰的詳細資訊。輸出顯示 eu-west-1 區域中的多區域金鑰現在已成為主要金鑰。us-west-2 區域中相關的多區域金鑰 (相同金鑰 ID) 現在是複本金鑰。
$ aws kms describe-key \
--key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1609193147.831,
"Enabled": true,
"Description": "multi-region-key",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-west-2"
}
]
}
}
}