Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schlüssel für mehrere Regionen eingeben AWS KMS
AWS KMS unterstützt *Schlüssel für mehrere Regionen*, AWS-Regionen die unterschiedlich sind und synonym verwendet werden können — als ob Sie denselben Schlüssel AWS KMS keys in mehreren Regionen hätten. Jeder Satz *verwandter* Schlüssel für mehrere Regionen hat dasselbe Schlüsselmaterial und dieselbe [Schlüssel-ID](concepts.md#key-id-key-id), sodass Sie Daten in einem Schlüssel verschlüsseln AWS-Region und in einem anderen entschlüsseln können, AWS-Region ohne sie erneut zu verschlüsseln oder regionsübergreifend aufzurufen. AWS KMS
Wie alle KMS-Schlüssel bleiben Schlüssel für mehrere Regionen niemals unverschlüsselt. AWS KMS Sie können symmetrische oder asymmetrische multiregionale Schlüssel zur Verschlüsselung oder Signatur erstellen, multiregionale HMAC-Schlüssel zur Erstellung und Überprüfung von HMAC-Tags und [multiregionale Schlüssel mit importiertem Schlüsselmaterial](importing-keys.md) erstellen, oder mit von AWS KMS generiertem Schlüsselmaterial. Sie müssen jeden multiregionalen Schlüssel verwalten, unabhängig voneinander, einschließlich der Erstellung von Aliasen und Tags und der Festlegung ihrer wichtigsten Richtlinien und Berechtigungen sowie der selektiven Aktivierung und Deaktivierung. Sie können multiregionale Schlüssel in allen kryptografischen Operationen verwenden, die Sie mit einzelregionalen Schlüsseln ausführen können.
Multiregionale Schlüssel sind eine flexible und leistungsstarke Lösung für viele gängige Datensicherheitsszenarien.
**Notfallwiederherstellung **
In einer Sicherungs- und Wiederherstellungsarchitektur können Sie mit Schlüsseln für mehrere Regionen verschlüsselte Daten auch bei einem Ausfall unterbrechungsfrei verarbeiten. AWS-Region Daten, die in Backup-Regionen verwaltet werden, können im Backup-Bereich entschlüsselt werden, und Daten, die im Backup-Bereich neu verschlüsselt wurden, können in der primären Region entschlüsselt werden, wenn diese Region wiederhergestellt wird.
**Globales Datenmanagement**
Unternehmen, die global tätig sind, benötigen global verteilte Daten, die konsistent über AWS-Regionen verfügbar sind. Sie können multiregionale Schlüssel in allen Regionen erstellen, in denen sich Ihre Daten befinden. Anschließend können Sie die Schlüssel so verwenden, als wären sie einzelregionale Schlüssel, ohne die Latenz eines regionsübergreifenden Anrufs oder die Kosten für die erneute Verschlüsselung von Daten unter einem anderen Schlüssel in jeder Region.
**Verteilte Signaturanwendungen**
Anwendungen, die regionsübergreifende Signaturfunktionen erfordern, können asymmetrische Signaturschlüssel für mehrere Regionen verwenden, um identische digitale Signaturen konsistent und wiederholt in verschiedenen AWS-Regionen zu generieren.
Wenn Sie die Zertifikatsverkettung mit einem einzigen globalen Vertrauensspeicher (für eine einzelne Stammzertifizierungsstelle (CA)) und einem von der Stammzertifizierungsstelle CAs signierten Regional Intermediate verwenden, benötigen Sie keine Schlüssel für mehrere Regionen. Wenn Ihr System jedoch keine Zwischenzertifizierungen wie Anwendungssignaturen unterstützt CAs, können Sie Schlüssel für mehrere Regionen verwenden, um regionale Zertifizierungen einheitlich zu gestalten.
**Aktiv/aktiv-Anwendungen, die sich über mehrere Regionen erstrecken**
Einige Arbeitslasten und Anwendungen können sich über mehrere Regionen in aktiv/aktiv-Architekturen erstrecken. Für diese Anwendungen können multiregionale Schlüssel die Komplexität reduzieren, indem sie dasselbe Schlüsselmaterial für gleichzeitige Verschlüsselungs- und Entschlüsselungsoperationen für Daten bereitstellen, die möglicherweise über Regionsgrenzen hinweg verschoben werden.
Sie können Schlüssel für mehrere Regionen mit clientseitigen Verschlüsselungsbibliotheken wie dem [AWS Encryption SDKAWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)[Database Encryption SDK und der clientseitigen [Amazon S3 S3-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) verwenden.
Die meisten [AWS Dienste, die Verschlüsselung im Ruhezustand oder digitale Signaturen integrieren, behandeln Schlüssel mit AWS KMS](https://aws.amazon.com/kms/features/) mehreren Regionen derzeit so, als wären sie Schlüssel mit nur einer Region. Sie können Daten, die zwischen Regionen verschoben wurden, erneut verpacken oder neu verschlüsseln. Beispielsweise entschlüsselt die regionsübergreifende Amazon S3-Replikation Daten unter einem KMS-Schlüssel in der Zielregion und verschlüsselt sie erneut, selbst wenn Objekte repliziert werden, die durch einen Schlüssel für mehrere Regionen geschützt sind. In der dienstspezifischen Dokumentation erfahren Sie, wie ein Service verschlüsselte Daten repliziert und ob er Schlüssel mit mehreren Regionen unterschiedlich behandelt.
Multiregionale Schlüssel sind nicht global. Sie erstellen einen multiregionalen Primärschlüssel und replizieren ihn dann in Regionen, die Sie in einer [AWS -Partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) auswählen. Anschließend verwalten Sie den multiregionalen Schlüssel in jeder Region unabhängig. AWS Weder erstellt noch AWS KMS jemals automatisch Schlüssel für mehrere Regionen in Ihrem Namen oder repliziert sie in eine Region. [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key), bei den KMS-Schlüsseln, die AWS Dienste in Ihrem Konto für Sie erstellen, handelt es sich immer um Schlüssel für einzelne Regionen.
In chinesischen Regionen können Sie die Schlüsselfunktion für mehrere Regionen verwenden, um KMS-Schlüssel innerhalb der Partition China Regions () `aws-cn` zu replizieren. Sie können beispielsweise einen Schlüssel von der Region China (Peking) in die Region China (Ningxia) replizieren oder umgekehrt. Durch die Replikation eines Schlüssels von einer China Region in eine andere erklären Sie sich damit einverstanden, den Schlüssel AWS Key Management Service der Zielregion zu verwenden und alle für die Zielregion geltenden Vertragsbedingungen einzuhalten. Sie können einen Schlüssel aus den Regionen Peking und Ningxia nicht in eine AWS Region außerhalb der Partition China Regions replizieren. Ebenso können Sie einen Schlüssel aus einer Region außerhalb der Partition China Regions nicht in die Regionen Peking und Ningxia replizieren.
Sie können einen vorhandenen einzelregionalen Schlüssel nicht in einen multiregionalen Schlüssel konvertieren. Dieses Merkmal stellt sicher, dass alle Daten, die mit vorhandenen einzelregionalen Schlüsseln geschützt sind, dieselben Datenresidenz- und Datensouveränitäts-Eigenschaften beibehalten.
Für die meisten Datensicherheitsanforderungen sind Standardschlüssel für AWS KMS einzelne Regionen aufgrund der regionalen Isolierung und Fehlertoleranz regionaler Ressourcen die am besten geeignete Lösung. Wenn Sie jedoch Daten in clientseitigen Anwendungen über mehrere Regionen hinweg verschlüsseln oder signieren müssen, sind multiregionale Schlüssel möglicherweise die Lösung.
**Regionen**
Schlüssel für mehrere Regionen werden in allem AWS-Regionen unterstützt, was unterstützt wird. AWS KMS
**Preise und Kontingente**
Jeder Schlüssel in einem Satz verwandter multiregionaler Schlüssel zählt als ein KMS-Schlüssel für Preise und Kontingente. [AWS KMS -Kontingente](limits.md) werden separat für jede Region eines Kontos berechnet. Die Verwendung und Verwaltung der multiregionalen Schlüssel in jeder Region zählen zu den Kontingenten für diese Region.
**Unterstützte KMS-Schlüsseltypen**
Sie können die folgenden Typen von für mehrere Regionen geltenden KMS-Schlüsseln erstellen:
+ KMS-Schlüssel zur symmetrischen Verschlüsselung
+ Asymmetrische KMS-Schlüssel
+ HMAC-KMS-Schlüssel
+ KMS-Schlüssel mit importiertem Schlüsselmaterial
Sie können keine multiregionale Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.
**Weitere Informationen**
+ Informationen zur Steuerung des Zugriffs auf KMS-Schlüssel mit mehreren Regionen finden Sie unter. [Steuern Sie den Zugriff auf Schlüssel für mehrere Regionen](multi-region-keys-auth.md)
+ Informationen zum Erstellen von primären KMS-Schlüsseln für mehrere Regionen eines beliebigen Typs finden Sie unter. [Primärschlüssel für mehrere Regionen erstellen](create-primary-keys.md)
+ Informationen zum Erstellen von Replikat-KMS-Schlüsseln für mehrere Regionen finden Sie unter. [Replikatschlüssel für mehrere Regionen erstellen](multi-region-keys-replicate.md)
+ Informationen zum Aktualisieren der primären Region finden Sie unter. [Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen](multi-region-update.md)
+ Informationen zum Identifizieren und Anzeigen von KMS-Schlüsseln für mehrere Regionen finden Sie unter[Identifizieren Sie HMAC-KMS-Schlüssel](identify-key-types.md#hmac-view).
+ Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln für mehrere Regionen finden Sie unter. [Deleting multi-Region keys](deleting-keys.md#deleting-mrks)
## Terminologie und Konzepte
Die folgenden Begriffe und Konzepte werden mit multiregionalen Schlüsseln verwendet.
### Multiregionaler Schlüssel
Ein *multiregionaler Schlüssel* ist einer von einer Reihe von KMS-Schlüsseln mit derselben Schlüssel-ID und demselben Schlüsselmaterial (und anderen [gemeinsam genutzten Eigenschaften](#mrk-replica-key)) in verschiedenen AWS-Regionen. Jeder multiregionale Schlüssel ist ein voll funktionsfähiger KMS-Schlüssel, der vollständig unabhängig von seinen verwandten multiregionalen Schlüsseln verwendet werden kann. Da alle *zugehörigen* Schlüssel für mehrere Regionen dieselbe Schlüssel-ID und dasselbe Schlüsselmaterial haben, sind sie *interoperabel*, d. h. jeder zugehörige Schlüssel für mehrere Regionen AWS-Region kann Chiffretext entschlüsseln, der mit einem anderen zugehörigen Schlüssel für mehrere Regionen verschlüsselt wurde.
Sie legen die multiregionale Eigenschaft eines KMS-Schlüssels fest, wenn Sie ihn erstellen. Sie können die multiregionale Eigenschaft für einen vorhandenen Schlüssel nicht ändern. Einzelregionale Schlüssel können nicht in multiregionale Schlüssel konvertiert werden oder umgekehrt. Um vorhandene Workloads in multiregionale Szenarien zu verschieben, müssen Sie die Daten erneut verschlüsseln oder neue Signaturen mit neuen multiregionalen Schlüsseln erstellen.
[Ein Schlüssel mit mehreren Regionen kann [symmetrisch oder asymmetrisch sein und er kann Schlüsselmaterial oder importiertes](symmetric-asymmetric.md) Schlüsselmaterial verwenden. AWS KMS](importing-keys.md) Sie können keine multiregionale Schlüssel in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) verwenden.
In einer Reihe von verwandten multiregionalen Schlüsseln gibt es zu jeder Zeit genau einen [Primärschlüssel](#mrk-primary-key). Sie können [Replikatschlüsseln](#mrk-replica-key) dieses Primärschlüssels in anderen AWS-Regionen erstellen. Sie können auch [die primäre Region aktualisieren](multi-region-update.md#update-primary-console), wodurch der Primärschlüssel in einen Replikatschlüssel und ein angegebener Replikatschlüssel in den Primärschlüssel geändert wird. Sie können jedoch jeweils nur einen Primärschlüssel oder Replikatschlüssel verwalten. AWS-Region Alle Regionen müssen sich in derselben [AWS -Partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) befinden.
Sie können mehrere Sätze von verwandten multiregionalen Schlüsseln in der gleichen oder in unterschiedlichen AWS-Regionen haben. Obwohl verwandte multiregionale Schlüssel interoperabel sind, sind unverwandte multiregionale Schlüssel nicht interoperabel.
### Primärschlüssel
Ein *Primärschlüssel* mit mehreren Regionen ist ein KMS-Schlüssel, der auf andere AWS-Regionen in derselben Partition repliziert werden kann. Jeder Satz von multiregionalen Schlüsseln hat nur einen Primärschlüssel.
Ein Primärschlüssel unterscheidet sich von einem Replikatschlüssel wie folgt:
+ Nur ein Primärschlüssel kann [repliziert](multi-region-keys-replicate.md) werden.
+ Der Primärschlüssel ist die Quelle für die [gemeinsam genutzten Eigenschaften](#mrk-replica-key) seiner [Replikatschlüssel](#mrk-replica-key), einschließlich Schlüsselmaterial und Schlüssel-ID.
+ Sie können die automatische [Schlüsseldrehung](rotate-keys.md) nur für einen Primärschlüssel aktivieren oder deaktivieren.
+ Sie können jederzeit [das Löschen eines Primärschlüssels planen](deleting-keys.md#deleting-mrks). Ein Primärschlüssel AWS KMS wird jedoch erst gelöscht, wenn alle seine Replikatschlüssel gelöscht sind.
Primär- und Replikatschlüssel unterscheiden sich jedoch nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden.
Sie müssen keinen Primärschlüssel replizieren. Sie können ihn genauso verwenden wie jeden KMS-Schlüssel und dabb replizieren, wenn es nützlich ist. Da multiregionale Schlüssel jedoch andere Sicherheitseigenschaften haben als einzelregionale Schlüssel, empfiehlt es sich, einen multiregionalen Schlüssel nur dann zu erstellen, wenn Sie ihn replizieren möchten.
### Replikat-Schlüssel
Ein *Replikatschlüssel* mit mehreren Regionen ist ein KMS-Schlüssel, der dieselbe [Schlüssel-ID und dasselbe Schlüsselmaterial](concepts.md#key-id-key-id) wie sein [Primärschlüssel und die zugehörigen Replikatschlüssel](#mrk-primary-key) hat, der jedoch in einem anderen vorhanden ist. AWS-Region
Ein Replikatschlüssel ist ein voll funktionsfähiger KMS-Schlüssel mit eigener Schlüsselrichtlinie und den eigenen Erteilungen, Aliasen, Tags und anderen Eigenschaften. Es handelt sich nicht um eine Kopie oder einen Zeiger auf den Primärschlüssel oder einen sonstigen Schlüssel. Sie können einen Replikatschlüssel auch dann verwenden, wenn sein Primärschlüssel und alle verwandte Replikatschlüssel deaktiviert sind. Sie können auch einen Replikatschlüssel in einen Primärschlüssel und einen Primärschlüssel in einen Replikatschlüssel konvertieren. Sobald er erstellt wurde, stützt sich ein Replikatschlüssel auf seinen Primärschlüssel nur zur [Schlüsseldrehung](rotate-keys.md#multi-region-rotate) und zum [Aktualisieren der primären Region](multi-region-update.md).
Primär- und Replikatschlüssel unterscheiden sich nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden. Daten, die durch einen Primär- oder Replikatschlüssel verschlüsselt werden, können durch denselben Schlüssel oder durch einen beliebigen verwandten Primär- oder Replikatschlüssel entschlüsselt werden.
### Replicate
Sie können einen [Primärschlüssel](#mrk-primary-key) mit mehreren Regionen in derselben Partition in einen anderen * AWS-Region replizieren*. Wenn Sie dies tun, AWS KMS wird in der angegebenen Region ein [Replikatschlüssel](#mrk-replica-key) mit mehreren Regionen erstellt, der dieselbe [Schlüssel-ID](concepts.md#key-id-key-id) und andere [gemeinsame Eigenschaften](#mrk-sync-properties) wie der Primärschlüssel hat. Transportiert bei KMS-Schlüsseln mit `AWS_KMS` Ursprung das Schlüsselmaterial AWS KMS sicher über die Regionsgrenze hinweg und ordnet es dem neuen Replikatschlüssel zu, alles innerhalb. AWS KMS Bei KMS-Schlüsseln mit `EXTERNAL` Ursprung müssen Sie dasselbe Schlüsselmaterial, das Sie in den primären Regionsschlüssel importiert haben, einzeln in jeden Replikat-Regionsschlüssel importieren.
### Freigegebene Eigenschaften
*Gemeinsam genutzte Eigenschaften* sind Eigenschaften eines Primärschlüssels mit mehreren Regionen, die mit seinen Replikatschlüsseln gemeinsam genutzt werden. AWS KMS erstellt die Replikatschlüssel mit denselben gemeinsamen Eigenschaftswerten wie die des Primärschlüssels. Anschließend synchronisiert es regelmäßig die gemeinsamen Eigenschaftswerte des Primärschlüssels mit seinen Replikatschlüsseln. Sie können diese Eigenschaften nicht für einen Replikatschlüssel festlegen.
Im Folgenden sind die gemeinsamen Eigenschaften von multiregionalen Schlüsseln aufgeführt.
+ [Schlüssel-ID](concepts.md#key-id-key-id) – (Das `Region`-Element des [Schüssel-ARN](concepts.md#key-id-key-ARN) unterscheidet sich.)
+ [Schlüsselmaterial](create-keys.md#key-origin) — Die Primär- und Replikatschlüssel in einer Reihe verwandter Schlüssel für mehrere Regionen verwenden dasselbe Schlüsselmaterial. Bei Schlüsseln mit mehreren Regionen, deren Schlüsselmaterial von AWS KMS (`AWS_KMS`Herkunft) generiert wird, werden alle Schlüsselmaterialien AWS KMS sicher von der Primärdatei zu jedem Replikat transportiert, wenn das Replikat erstellt wird oder wenn neues Schlüsselmaterial durch automatische oder bedarfsgesteuerte Rotation erstellt wird. AWS KMS Synchronisiert bei Schlüsseln mit mehreren Regionen mit importiertem Schlüsselmaterial (`EXTERNAL`Ursprung) die Schlüsselmaterial-ID aus dem Primärschlüssel, aber Sie müssen das Schlüsselmaterial unabhängig in jeden Replikatschlüssel importieren.
+ [Ursprung des Schlüsselmaterials](create-keys.md#key-origin)
+ [Schlüsselspezifikation](create-keys.md#key-spec) und Verschlüsselungsalgorithmen
+ [Schlüsselnutzung](create-keys.md#key-usage)
+ [Automatische Schlüsseldrehung](rotating-keys-enable.md) – Sie können die automatische Schlüsseldrehung nur für den Primärschlüssel aktivieren oder deaktivieren. Neue Replikatschlüssel werden mit allen Versionen des freigegebenen Schlüsselmaterials erstellt. Details hierzu finden Sie unter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ [Rotation auf Anforderung](rotating-keys-on-demand.md) — Sie können die Rotation bei Bedarf nur für den Primärschlüssel durchführen. Bei Schlüsseln mit mehreren Regionen, deren Schlüsselmaterial von AWS KMS (`AWS_KMS`origin) generiert wird, werden Replikatschlüssel mit allen Versionen des gemeinsam genutzten Schlüsselmaterials AWS KMS erstellt. Bei Schlüsseln mit mehreren Regionen mit importiertem Schlüsselmaterial (`EXTERNAL`Ursprung) werden die Schlüsselmaterial-ID und die Beschreibung des Schlüsselmaterials vom Primärschlüssel auf die Replikatschlüssel übertragen, nicht jedoch auf das Schlüsselmaterial. AWS KMS Sie müssen das richtige Schlüsselmaterial einzeln in jeden Replikatschlüssel importieren. Details hierzu finden Sie unter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
Sie können sich auch die Primär- und Replikatbezeichnungen verwandter Mehrbereichsschlüssel als gemeinsame Eigenschaften vorstellen. Wenn Sie [neue Replikatschlüssel erstellen oder den Primärschlüssel](#mrk-replica-key) [aktualisieren, AWS KMS synchronisiert die](multi-region-update.md#update-primary-console) Änderung mit allen zugehörigen Multiregions-Schlüsseln. Wenn diese Änderungen abgeschlossen sind, werden alle verwandte multiregionale Schlüssel ihren Primärschlüssel und die Replikatschlüssel korrekt auflisten.
[[Bei allen anderen Eigenschaften von Schlüsseln mit mehreren Regionen handelt es sich um *unabhängige Eigenschaften*, einschließlich der Schlüsselbeschreibung, der [Schlüsselrichtlinie](key-policies.md), der Berechtigungen, der [aktivierten und deaktivierten Schlüsselstatus](enabling-keys.md), der [Aliase](kms-alias.md) und der Tags.](tagging-keys.md)](grants.md) Sie können dieselben Werte für diese Eigenschaften für alle verwandte mutliregionale Schlüssel festlegen. Wenn Sie jedoch den Wert einer unabhängigen Eigenschaft ändern, wird dies von AWS KMS nicht synchronisiert.
Sie können die Synchronisierung der freigegebenen Eigenschaften Ihrer multiregionalen Schlüssel verfolgen. Suchen Sie in Ihrem AWS CloudTrail Protokoll nach dem [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)Ereignis.
# Sicherheitsaspekte für multiregionale Schlüssel
Verwenden Sie einen Schlüssel für AWS KMS mehrere Regionen nur, wenn Sie einen benötigen. Multiregionale Schlüssel bieten eine flexible und skalierbare Lösung für Workloads, die verschlüsselte Daten zwischen AWS-Regionen verschieben oder regionsübergreifenden Zugang benötigen. Verwenden Sie einen multiregionalen Schlüssel, wenn Sie geschützte Daten über Regionen hinweg freigeben, verschieben oder sichern müssen oder identische digitale Signaturen von Anwendungen erstellen müssen, die in verschiedenen Regionen ausgeführt werden.
Beim Erstellen eines multiregionalen Schlüssels wird das Schlüsselmaterial jedoch innerhalb AWS KMSüber die Grenzen der AWS-Region verschoben. Der Chiffretext, der von einem multiregionalen Schlüssel generiert wird, kann möglicherweise von mehreren verwandten Schlüsseln an mehreren geografischen Standorten entschlüsselt werden. Regional isolierte Services und Ressourcen bieten auch erhebliche Vorteile. Jede AWS-Region ist isoliert und unabhängig von den anderen Regionen. Regionen bieten Fehlertoleranz, Stabilität und Ausfallsicherheit und können auch die Latenz verkürzen. Sie ermöglichen das Erstellen redundanter Ressourcen, die verfügbar bleiben und von einem Ausfall in einer anderen Region nicht betroffen sind. Außerdem stellen sie sicher AWS KMS, dass jeder Chiffretext mit nur einem Schlüssel entschlüsselt werden kann.
Multiregionale Schlüssel werfen auch neue Sicherheitsbedenken auf.
+ Die Steuerung des Zugriffs und die Durchsetzung von Datensicherheitsrichtlinien ist mit multiregionalen Schlüsseln komplexer. Sie müssen sicherstellen, dass die Richtlinie bei Schlüsseln in mehreren isolierten Regionen konsistent überwacht wird. Und Sie müssen Richtlinien verwenden, um Grenzen zu erzwingen, anstatt sich auf separate Schlüssel zu verlassen.
Sie müssen beispielsweise Richtlinienbedingungen für Daten festlegen, um zu verhindern, dass Lohn- und Gehaltsabrechnungsteams in einer Region Lohn- und Gehaltsabrechnungsdaten für eine andere Region lesen können. Außerdem müssen Sie die Zugriffssteuerung verwenden, um ein Szenario zu verhindern, in dem ein multiregionaler Schlüssel in einer Region die Daten eines Mandanten schützt und ein verwandter multiregionaler Schlüssel in einer anderen Region die Daten eines anderen Mandanten schützt.
+ Die Prüfung von Schlüsseln über Regionen hinweg ist ebenfalls komplexer. Mit multiregionalen Schlüsseln müssen Sie Prüfungsaktivitäten über mehrere Regionen hinweg überprüfen und abstimmen, um ein vollständiges Verständnis der wichtigsten Aktivitäten für geschützte Daten zu erhalten.
+ Die Einhaltung von Datenresidenz-Mandaten kann komplexer sein. Mit isolierten Regionen können Sie die Einhaltung von Datenresidenz und Datenhoheit sicherstellen. KMS-Schlüssel in einer bestimmten Region können sensible Daten nur in dieser Region entschlüsseln. Daten, die in einer Region verschlüsselt sind, können in jeder anderen Region vollständig geschützt und unzugänglich bleiben.
Um die Datenresidenz und Datensouveränität mit Schlüsseln für mehrere Regionen zu überprüfen, müssen Sie Zugriffsrichtlinien implementieren und Ereignisse für mehrere Regionen zusammenstellen AWS CloudTrail .
[Um Ihnen die Verwaltung der Zugriffskontrolle für Schlüssel mit mehreren Regionen zu erleichtern, ist die Berechtigung zum Replizieren eines Schlüssels für mehrere Regionen ([kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)) von der Standardberechtigung zum Erstellen von Schlüsseln (kms:) getrennt. CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) AWS KMS Unterstützt außerdem mehrere Richtlinienbedingungen für Schlüssel mit mehreren Regionen, z. B. die Erlaubnis`kms:MultiRegion`, Schlüssel für mehrere Regionen zu erstellen, zu verwenden oder zu verwalten, oder die die Regionen einschränkt`kms:ReplicaRegion`, in die ein Schlüssel für mehrere Regionen repliziert werden kann. Details hierzu finden Sie unter [Steuern Sie den Zugriff auf Schlüssel für mehrere Regionen](multi-region-keys-auth.md).
# Funktionsweise von multiregionalen Schlüsseln
Sie beginnen mit der Erstellung eines symmetrischen oder asymmetrischen [Primärschlüssels für mehrere Regionen](multi-region-keys-overview.md#mrk-primary-key) in einem System, AWS-Region das dies AWS KMS unterstützt, z. B. US East (Nord-Virginia). Sie entscheiden nur, wenn Sie ihn erstellen, ob es sich bei einem Schlüssel um einen einzelregionalen Schlüssel oder um einen multiregionalen Schlüssel handelt. Sie können diese Eigenschaft später nicht ändern. Wie bei jedem KMS-Schlüssel, legen Sie eine Schlüsselrichtlinie für den multiregionalen Schlüssel fest, und Sie können Berechtigungen erstellen und Aliase und Tags für die Kategorisierung und Autorisierung hinzufügen. (Diese sind [unabhängige Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties), die nicht gemeinsam genutzt oder mit anderen Schlüsseln synchronisiert werden.) Sie können Ihren multiregionalen Primärschlüssel in kryptografischen Operationen zur Verschlüsselung oder Signatur verwenden.
Sie können [einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API erstellen](create-primary-keys.md), wobei der Parameter auf gesetzt ist`MultiRegion`. `true` Beachten Sie, dass multiregionale Schlüssel eine unverwechselbare Schlüssel-ID haben, die mit `mrk-` beginnt. Sie können das `mrk-` Präfix zur MRKs programmgesteuerten Identifizierung verwenden.
![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-primary-key.png)
Wenn Sie möchten, können Sie den Primärschlüssel für mehrere Regionen in einen oder mehrere verschiedene Primärschlüssel AWS-Regionen in derselben [AWS Partition [replizieren](multi-region-keys-overview.md#replicate)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), z. B. Europa (Irland). Wenn Sie dies tun, AWS KMS wird in der angegebenen Region ein [Replikatschlüssel](multi-region-keys-overview.md#mrk-replica-key) mit derselben Schlüssel-ID und anderen [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) wie der Primärschlüssel erstellt. Das Ergebnis sind zwei *verwandte* multiregionale Schlüssel – ein Primärschlüssel und ein Replikatschlüssel – die austauschbar verwendet werden können.
Sie können [einen Replikatschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe der API erstellen](multi-region-keys-replicate.md). [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)
![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-replica-key.png)
Der resultierende [multiregionale Replikatschlüssel](multi-region-keys-overview.md#mrk-replica-key) ist ein voll funktionsfähiger KMS-Schlüssel mit denselben [gemeinsam genutzten Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) wie der Primärschlüssel. In jeder anderen Hinsicht ist es ein unabhängiger KMS-Schlüssel mit eigener Beschreibung und Schlüsselrichtlinie und den eigenen Erteilungen, Aliasen und Tags. Das Aktivieren oder Deaktivieren eines multiregionalen Schlüssels hat keine Auswirkungen auf verwandte multiregionale Schlüssel. Sie können Primär- und Replikatschlüssel unabhängig von einander in kryptografischen Operationen verwenden oder deren Verwendung koordinieren. Beispielsweise können Sie Daten mit dem Primärschlüssel in der Region USA Ost (Nord-Virginia) verschlüsseln, die Daten in die Region Europa (Irland) verschieben und die Daten mit dem Replikatschlüssel entschlüsseln.
Verwandte multiregionale Schlüssel haben dieselbe Schlüssel-ID. Ihr Schlüssel ARNs (Amazon-Ressourcennamen) unterscheidet sich nur im Feld Region. Beispielsweise könnten der Primärschlüssel und die Replikatschlüssel für mehrere Regionen den folgenden Beispielschlüssel haben. ARNs Die Schlüssel-ID – das letzte Element im Schlüssel ARN – ist identisch. Beide Schlüssel haben die unverwechselbare Schlüssel-ID von multiregionalen Schlüsseln, die mit **mrk-** beginnt.
```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```
Für die Interoperabilität ist dieselbe Schlüssel-ID erforderlich. AWS KMS Bindet beim Verschlüsseln die Schlüssel-ID des KMS-Schlüssels an den Chiffretext, sodass der Chiffretext nur mit diesem KMS-Schlüssel oder einem KMS-Schlüssel mit derselben Schlüssel-ID entschlüsselt werden kann. Diese Funktion macht auch verwandte multiregionale Schlüssel leicht zu erkennen und erleichtert die austauschbare Verwendung. Wenn Sie sie beispielsweise in einer Anwendung verwenden, können Sie auf verwandte multiregionale Schlüssel anhand ihrer geteilten Schlüssel-ID verweisen. Geben Sie dann, falls erforderlich, die Region oder den ARN an, um sie zu unterscheiden.
Wenn sich Ihre Datenanforderungen ändern, können Sie den Primärschlüssel auf andere AWS-Regionen in derselben Partition replizieren, z. B. USA West (Oregon) und Asien-Pazifik (Sydney). Das Ergebnis sind vier *verknüpfte* Schlüssel für mehrere Regionen mit demselben Schlüsselmaterial und demselben Schlüssel IDs, wie in der folgenden Abbildung dargestellt. Sie verwalten die Schlüssel unabhängig voneinander. Bei Schlüsseln mit mehreren Regionen mit importiertem Schlüsselmaterial sind Sie dafür verantwortlich, das Schlüsselmaterial in jeden zugehörigen Schlüssel einzeln zu importieren. Sie können sie unabhängig voneinander oder koordiniert verwenden. Beispielsweise können Sie Daten mit dem Replikatschlüssel in Asien-Pazifik (Sydney) verschlüsseln, die Daten nach USA West (Oregon) verschieben und mit dem Replikatschlüssel in USA West (Oregon) entschlüsseln.
![\[Die Primär- und Replikatschlüssel in einem Schlüssel mit mehreren Regionen\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-keys.png)
Weitere Überlegungen für multiregionalen Schlüssel sind die folgenden:
*Synchronisieren gemeinsam genutzter Eigenschaften* [— Wenn sich eine [gemeinsame Eigenschaft](multi-region-keys-overview.md#mrk-sync-properties) der Schlüssel für mehrere Regionen ändert, AWS KMS wird die Änderung vom [Primärschlüssel automatisch auf alle zugehörigen Replikatschlüssel](multi-region-keys-overview.md#mrk-primary-key) synchronisiert.](multi-region-keys-overview.md#mrk-replica-key) Sie können eine Synchronisation von gemeinsam genutzten Eigenschaften nicht anfordern oder erzwingen. AWS KMS erkennt und synchronisiert alle Änderungen für Sie. Sie können die Synchronisation jedoch überprüfen, indem Sie das [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)Ereignis in den CloudTrail Protokollen verwenden.
Wenn Sie beispielsweise die automatische Schlüsselrotation für einen symmetrischen Primärschlüssel mit mehreren Regionen und `AWS_KMS` Ursprung aktivieren, wird diese Einstellung auf alle zugehörigen Replikatschlüssel AWS KMS kopiert. Wenn das Schlüsselmaterial gedreht wird, wird die Drehung zwischen allen verwandten multiregionalen Schlüsseln synchronisiert, sodass sie weiterhin dasselbe aktuelle Schlüsselmaterial haben und Zugriff auf alle älteren Versionen des Schlüsselmaterials haben. Wenn Sie einen neuen Replikatschlüssel erstellen, verfügt er über dasselbe aktuelle Schlüsselmaterial aller verwandten multiregionalen Schlüssel und Zugriff auf alle vorherigen Versionen des Schlüsselmaterials. Details hierzu finden Sie unter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
*Ändern des Primärschlüssels* – Jeder Satz von multiregionalen Schlüsseln muss genau einen Primärschlüssel haben. Der [Primärschlüssel](multi-region-keys-overview.md#mrk-primary-key) ist der einzige Schlüssel, der repliziert werden kann. Er ist auch die Quelle der gemeinsamen Eigenschaften seiner Replikatschlüssel. Sie können jedoch den Primärschlüssel in ein Replikat ändern und einen der Replikatschlüssel als Primärschlüssel heraufstufen. Sie können dies tun, damit Sie einen multiregionalen Primärschlüssel aus einer bestimmten Region löschen oder den Primärschlüssel in einer Region näher an den Projektadministratoren platzieren können. Details hierzu finden Sie unter [Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen](multi-region-update.md).
*Löschen von Schlüsseln mit mehreren Regionen* — Wie bei allen KMS-Schlüsseln müssen Sie das Löschen von Schlüsseln mit mehreren Regionen planen, bevor Sie sie löschen. AWS KMS Solange der Schlüssel zur Löschung ansteht, können Sie ihn nicht in kryptografischen Operationen verwenden. Ein Primärschlüssel mit mehreren Regionen AWS KMS wird jedoch erst gelöscht, wenn alle zugehörigen Replikatschlüssel gelöscht wurden. Details hierzu finden Sie unter [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).