Manfaat replikasi kunci Multi-Region Cara kerja replikasi kunci Multi-Region Keterbatasan dan pertimbangan Mengaktifkan replikasi kunci Multi-Region Menonaktifkan replikasi kunci Multi-Region Pertimbangan keamanan Praktik terbaik Harga

Replikasi Kriptografi AWS Pembayaran Kriptografi

AWS Kriptografi Pembayaran mendukung replikasi kunci Multi-Wilayah, memungkinkan Anda untuk mendistribusikan materi dan metadata kunci dengan aman dari Kunci Kriptografi AWS Pembayaran yang diberikan ke satu atau lebih Wilayah AWS dalam partisi dan akun yang sama. AWS

Kunci sumber dikenal sebagai kunci Wilayah Primer (PRK) dan tetap menjadi sumber otoritatif untuk semua aktivitas manajemen kunci sementara kunci PRK dan Replica Region (RRK) dapat digunakan untuk operasi kriptografi masing-masing. Wilayah AWS

Manfaat replikasi kunci Multi-Region

Berikut ini menguraikan beberapa manfaat replikasi kunci Multi-Region.

Pengaturan yang lebih mudah untuk aplikasi yang sangat tersedia - Kriptografi AWS Pembayaran menangani distribusi kunci untuk Anda sehingga Anda dapat menggunakan kunci dalam beberapa Wilayah AWS tanpa perlu membuat salinan terpisah dari kunci yang diberikan.
Ketersediaan tinggi dan kunci latensi rendah - Dengan replikasi kunci Multi-Region, Anda dapat mengakses kunci Anda dalam beberapa Wilayah AWS sehingga sangat tersedia, menghasilkan latensi yang lebih rendah.
Daya tahan material utama - Kunci Wilayah Replika adalah replika kunci lengkap dan dapat digunakan secara independen dari kunci Wilayah Primer mereka dalam operasi kriptografi. RRK menyediakan replika yang tahan lama jika terjadi kehilangan data PRK yang dahsyat.

Cara kerja replikasi kunci Multi-Region

Ketika replikasi kunci Multi-Region diaktifkan, layanan Kriptografi AWS Pembayaran menggunakan mekanisme distribusi kunci yang aman untuk menyalin materi kunci dan metadata ke replika yang Anda tentukan. Wilayah AWS Perubahan pada metadata kunci Wilayah Utama, seperti atribut kunci, status, dan pemberdayaan, secara otomatis direplikasi ke kunci Wilayah Replika.

Keterbatasan dan pertimbangan

Berikut ini adalah beberapa batasan dan pertimbangan replikasi kunci Multi-Region.

Anda harus mengaktifkan fitur ini untuk kunci Kriptografi Pembayaran Wilayah AWS atau tertentu.
- Jika fitur ini diaktifkan untuk Wilayah AWS, semua kunci Kriptografi AWS Pembayaran yang dibuat setelah pengaktifan akan direplikasi ke yang ditentukan. Wilayah AWS Kunci yang dibuat di Wilayah ini akan menjadi kunci Wilayah Utama. Kunci yang ada di Wilayah ini tidak akan direplikasi secara otomatis. Anda dapat mengaktifkan replikasi kunci Multi-Region untuk kunci yang ada Wilayah AWS di dalam level kunci.
- Masing-masing Wilayah AWS dapat memiliki pengaturan replikasi kunci Multi-Region yang unik.
- Pengaturan replikasi Multi-Region kunci lebih diutamakan daripada pengaturan replikasi kunci Wilayah AWS Multi-Region.
Kunci Replica Region tidak dapat dikonfigurasi untuk mereplikasi ke yang lain. Wilayah AWS
Replikasi kunci Multi-Region tersedia untuk kunci Kriptografi Pembayaran simetris seperti Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES), dan Hash Based Message Authentication Code (HMAC).
Kunci Kriptografi Pembayaran Asimetris tidak mendukung replikasi kunci Multi-Region.
Kunci Replica Region adalah kunci read-only. Semua perubahan pada kunci Wilayah Utama akan diterapkan ke kunci Wilayah Replika.
Perubahan kunci Wilayah Primer pada akhirnya konsisten dengan kunci Wilayah Replika.
Kunci Kriptografi Pembayaran hanya dapat direplikasi dengan AWS partisi dan akun yang sama.
Jumlah kunci Wilayah Replika terhadap batas Kriptografi AWS Pembayaran Akun AWS level Anda.
Kunci Wilayah Utama dan kunci Wilayah Replika menggunakan pengenal kunci yang sama yang memungkinkan Anda mereferensikan kedua kunci dengan ARN yang sama dalam kebijakan IAM.

Mengaktifkan replikasi kunci Multi-Region

Ada dua cara Anda dapat mengaktifkan replikasi kunci Multi-Region untuk kunci Kriptografi AWS Pembayaran.

Wilayah AWS: Replikasi kunci Multi-Region diterapkan ke semua kunci baru yang dibuat Wilayah AWS saat diaktifkan. Metode ini memberikan replikasi yang konsisten untuk semua kunci.
Kunci Kriptografi AWS Pembayaran Khusus: Anda dapat mengelola replikasi kunci Multi-Wilayah untuk kunci individual yang memungkinkan tingkat kontrol yang lebih terperinci.

Setelah replikasi kunci Multi-Region diaktifkan, kunci Kriptografi Pembayaran Anda akan mereplikasi ke yang Anda tentukan. Wilayah AWS

penting

Replikasi kunci Multi-Region tidak dapat dijeda. Kunci Anda secara otomatis direplikasi ke yang Wilayah AWS Anda tentukan setelah replikasi diaktifkan. Replikasi kunci Multi-Region dapat dinonaktifkan untuk kunci tertentu Wilayah AWS atau Kriptografi Pembayaran. Anda harus menghapus Wilayah AWS sebagai wilayah replikasi dari kunci Wilayah Utama untuk menghapus kunci Wilayah Replika.

Atau, Anda dapat memanggil perintah StopKeyUsageAPI atau stop-key-usageCLI di PRK Anda untuk menghentikan penggunaan PRK dan semua yang terkait. RRKs Anda tidak akan dapat menggunakan kunci ini dalam operasi kriptografi. Menggunakan perintah StopKeyUsage API atau stop-key-usage CLI tidak akan menghentikan replikasi kunci Multi-Region yang sedang berlangsung yang diaktifkan untuk PRK Anda.

Anda dapat memeriksa pengaturan replikasi kunci Multi-Region untuk kunci Kriptografi AWS Pembayaran secara spesifik Wilayah AWS dengan memanggil perintah API GetDefaultKeyReplicationRegions atau CLIget-default-key-replication-regions. Kunci di Wilayah AWS tempat Anda memanggil tindakan atau perintah API ini akan menjadi PRK Anda.

Gunakan prosedur berikut untuk mengaktifkan replikasi kunci Multi-Region.

Menonaktifkan replikasi kunci Multi-Region

Jika Anda ingin menonaktifkan replikasi kunci Multi-Region, Anda dapat memanggil perintah atau disable-default-key-replication remove-key-replication-regions CLI, tergantung pada bagaimana replikasi kunci Multi-Region diaktifkan. Anda harus menentukan ARN kunci dan untuk menonaktifkan replikasi kunci Multi-Region. Wilayah AWS

Pertimbangan

Penghapusan kunci wilayah replikasi akhirnya konsisten.

Gunakan prosedur berikut untuk menonaktifkan replikasi kunci Multi-Region.

Pertimbangan keamanan

Berikut ini adalah pertimbangan keamanan saat menggunakan replikasi kunci Multi-Region untuk kunci Kriptografi Pembayaran Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Kriptografi AWS Pembayaran.

Batasi berbagi materi utama.
Ikuti prinsip izin hak istimewa paling sedikit saat membuat kebijakan IAM.
Anda tidak dapat membuat perubahan pada kunci Replica Region karena ini adalah kunci hanya-baca.

Praktik terbaik

Berikut ini adalah beberapa praktik terbaik saat menggunakan replikasi kunci Multi-Region dengan kunci Kriptografi AWS Pembayaran.

Pastikan aplikasi Anda terus berfungsi meskipun replikasi kunci Multi-Region ke yang Wilayah AWS ditentukan tidak langsung. Jika Anda perlu tahu kapan replikasi kunci Multi-Region selesai, Anda dapat memantau dengan tindakan GetKeyAPI. Anda dapat memantau peristiwa replikasi kunci dengan AWS CloudTrail.
Uji dan terapkan proses penerapan otomatis jika terjadi kegagalan dari satu Wilayah ke Wilayah lain Wilayah AWS .

Harga

Anda dikenakan biaya untuk kunci Wilayah Replika yang Anda buat dengan Kriptografi AWS Pembayaran. Kunci-kunci ini dikenakan biaya per Wilayah AWS. Untuk informasi harga Kriptografi Pembayaran terbaru, lihat halaman harga Kriptografi AWS Pembayaran.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengaktifkan dan menonaktifkan kunci

Menghapus kunci