本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 多区域密钥的工作原理 首先,您要在 AWS KMS 支持的(例如美国东部(弗吉尼亚北部)中创建 AWS 区域 对称或非对称的[多区域主键](multi-region-keys-overview.md#mrk-primary-key)。只有在创建密钥时,才能决定密钥是单区域还是多区域;以后不能更改此属性。与任何 KMS 密钥一样,您可以为多区域密钥设置密钥策略,并且可以创建授权,并添加别名和标签以进行分类和授权。(这些是[独立属性](multi-region-keys-overview.md#mrk-sync-properties),不与其他密钥共享或同步。) 您可以在加密操作中使用多区域主键进行加密或签名。 您可以在 AWS KMS 控制台中[创建多区域主密钥](create-primary-keys.md),也可以使用`MultiRegion`参数设置为的 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API 来`true`创建多区域主密钥。请注意,多区域密钥具有一个以 `mrk-` 开头的独特密钥 ID。您可以使用`mrk-`前缀以 MRKs编程方式进行识别。 ![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/multi-region-primary-key.png) 如果您愿意,可以将多区域主键[复制](multi-region-keys-overview.md#replicate)到同一[AWS 分区 AWS 区域 中的一个或多个不同的分区](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html),例如欧洲(爱尔兰)。完成后,在指定区域 AWS KMS 创建与主[键相同的密钥 ID 和其他[共享属性的](multi-region-keys-overview.md#mrk-sync-properties)副本](multi-region-keys-overview.md#mrk-replica-key)密钥。结果会产生两个*相关的*多区域密钥(主键和副本密钥),它们可以互换使用。 您可以在 AWS KMS 控制台中或使用 [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)API [创建多区域副本密钥](multi-region-keys-replicate.md)。 ![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/multi-region-replica-key.png) 由此产生的[多区域副本密钥](multi-region-keys-overview.md#mrk-replica-key)是一个功能齐全的 KMS 密钥,具有与主键相同的[共享属性](multi-region-keys-overview.md#mrk-sync-properties)。在所有其他方面,它是一个独立的 KMS 密钥,具有自己的说明、密钥策略、授权、别名和标签。启用或禁用多区域密钥对相关的多区域密钥没有影响。您可以在加密操作中独立使用主密钥和副本密钥,也可以协调它们的使用。例如,您可以使用美国东部(弗吉尼亚北部)区域的主键对数据进行加密,将数据移动到欧洲(爱尔兰)区域,然后使用副本密钥解密数据。 相关的多区域密钥具有相同的密钥 ID。它们的密钥 ARNs (Amazon 资源名称)仅在 “区域” 字段中有所不同。例如,多区域主键和副本密钥可能具有以下示例密钥 ARNs。密钥 ID(密钥 ARN 中的最后一个元素)是相同的。两个密钥都具有多区域密钥的独特密钥 ID,该 ID 以 **mrk-** 开头。 ``` Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab ``` 为了实现互操作性,需要具有相同的密钥 ID。加密时,将 KM AWS KMS S 密钥的密钥 ID 绑定到密文,因此只能使用该 KMS 密钥或具有相同密钥 ID 的 KMS 密钥来解密密文。此功能还使相关的多区域密钥易于识别,并且可以更轻松地互换使用它们。例如,在应用程序中使用它们时,您可以通过它们的共享密钥 ID 来引用相关的多区域密钥。然后,在必要时,指定区域或 ARN 以区分它们。 随着数据需求的变化,您可以将主键复制到同一分区 AWS 区域 中的其他分区,例如美国西部(俄勒冈)和亚太地区(悉尼)。结果是四个*相关的*多区域密钥,其密钥材料和密钥相同 IDs,如下图所示。您可以独立管理密钥。对于包含已导入密钥材料的多区域密钥,您负责将密钥材料单独导入到每个相关密钥中。您可以独立使用它们,也可以以协调的方式使用它们。例如,您可以在亚太地区(悉尼)区域使用副本密钥对数据进行加密,将数据移动到美国西部(俄勒冈)区域,然后在美国西部(俄勒冈)区域使用副本密钥对其进行解密。 ![\[多区域密钥中的主密钥和副本密钥\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/multi-region-keys.png) 多区域密钥的其他注意事项包括以下内容。 *同步共享属性* [-如果多区域密钥的[共享属性](multi-region-keys-overview.md#mrk-sync-properties)发生变化,则 AWS KMS 会自动同步从[主键到其所有副本密钥](multi-region-keys-overview.md#mrk-primary-key)的更改。](multi-region-keys-overview.md#mrk-replica-key)您不能请求或强制同步共享属性。 AWS KMS 为您检测并同步所有更改。但是,您可以使用 CloudTrail 日志中的[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)事件来审核同步。 例如,如果您在具有`AWS_KMS`原点的对称多区域主密钥上启用自动密钥轮换,则会将该设置 AWS KMS 复制到其所有副本密钥中。轮换密钥材料时,轮换将在所有相关的多区域密钥之间同步,因此它们继续具有相同的当前密钥材料,并可访问所有旧版本的密钥材料。如果创建新的副本密钥,则该密钥具有与所有相关多区域密钥相同的当前密钥材料,并可访问密钥材料的所有以前版本。有关更多信息,请参阅 [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)。 *更改主键* — 每组多区域密钥必须只有一个主键。[主键](multi-region-keys-overview.md#mrk-primary-key)是唯一可以复制的密钥。它也是其副本密钥的共享属性的来源。但是,您可以将主键更改为副本密钥,并将其中一个副本密钥提升为主键。您可以执行此操作,以便从特定区域删除多区域主键,或将主键定位在离项目管理员更近的区域中。有关更多信息,请参阅 [更改一组多区域密钥中的主密钥](multi-region-update.md)。 *删除多区域密钥*-与所有 KMS 密钥一样,您必须在删除多区域密钥之前安排 AWS KMS 删除它们。密钥处于待删除状态时,您无法在任何加密操作中使用它。但是,在删除多区域主键的所有副本密钥之前, AWS KMS 不会将其删除。有关详细信息,请参阅[Deleting multi-Region keys](deleting-keys.md#deleting-mrks)。