复制 AWS 支付密码学密钥 - AWS 支付密码学
多区域密钥复制的好处多区域密钥复制的工作原理限制和注意事项启用多区域密钥复制禁用多区域密钥复制安全性注意事项最佳实践定价

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

复制 AWS 支付密码学密钥

AWS Payment Cryptography 支持多区域密钥复制,允许您安全地将来自任何给定 AWS 支付密码密钥的密钥材料和元数据分发到同一 AWS 分区和 AWS 区域 账户中的一个或多个。

源密钥被称为主区域密钥 (PRK),仍然是所有密钥管理活动的权威来源,而 PRK 和副本区域密钥 (RRK) 均可用于各自的加密操作。 AWS 区域

多区域密钥复制的好处

下文概述了多区域密钥复制的一些好处。

  • 更轻松地设置高可用性应用程序-P AWS ayment Cryptography 为您处理密钥分发,因此您 AWS 区域 无需为给定密钥创建分离副本即可使用多个密钥。

  • 高可用性和低延迟密钥-通过多区域密钥复制,您可以分批访问密钥,从而 AWS 区域 提高密钥的可用性,从而降低延迟。

  • 密钥材料耐久性-副本区域密钥是完整的密钥副本,在加密操作中可以独立于其主区域密钥使用。当 PRK 发生灾难性数据丢失时,RRK 可以提供耐用的副本。

多区域密钥复制的工作原理

启用多区域密钥复制后,Payment Cryptography 服务使用安全的密钥分发机制将密钥材料和元数据复制到 AWS 区域 您指定的副本。 AWS 对主要区域密钥元数据(例如密钥属性、状态和启用)的更改会自动复制到副本区域密钥。

限制和注意事项

以下是一些多区域密钥复制的限制和注意事项。

  • 您必须为一个 AWS 区域 或特定的支付加密密钥启用此功能。

    • 如果为启用了此功能 AWS 区域,则启用后创建的所有 AWS 付款加密密钥都将复制到指定的密钥。 AWS 区域在此区域创建的密钥将成为主区域密钥。此区域中的现有密钥不会被自动复制。您可以为密钥级别中的现有 AWS 区域 密钥启用多区域密钥复制。

    • 每个都 AWS 区域 可能具有唯一的多区域密钥复制设置。

    • 密钥的多区域复制设置优先于 AWS 区域 多区域密钥复制设置。

  • 副本区域密钥无法配置为复制到其他密钥 AWS 区域。

  • 多区域密钥复制可用于对称支付加密密钥,例如三重数据加密标准 (3DES)、高级加密标准 (AES) 和基于哈希的消息身份验证码 (HMAC)。

  • 非对称支付加密密钥不支持多区域密钥复制。

  • 副本区域密钥是只读密钥。对主区域密钥的所有更改都将应用于副本区域密钥。

  • 主区域密钥更改最终与副本区域密钥一致。

  • 付款加密密钥只能使用相同的 AWS 分区和账户进行复制。

  • 副本区域密钥计入您的 AWS 账户 等级 AWS 付款密码学限制。

  • 主区域密钥和副本区域密钥使用相同的密钥标识符,这使您可以在 IAM 策略中通过相同的 ARN 引用两个密钥。

启用多区域密钥复制

您可以通过两种方式为 AWS 支付加密密钥启用多区域密钥复制。

  1. AWS 区域:启用多区域密钥复制 AWS 区域 后,将应用于在该密钥中创建的所有新密钥。此方法为所有密钥提供一致的复制。

  2. 特定 AWS 支付加密密钥:您可以管理单个密钥的多区域密钥复制,从而实现更精细的控制。

启用多区域密钥复制后,您的付款加密密钥将复制到 AWS 区域 您指定的密钥。

重要

无法暂停多区域密钥复制。启用复制后,您的密钥将自动复制到 AWS 区域 您指定的密钥。可以为特定密钥 AWS 区域 或付款加密密钥禁用多区域密钥复制。您必须从主区域密钥中移除 AWS 区域 作为复制区域才能删除副本区域密钥。

或者,您可以在 PRK 上调用 StopKeyUsageAP stop-key-usageI 或 CLI 命令来停止使用 PRK 和所有关联的 PRK RRKs。您将无法在加密操作中使用这些密钥。使用 StopKeyUsage API 或 stop-key-usage CLI 命令不会停止为您的 PRK 启用的持续多区域密钥复制。

您可以通过调用 GetDefaultKeyReplicationRegions API 或 CL get-default-key-replication-regions I 命令来检查特定区域中 AWS 支付加密密钥 AWS 区域 的多区域密钥复制设置。您调用此 API 操作或命令的 AWS 区域 位置中的密钥将成为您的 PRK

使用以下过程启用多区域密钥复制。

For AWS 区域

  • 使用以下命令 AWS 区域 为您指定的启用多区域密钥复制。在此示例中,在美国东部(俄亥俄州)和美国西部(俄勒冈)启用了多区域密钥复制。要使用此命令,请将示例命令italicized placeholder text中的替换为您自己的信息。

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
注意

为启用多区域密钥复制 AWS 区域 不会更改任何现有 P AWS ayment Cryptography 密钥的复制配置。您可以在密钥级别为现有密钥启用此功能。只有在启用多区域密钥复制后创建的密钥才 AWS 区域 会使用区域复制设置。

For specific AWS Payment Cryptography keys

  • 使用以下命令为特定的支付加密密钥启用多区域密钥复制。在此示例中,美国东部(俄亥俄州)启用了多区域密钥复制。要使用此命令,请将示例命令italicized placeholder text中的替换为您自己的信息。

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

或者,您可以通过在创建密钥请求 AWS 区域 中包含复制项来创建启用此功能的新支付加密密钥。

注意

密钥复制设置优先于 AWS 区域 复制设置。

禁用多区域密钥复制

如果要禁用多区域密钥复制,可以调用disable-default-key-replicationremove-key-replication-regions CLI 命令,具体取决于多区域密钥复制的启用方式。您需要指定密钥的 ARN,并指定 AWS 区域 以禁用多区域密钥复制。

注意事项

复制区域密钥的删除最终是一致的。

您可以通过调用 GetDefaultKeyReplicationRegions API 或 CL get-default-key-replication-regions I 命令来检查特定区域中 AWS 支付加密密钥 AWS 区域 的多区域密钥复制设置。

使用以下过程禁用多区域密钥复制。

For AWS 区域

  • 使用以下命令禁用 AWS 区域 您指定的多区域密钥复制。在此示例中,美国东部(俄亥俄州)禁用了多区域密钥复制。要使用此命令,请将示例命令italicized placeholder text中的替换为您自己的信息。

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • 使用以下命令禁用特定支付加密密钥的多区域密钥复制。在此示例中,美国东部(俄亥俄州)禁用了多区域密钥复制。要使用此命令,请将示例命令italicized placeholder text中的替换为您自己的信息。

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

安全性注意事项

以下是对付款加密密钥使用多区域密钥复制时的安全注意事项。有关更多信息,请参阅 AWS 支付密码学安全最佳实践

  • 限制共享密钥材料。

  • 创建 IAM 策略时,请遵循最低权限权限的委托人。

  • 您无法更改副本区域密钥,因为它是只读密钥。

最佳实践

以下是将多区域密钥复制与 AWS 支付加密密钥配合使用时的一些最佳实践。

  • 即使多区域密钥复制到指定的密钥 AWS 区域 不是立即进行的,也要确保您的应用程序继续运行。如果您需要知道多区域密钥复制何时完成,可以使用 GetKeyAPI 操作进行监控。您可以使用监控密钥复制事件AWS CloudTrail

  • 测试并实施自动部署流程,以防从一个区域故障转移 AWS 区域 到另一个区域。

定价

您需要为使用 AWS 支付密码学创建的副本区域密钥付费。这些钥匙按每人收费 AWS 区域。有关最新的支付密码学定价信息,请参阅AWS 支付密码定价页面