本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 复制 AWS 支付密码学密钥
<a name="keys-multi-region-replication"></a>

AWS Payment Cryptograph Multi-Region y 支持密钥复制，允许您安全地将来自任何给定 AWS 支付密码密钥的密钥材料和元数据分发到同一 AWS 分区和 AWS 区域 账户中的一个或多个分区和账户。

源密钥被称为[主区域密钥 (PRK)](terminology.md#term.prk)，仍然是所有密钥管理活动的权威来源，而 PRK 和[副本区域密钥 (RRK)](terminology.md#term.rrk) 均可用于各自的加密操作。 AWS 区域

## Multi-Region 密钥复制的好处
<a name="benefits"></a>

 下面概述了 Multi-Region 密钥复制的一些好处。
+ *更轻松地设置高可用性应用程序*-P AWS ayment Cryptography 为您处理密钥分发，因此您 AWS 区域 无需为给定密钥创建分离副本即可使用多个密钥。
+ *高可用性和低延迟密钥*-通过密 Multi-Region 钥复制，您可以分批访问密钥，从而 AWS 区域 提高密钥的可用性，从而降低延迟。
+ *密钥材料耐久性*-副本区域密钥是完整的密钥副本，在加密操作中可以独立于其主区域密钥使用。当 PRK 发生灾难性数据丢失时，RRK 可以提供耐用的副本。

## Multi-Region 密钥复制的工作原理
<a name="how-mrr-works"></a>

启用 Multi-Region 密钥复制后，P AWS ayment Cryptography 服务使用安全的密钥分发机制将密钥材料和元数据复制到 AWS 区域 您指定的副本。对主要区域密钥元数据（例如密钥属性、状态和启用）的更改会自动复制到副本区域密钥。

## 限制和注意事项
<a name="limitations-considerations"></a>

以下是一些 Multi-Region 关键的复制限制和注意事项。
+ 您必须为一个 AWS 区域 或特定的支付加密密钥启用此功能。
  + 如果为启用了此功能 AWS 区域，则启用后创建的所有 AWS 付款加密密钥都将复制到指定的密钥。 AWS 区域在此区域创建的密钥将成为主区域密钥。不会自动复制此区域中的现有密钥。您可以在 Multi-Region 密钥级别为中的现有 AWS 区域 密钥启用密钥复制。
  + 每个都 AWS 区域 可能具有唯一的 Multi-Region 密钥复制设置。
  + 密钥的 Multi-Region 复制设置优先于 AWS 区域 Multi-Region 密钥复制设置。
+ 副本区域密钥无法配置为复制到其他密钥 AWS 区域。
+ Multi-Region 密钥复制可用于对称支付加密密钥，例如三重数据加密标准 (3DES)、高级加密标准 (AES) 和 Hash-based消息身份验证码 (HMAC)。
+ 非对称支付加密密钥不支持密 Multi-Region 钥复制。
+ 副本区域密钥是只读密钥。对主区域密钥的所有更改都将应用于副本区域密钥。
+ 主区域密钥更改最终与副本区域密钥一致。
+ 付款加密密钥只能使用相同的 AWS 分区和账户进行复制。
+ 副本区域密钥计入您的 AWS 账户 等级 AWS 付款密码学限制。
+ 主区域密钥和副本区域密钥使用相同的密钥标识符，这使您可以在 IAM 策略中通过相同的 ARN 引用两个密钥。
+ 您必须拥有副本 AWS 区域 的`CreateKey`权限才能成功复制。

## 启用 Multi-Region 密钥复制
<a name="enabling-mrr"></a>

您可以通过两种方式为 AWS 付款加密 Multi-Region 密钥启用密钥复制。

1. **AWS 区域**：启用 Multi-Region 密钥复制 AWS 区域 后，将应用于在其中创建的所有新密钥。此方法为所有密钥提供一致的复制。

1. **特定 AWS 支付密码学密钥**：您可以管理单个密 Multi-Region 钥的密钥复制，从而实现更精细的控制。

启用 Multi-Region 密钥复制后，您的付款加密密钥将复制到 AWS 区域 您指定的密钥。

**重要**  
Multi-Region 密钥复制无法暂停。启用复制后，您的密钥将自动复制到 AWS 区域 您指定的密钥。 Multi-Region 可以为特定密钥 AWS 区域 或付款加密密钥[禁用](#disabling-mrr)密钥复制。您必须从主区域密钥中移除 AWS 区域 作为复制区域才能删除副本区域密钥。  
或者，您可以在 PRK 上调用 [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html)AP [https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/stop-key-usage.html](https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/stop-key-usage.html)I 或 CLI 命令来停止使用 PRK 和所有关联的 RRK。您将无法在加密操作中使用这些密钥。使用 `StopKeyUsage` API 或 **stop-key-usage** CLI 命令不会停止为您的 PRK 启用的持续 Multi-Region 密钥复制。

您可以通过调用 `GetDefaultKeyReplicationRegions` API 或 C **get-default-key-replication-regions** LI 命令 AWS 区域 来检查 Multi-Region 特定 AWS 支付加密密钥的密钥复制设置。您调用此 API 操作或命令的 AWS 区域 位置中的密钥将成为您的 [PRK](terminology.md#term.prk)。

使用以下过程启用 Multi-Region 密钥复制。

------
#### [ For AWS 区域 ]
+ 使用以下命令 AWS 区域 为您指定的启用 Multi-Region 密钥复制。在此示例中，在美国东部（俄亥俄州）和美国西部（俄勒冈）启用了 Multi-Region 密钥复制。要使用此命令，请将示例命令{{italicized placeholder text}}中的替换为您自己的信息。

  ```
  aws payment-cryptography enable-default-key-replication-regions \
      --replication-regions {{us-east-2 us-west-2}}
  ```

**注意**  
为启用 Multi-Region 密钥复制 AWS 区域 不会更改任何现有 P AWS ayment Cryptography 密钥的复制配置。您可以在密钥级别为现有密钥启用此功能。只有在启用密 Multi-Region 钥复制后创建的密钥才 AWS 区域 会使用区域复制设置。

------
#### [ For specific AWS Payment Cryptography keys ]
+ 使用以下命令为特定的支付加密 Multi-Region 密钥启用密钥复制。在此示例中，美国东部（俄亥俄州）启用了 Multi-Region 密钥复制。要使用此命令，请将示例命令{{italicized placeholder text}}中的替换为您自己的信息。

  ```
  aws payment-cryptography add-key-replication-regions \
      --key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}} \
      --replication-regions {{us-east-2}}
  ```

或者，您可以通过[在创建密钥请求 AWS 区域 中包含复制项来创建启用此功能的新支付加密](create-keys.md)密钥。

**注意**  
密钥复制设置优先于 AWS 区域 复制设置。

------

## 禁用 Multi-Region 密钥复制
<a name="disabling-mrr"></a>

如果要禁用 Multi-Region 密钥复制，可以调用**disable-default-key-replication**或 **remove-key-replication-regions** CLI 命令，具体取决于 Multi-Region 密钥复制的启用方式。您需要指定密钥的 ARN，并指定 AWS 区域 以禁用 Multi-Region 密钥复制。

**注意事项**  
复制区域密钥的删除最终是一致的。

您可以通过调用 `GetDefaultKeyReplicationRegions` API 或 C **get-default-key-replication-regions** LI 命令 AWS 区域 来检查 Multi-Region 特定 AWS 支付加密密钥的密钥复制设置。

使用以下过程禁用 Multi-Region 密钥复制。

------
#### [ For AWS 区域 ]
+ 使用以下命令禁用 AWS 区域 您指定的 Multi-Region 密钥复制。在此示例中，美国东部（俄亥俄州）禁用了 Multi-Region 密钥复制。要使用此命令，请将示例命令{{italicized placeholder text}}中的替换为您自己的信息。

  ```
  aws payment-cryptography disable-default-key-replication-regions \
      --replication-regions {{us-east-2}}
  ```

------
#### [ For specific AWS Payment Cryptography keys ]
+ 使用以下命令禁用特定支付加密 Multi-Region 密钥的密钥复制。在此示例中，美国东部（俄亥俄州）禁用 Multi-Region 密钥复制。要使用此命令，请将示例命令{{italicized placeholder text}}中的替换为您自己的信息。

  ```
  aws payment-cryptography remove-key-replication-regions \
      --key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}} \
      --replication-regions {{us-east-2}}
  ```

------

## 安全注意事项
<a name="security-considerations"></a>

以下是对付款加密 Multi-Region 密钥使用密钥复制时的安全注意事项。有关更多信息，请参阅 [AWS 支付密码学安全最佳实践](security-best-practices.md)。
+ 限制共享密钥材料。
+ 创建 IAM 策略时，请遵循最低权限权限的委托人。
+ 您无法更改副本区域密钥，因为它是只读密钥。

## 最佳实践
<a name="best-practices"></a>

以下是将 Multi-Region 密钥复制与 AWS 支付加密密钥配合使用时的一些最佳实践。
+ 即使 Multi-Region 密钥复制到指定项不是立即进行 AWS 区域 的，也要确保您的应用程序继续运行。如果您需要知道 Multi-Region 密钥复制何时完成，可以使用 [GetKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html)API 操作进行监控。您可以使用监控密钥复制事件[AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
+ 测试并实施自动部署流程，以防从一个区域故障转移 AWS 区域 到另一个区域。

## 定价
<a name="pricing"></a>

您需要为使用 AWS 支付密码学创建的副本区域密钥付费。这些钥匙按每人收费 AWS 区域。有关最新的支付密码学定价信息，请参阅[AWS 支付密码定价页面](https://aws.amazon.com/payment-cryptography/pricing/)。