本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 多區域金鑰的複寫程序
<a name="replicate-key-details"></a>

AWS KMS 使用跨區域複寫機制，將 KMS 金鑰中的金鑰材料從 中的 HSM 複製到 中的 AWS 區域 HSM AWS 區域。若要讓此機制能順利運作，正在複寫的 KMS 金鑰必須是多區域金鑰。將 KMS 金鑰從一個區域複寫到另一個區域時，區域中的 HSM 無法直接通訊，因為這些 HSM 均位於隔離的網路中。相反地，跨區域複寫期間交換的訊息是由 Proxy 服務負責傳遞。

在跨區域複寫期間， AWS KMS HSM 產生的每個訊息都會使用*複寫簽署金鑰以密碼編譯方式簽署*。複寫簽署金鑰 (RSK) 是 NIST P-384 曲線上的 ECDSA 金鑰。每個區域至少擁有一個 RSK，且每個 RSK 的公有元件會與相同 AWS 分割區中的所有其他區域共用。

將金鑰材料從區域 A 複製到區域 B 的跨區域複寫處理的運作方式如下：

1. 區域 B 中的 HSM 會在 NIST P-384 曲線上產生一個短暫的 ECDH 金鑰，*複寫協議金鑰 B* (RAKB)。RAKB 的公有元件由代理服務傳送至區域 A 中的 HSM。

1. 區域 A 中的 HSM 接收 RAKB 的公有元件，然後在 NIST P-384 曲線上產生另一個暫時的 ECDH 金鑰，*複寫協議金鑰 A* (RAKA)。HSM 會在 RAKA 和 RAKB 的公有元件上執行 ECDH 金鑰建立配置，並從輸出衍生對稱金鑰*複寫包裝金鑰* (RWK)。RWK 是用來加密正在複寫的多區域 KMS 金鑰的金鑰材料。

1. RAKA 的公有元件和使用 RWK 加密的金鑰材料會透過代理服務傳送至區域 B 的 HSM。

1. 區域 B 中的 HSM 會接收 RAKA 的公有元件，以及使用 RWK 加密的金鑰材料。HSM 由 RWK 在 RAKB 及 RAKA 的公有元件上執行 ECDH 金鑰建立配置而衍生。

1. 區域 B 中的 HSM 會使用 RWK 來解密區域 A 中的金鑰材料。