本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網域和網域狀態
<a name="domains-and-domain-state"></a>

內的信任內部 AWS KMS 實體合作集合 AWS 區域 稱為網域。網域包含一組可信任的實體、一組規則，以及一組稱為網域金鑰的機密金鑰。網域金鑰會在屬於網域成員的 HSM 之間共用。網域狀態由以下欄位組成。

**名稱**  
用來識別此網域的網域名稱。

**成員**  
屬於網域成員的 HSM 清單，包括其公有簽署金鑰和公有協定金鑰。

**電信業者**  
代表此服務運算子的實體、公有簽署金鑰和角色 (AWS KMS 運算子或服務主機） 清單。

**Rules**  
必須滿足每個命令才能在 HSM 上執行命令的仲裁規則清單。

**網域金鑰**  
目前在網域中使用的網域金鑰 (對稱金鑰) 清單。

完整網域狀態僅適用於 HSM。HSM 網域成員之間的網域狀態會同步為匯出的網域字符。

## 網域金鑰
<a name="domain-keys"></a>

網域中的所有 HSM 共用一組網域金鑰，*{DKr }*。這些金鑰會透過網域狀態匯出常式共用。匯出的網域狀態可以匯入至屬於網域成員的任何 HSM。

一組網域金鑰 *{DKr }* 一律包含一個作用中的網域金鑰，以及數個已停用的網域金鑰。網域金鑰會每天輪換，以確保 AWS 符合[金鑰管理的建議 - 第 1 部分](https://csrc.nist.gov/publications/detail/sp/800-57-part-1/rev-5/final)。在網域金鑰輪換期間，所有在外寄網域金鑰下加密的現有 KMS 金鑰都會在新的作用中網域金鑰下重新加密。作用中的網域金鑰可用來加密任何新的 EKT。在等同於最近輪換網域金鑰次數的天數內，過期的網域金鑰只能用來解密先前加密的 EKT。

## 已匯出網域字符
<a name="exported-domain-tokens"></a>

需要定期同步處理網域參與者之間的狀態。這是透過每當變更網域時匯出網域狀態來完成的。網域狀態會匯出為匯出的網域字符。

**名稱**  
用來識別此網域的網域名稱。

**成員**  
屬於網域成員的 HSM 清單，包括其簽署和協定公有金鑰。

**運算子**  
實體、公有簽署金鑰以及代表此服務電信業者的角色清單。

**Rules**  
必須滿足每個命令才能在 HSM 網域成員上執行命令的仲裁規則清單。

**已加密的網域金鑰**  
信封加密的網域金鑰。網域金鑰會由上述每個成員的簽署成員進行加密，包裹在其公有協定金鑰中。

**簽章**  
HSM 產生之網域狀態的簽章，必定是匯出網域狀態的網域成員。

匯出的網域字符形成信任的基礎來源，用於網域內的實體操作。

## 管理網域狀態
<a name="managing-domain-state"></a>

網域狀態是透過仲裁驗證的命令進行管理。這些變更包括修改網域中可信任參與者的清單、修改執行 HSM 命令的仲裁規則，以及定期輪換網域金鑰。這些命令會以每個命令為基礎進行驗證，與已驗證工作階段操作完全不同 (如下圖所示)。

處於初始化和操作狀態的 HSM 包含一組自行產生的非對稱身分金鑰、簽署金鑰對，以及金鑰建立的金鑰對。透過手動程序， AWS KMS 運算子可以建立初始網域，以在區域中的第一個 HSM 上建立。此初始網域包含本主題先前定義的完整網域狀態。它是透過加入命令安裝至網域中每個已定義的 HSM 成員。

HSM 加入初始網域後，它會繫結至該網域中定義的規則。這些規則管控使用客戶密碼編譯金鑰或變更主機或網域狀態的命令。先前已定義之使用密碼編譯金鑰的已驗證工作階段 API 操作。

![網域管理。](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/KMS-Domain-Management.png)


上述圖片描述了如何修改網域狀態。此程序包含四個步驟：

1. 以仲裁為基礎的命令會傳送至 HSM 以修改網域。

1. 系統會產生新的網域狀態，並匯出為新的匯出網域字符。系統不會修改 HSM 上的狀態，這表示該變更不會實際用於 HSM。

1. 第二個命令會傳送至新匯出的網域字符中的每個 HSM，以使用新的網域字符來更新其網域狀態。

1. 列在新匯出的網域字符中的 HSM 可以驗證命令和網域字符。其也可以解壓縮網域金鑰，以更新網域中所有 HSM 的網域狀態。

HSM 不會直接彼此通訊。相反地，電信業者的仲裁會請求變更網域狀態，從而產生新的匯出網域字符。網域的服務主機成員可用來將新網域狀態分配至網域中的每個 HSM。

離開和加入網域是透過 HSM 管理功能完成的。網域狀態的修改是透過網域管理功能完成的。

**離開網域**  
讓 HSM 離開網域，從記憶體中刪除該網域的所有剩餘部分和金鑰。

**加入網域**  
讓 HSM 加入新網域，或將其目前的網域狀態更新為新網域狀態。現有的網域會用作初始規則集的來源，以對此訊息進行驗證。

**建立網域**  
在 HSM 上建立新網域。傳回可分配給網域成員 HSM 的第一個網域字符。

**修改電信業者**  
在網域中新增或移除授權電信業者及其角色之清單中的電信業者。

**修改成員**  
在網域中新增或移除已授權 HSM 清單中的 HSM。

**修改規則**  
修改在 HSM 上執行命令所需的仲裁規則集。

**輪換網域金鑰**  
建立新的網域金鑰，並將其標示為作用中的網域金鑰。這會將現有的作用中金鑰轉為已停用金鑰，並從網域狀態中移除最舊的已停用金鑰。