多區域金鑰的運作方式 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

多區域金鑰的運作方式

首先在 AWS 區域 AWS KMS 支援的 中建立對稱或非對稱多區域主索引鍵,例如美國東部 (維吉尼亞北部)。只有在建立金鑰時,您才會決定是單一區域金鑰還是多區域金鑰;之後就無法變更此屬性。與任何 KMS 金鑰一樣,您可以設定多區域金鑰的金鑰政策,並建立授予,以及新增分類和授權的別名和標籤。(這些是獨立屬性,並未與其他金鑰共用或同步。) 您可以在密碼編譯操作中使用多區域主要金鑰進行加密或簽署。

您可以在 AWS KMS 主控台中建立多區域主金鑰,或使用 CreateKey API,並將 MultiRegion 參數設定為 true。請注意,多區域金鑰具有開頭為 mrk- 的獨特金鑰 ID。您可以使用 mrk- 字首,以程式設計方式識別 MRK。

Multi-Region primary key icon with red key symbol and sample key ID format.

如果您選擇,您可以將多區域主索引鍵複寫到相同AWS 分割區 AWS 區域 中的一個或多個不同,例如歐洲 (愛爾蘭)。當您這樣做時, AWS KMS 會在指定的區域中建立複本金鑰,其金鑰 ID 和其他共用屬性與主金鑰相同。其結果是兩個相關多區域金鑰 (主要金鑰和複本金鑰) 可以互換使用。

您可以在 AWS KMS 主控台或使用 ReplicateKey API 建立多區域複本金鑰

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

由此產生的多區域複本金鑰是功能齊全的 KMS 金鑰,具有與主要金鑰相同的共用屬性。在所有其他方面,它是獨立的 KMS 金鑰,具有自己的描述、金鑰政策、授予、別名和標籤。啟用或停用多區域金鑰不會影響相關的多區域金鑰。您可以在密碼編譯操作中獨立使用主要金鑰和複本金鑰,或協調其使用。例如,您可以使用美國東部 (維吉尼亞北部) 區域的主要金鑰來加密資料、將資料移至歐洲 (愛爾蘭) 區域,然後使用複本金鑰來解密資料。

相關的多區域金鑰具有相同的金鑰 ID。其金鑰 ARN (Amazon Resource Name) 僅在區域字段中不同。例如,多區域主要金鑰和複本金鑰可能具有下列範例金鑰 ARN。金鑰 ID (金鑰 ARN 中的最後一個元素) 是相同的。兩個金鑰都有多區域金鑰的獨特金鑰 ID,開頭為 mrk-

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

具有相同的金鑰 ID 才能交互操作。加密時, 會將 KMS 金鑰的金鑰 ID AWS KMS 繫結至加密文字,以便只能使用該 KMS 金鑰或具有相同金鑰 ID 的 KMS 金鑰解密加密文字。這項功能也讓相關的多區域金鑰易於識別,並且可以更輕鬆地對其進行互換使用。例如,在應用程式中使用時,您可以透過其共用金鑰 ID 來引用相關的多區域金鑰。然後,如有必要,請指定區域或 ARN 來區分這些金鑰。

隨著您的資料需求變更,您可以將主索引鍵複寫到相同分割區 AWS 區域 中的其他 ,例如美國西部 (奧勒岡) 和亞太區域 (雪梨)。其結果是具有相同金鑰材料和金鑰 ID 的四個相關多區域金鑰,如下圖所示。您可以獨立管理金鑰。對於具有匯入金鑰材料的多區域金鑰,您必須負責個別將金鑰材料匯入每個相關金鑰。您可以獨立或以協調的方式使用這些金鑰。例如,您可以使用亞太區域 (雪梨) 中的複本金鑰來加密資料、將資料移至美國西部 (奧勒岡),然後使用美國西部 (奧勒岡) 的複本金鑰來解密資料。

多區域金鑰中的主要和複本金鑰

多區域金鑰的其他考量包括下列各項。

同步共用屬性 — 如果多區域金鑰的共用屬性變更, AWS KMS 會自動將變更從主金鑰同步到其所有複本金鑰。您無法請求或強制同步共用屬性。 會為您 AWS KMS 偵測和同步所有變更。不過,您可以使用 CloudTrail 日誌中的 SynchronizeMultiRegionKey 事件稽核同步。

例如,如果您在具有AWS_KMS原始伺服器的對稱多區域主金鑰上啟用自動金鑰輪換, 會將該設定 AWS KMS 複製到其所有複本金鑰。輪換金鑰材料時,所有相關多區域金鑰之間的輪換會同步,因此其仍然具有相同的當前金鑰材料,並存取所有舊版的金鑰材料。如果您建立新的複本金鑰,則該金鑰具有與所有相關多區域金鑰相同的當前金鑰材料,並可存取所有舊版金鑰材料。如需詳細資訊,請參閱Rotating multi-Region keys

變更主要金鑰 – 每組多區域金鑰必須只有一個主要金鑰。主要金鑰是唯一可以複寫的金鑰。它也是其複本金鑰共用屬性的來源。但是您可以將主要金鑰變更為複本,並將其中一個複本金鑰升級為主要金鑰。您可以這樣做,以便您可以從特定區域刪除多區域主要金鑰,或者在更接近專案管理員的區域找到主要金鑰。如需詳細資訊,請參閱變更一組多區域金鑰中的主金鑰

刪除多區域金鑰 — 如同所有 KMS 金鑰,您必須先排程刪除多區域金鑰,才能將其 AWS KMS 刪除。當金鑰正在等待刪除時,您無法在任何密碼編譯操作中使用金鑰。不過,在刪除其所有複本金鑰之前, AWS KMS 不會刪除多區域主金鑰。如需詳細資訊,請參閱Deleting multi-Region keys