本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 變更一組多區域金鑰中的主金鑰
<a name="multi-region-update"></a>

每組相關的多區域金鑰都必須有主要金鑰。但您可以變更主要金鑰。這個動作，稱為*更新主要區域*，會將目前的主要金鑰轉換為複本金鑰，並將其中一個相關的複本金鑰轉換為主要金鑰。如果您需要在維護複本金鑰的同時刪除目前的主要金鑰，或是要在與金鑰管理員相同的區域中尋找主要金鑰，則可以執行此動作。

您可以選取任何相關的複本金鑰做為新的主要金鑰。主要金鑰和複本金鑰都必須在操作開始時處於 `Enabled` [金鑰狀態](key-state.md)。

**`Updating`金鑰狀態**  
即使`UpdatePrimaryRegion`操作完成後，更新主要區域的程序仍可能再進行幾秒鐘。在此期間，舊的和新的主要金鑰具有[更新](#update-primary-keystate)的暫時性金鑰狀態。雖然金鑰狀態為 `Updating`，您可以在密碼編譯操作中使用金鑰，但無法複寫新的主要金鑰或執行特定的管理操作，例如啟用或停用這些金鑰。[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 等操作可能會同時將舊主要金鑰和新主要金鑰顯示為複本。更新完成時，`Enabled` 金鑰狀態會還原。  
如需有關 `Updating` 金鑰狀態之影響的資訊，請參閱 [金鑰的 AWS KMS 金鑰狀態](key-state.md)。

**運作方式**  
假設您在美國東部 (維吉尼亞北部) (us-east-1) 中有主要金鑰和在歐洲 (愛爾蘭) (eu-west-1) 中有複本金鑰。您可以使用更新功能將美國東部 (維吉尼亞北部) (us-east-1) 的主要金鑰變更為複本金鑰，並將歐洲 (愛爾蘭) (eu-west-1) 的複本金鑰變更為主要金鑰。  

![\[更新主要金鑰\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/multi-region-keys-update-sm.png)

當更新程序完成時，歐洲 (愛爾蘭) (eu-west-1) 區域的多區域金鑰是多區域主要金鑰，而美國東部 (維吉尼亞北部) (us-east-1) 區域的多區域主要金鑰是其複本金鑰。如果有其他相關的複本金鑰，它們會成為新主要金鑰的複本。下次 AWS KMS 同步多區域金鑰的共用屬性時，它會從新的主金鑰取得[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)，並將其複製到其複本金鑰，包括先前的主金鑰。  
更新操作並不會影響任何多區域金鑰的[金鑰 ARN](concepts.md#key-id-key-ARN)。它也不會影響共用屬性 (例如金鑰材料) 或獨立屬性 (例如金鑰政策)。不過，您可能想要[更新新主要金鑰的金鑰政策](key-policy-modifying.md)。例如，您可能想要為可信任委託人將 [kms:ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 許可新增至新的主要金鑰，並將其從新的複本金鑰中移除。

## 更新主要區域
<a name="update-primary-region"></a>

您可以將複本金鑰轉換為主金鑰，這會將先前的主金鑰變更為複本。若要更新主要區域，您需要兩個區域中的 [kms:UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) 許可。

您可以在 AWS KMS 主控台中或使用 [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) 操作來更新主要區域。

### 使用 AWS KMS 主控台
<a name="update-primary-console"></a>

您可以在 AWS KMS 主控台中更新主索引鍵。從目前主要金鑰的金鑰詳細資訊頁面開始。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。

1. 選取[多區域主要金鑰](multi-region-keys-overview.md#mrk-primary-key)的金鑰 ID 或別名。如此會開啟主要金鑰的金鑰詳細資訊頁面。

   若要識別多區域主要金鑰，請使用右上角的工具圖示新增 **Regionality** (區域性) 資料欄至資料表。

1. 選擇 **Regionality** (區域性) 索引標籤。

1. 在 **Primary key** (主要金鑰) 區段中，選擇 **Change primary Region** (變更主要區域)。

1. 選擇新主要金鑰的區域。您只可以從選單中選擇一個區域。

   **Change primary Regions** (變更主要區域) 選單只包含具有相關多區域金鑰的區域。您可能沒有[更新選單上所有區域中主要區域的許可](multi-region-keys-auth.md#mrk-auth-update)。

1. 選擇 **Change primary Region** (變更主要區域)。

### 使用 AWS KMS API
<a name="update-primary-api"></a>

若要變更一組相關多區域金鑰中的主要金鑰，請使用 [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) 操作。

使用 `KeyId` 參數來識別目前的主要金鑰。使用 `PrimaryRegion` 參數來指出新主索引鍵 AWS 區域 的 。如果主要金鑰尚未在新的主要區域中有複本，則操作會失敗。

下列範例會將 `us-west-2` 區域中多區域金鑰的主要金鑰變更為其在 `eu-west-1` 區域的複本。`KeyId` 參數會識別 `us-west-2` 區域中的目前主要金鑰。`PrimaryRegion` 參數會指定新主索引鍵 AWS 區域 的 `eu-west-1`。

```
$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1
```

成功時，此操作不會返回任何輸出；只是 HTTP 狀態碼。若要查看效果，請針對任一多區域金鑰呼叫 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作。您可能需要等到金鑰狀態返回到 `Enabled`。金鑰狀態為[正在更新](#update-primary-keystate)時，金鑰的值可能仍在變化中。

例如，下列 `DescribeKey` 呼叫會取得有關 `eu-west-1` 區域中多區域金鑰的詳細資訊。輸出顯示 `eu-west-1` 區域中的多區域金鑰現在已成為主要金鑰。`us-west-2` 區域中相關的多區域金鑰 (相同金鑰 ID) 現在是複本金鑰。

```
$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}
```