複寫 AWS 付款密碼編譯金鑰 - AWS 付款密碼編譯
多區域金鑰複寫的優點多區域金鑰複寫的運作方式限制及考量啟用多區域金鑰複寫停用多區域金鑰複寫安全考量最佳實務定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

複寫 AWS 付款密碼編譯金鑰

AWS 付款密碼編譯支援多區域金鑰複寫,可讓您將金鑰資料和中繼資料從任何指定的 AWS 付款密碼編譯金鑰安全地分發到 AWS 區域 相同 AWS 分割區和帳戶中的一或多個 。

來源金鑰稱為主要區域金鑰 (PRK),並且仍然是所有金鑰管理活動的授權來源,而 PRK 和複本區域金鑰 (RRK) 都可以用於其各自的密碼編譯操作 AWS 區域。

多區域金鑰複寫的優點

以下概述多區域金鑰複寫的一些優點。

  • 更輕鬆地設定高可用性的應用程式 - AWS 付款密碼編譯會為您處理金鑰分佈,因此您可以在多個 AWS 區域 中使用金鑰,而不需要建立指定金鑰的解耦副本。

  • 高可用性和低延遲金鑰 - 透過多區域金鑰複寫,您可以在多個 中存取金鑰 AWS 區域 ,使其具有高可用性,進而降低延遲。

  • 金鑰材料耐久性 - 複本區域金鑰是完整的金鑰複本,可以在密碼編譯操作中獨立於其主要區域金鑰使用。當 PRK 發生災難性資料遺失時,RRK 會提供耐久的複本。

多區域金鑰複寫的運作方式

啟用多區域金鑰複寫時, AWS 付款密碼編譯服務會使用安全金鑰分佈機制,將金鑰資料和中繼資料複製到 AWS 區域 您指定的複本。主要區域金鑰中繼資料的變更,例如金鑰屬性、狀態和啟用,會自動複寫至複本區域金鑰。

限制及考量

以下是一些多區域金鑰複寫限制和考量事項。

  • 您必須為 AWS 區域 或特定付款密碼編譯金鑰啟用此功能。

    • 如果為 啟用此功能 AWS 區域,則啟用後建立的所有 AWS 付款密碼編譯金鑰都會複寫到指定的 AWS 區域。在此區域中建立的金鑰將成為主要區域金鑰。此區域中的現有金鑰不會自動複寫。您可以在金鑰層級為 AWS 區域 內的現有金鑰啟用多區域金鑰複寫。

    • 每個 AWS 區域 都可以有唯一的多區域金鑰複寫設定。

    • 金鑰的多區域複寫設定優先於 AWS 區域 多區域金鑰複寫設定。

  • 複本區域金鑰無法設定為複寫至其他 AWS 區域。

  • 多區域金鑰複寫適用於對稱付款密碼編譯金鑰,例如三重資料加密標準 (3DES)、進階加密標準 (AES) 和雜湊型訊息驗證碼 (HMAC)。

  • 非對稱付款密碼編譯金鑰不支援多區域金鑰複寫。

  • 複本區域金鑰是唯讀金鑰。主要區域金鑰的所有變更都會套用至複本區域金鑰。

  • 主要區域金鑰變更最終會與複本區域金鑰一致。

  • 付款密碼編譯金鑰只能使用相同的 AWS 分割區和帳戶複寫。

  • 複本區域金鑰會計入您的 AWS 帳戶 層級 AWS 付款密碼編譯限制。

  • 主要區域金鑰和複本區域金鑰使用相同的金鑰識別符,可讓您透過 IAM 政策中的相同 ARN 來參考這兩個金鑰。

啟用多區域金鑰複寫

有兩種方式可以啟用 AWS 付款密碼編譯金鑰的多區域金鑰複寫。

  1. AWS 區域:啟用 AWS 區域 時,多區域金鑰複寫會套用至在該 中建立的所有新金鑰。此方法為所有金鑰提供一致的複寫。

  2. 特定 AWS 付款密碼編譯金鑰:您可以管理個別金鑰的多區域金鑰複寫,以允許更精細的控制層級。

啟用多區域金鑰複寫後,您的付款密碼編譯金鑰將複寫到 AWS 區域 您指定的 。

重要

多區域金鑰複寫無法暫停。啟用複寫後,您的金鑰會自動複寫到 AWS 區域 您指定的 。您可以針對特定 AWS 區域 或付款密碼編譯金鑰停用多區域金鑰複寫。您必須從主要區域金鑰中移除 AWS 區域 做為複寫區域,才能刪除複本區域金鑰。

或者,您可以呼叫 PRK stop-key-usage 上的 StopKeyUsage API 或 CLI 命令,以停止同時使用 PRK 和所有相關聯的 RRKs。您無法在密碼編譯操作中使用這些金鑰。使用 StopKeyUsage API 或 stop-key-usage CLI 命令不會停止為 PRK 啟用的進行中多區域金鑰複寫。

您可以呼叫 GetDefaultKeyReplicationRegions API 或 CLI get-default-key-replication-regions 命令,檢查特定 AWS 區域 中 AWS 付款密碼編譯金鑰的多區域金鑰複寫設定。您呼叫此 API 動作或命令 AWS 區域 的 金鑰將成為您的 PRK

使用下列程序來啟用多區域金鑰複寫。

For AWS 區域

  • 使用以下命令為您 AWS 區域 指定的 啟用多區域金鑰複寫。在此範例中,美國東部 (俄亥俄) 和美國西部 (奧勒岡) 啟用多區域金鑰複寫。若要使用此命令,請以您自己的資訊取代範例命令中的斜體預留位置文字

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
注意

為 啟用多區域金鑰複寫 AWS 區域 不會變更任何現有 AWS 付款密碼編譯金鑰的複寫組態。您可以在金鑰層級為現有金鑰啟用此功能。只有為 啟用多區域金鑰複寫之後建立的金鑰 AWS 區域 ,才會使用區域複寫設定。

For specific AWS Payment Cryptography keys

  • 使用下列命令來啟用特定付款密碼編譯金鑰的多區域金鑰複寫。在此範例中,美國東部 (俄亥俄) 啟用多區域金鑰複寫。若要使用此命令,請以您自己的資訊取代範例命令中的斜體預留位置文字

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

或者,您可以在建立金鑰請求中包含複寫,以啟用此功能來建立新的付款密碼編譯金鑰。 AWS 區域

注意

金鑰複寫設定優先於 AWS 區域 複寫設定。

停用多區域金鑰複寫

如果您想要停用多區域金鑰複寫,您可以根據啟用多區域金鑰複寫的方式,呼叫 disable-default-key-replicationremove-key-replication-regions CLI 命令。您需要指定金鑰的 ARN 和 AWS 區域 ,才能停用多區域金鑰複寫。

考量

複寫區域金鑰刪除最終一致。

您可以呼叫 GetDefaultKeyReplicationRegions API 或 CLI get-default-key-replication-regions 命令,檢查特定 AWS 區域 中 AWS 付款密碼編譯金鑰的多區域金鑰複寫設定。

使用下列程序來停用多區域金鑰複寫。

For AWS 區域

  • 使用以下命令為您指定的 停用多區域金鑰複寫 AWS 區域 。在此範例中,美國東部 (俄亥俄) 停用多區域金鑰複寫。若要使用此命令,請以您自己的資訊取代範例命令中的斜體預留位置文字

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • 使用下列命令來停用特定付款密碼編譯金鑰的多區域金鑰複寫。在此範例中,多區域金鑰複寫正在美國東部 (俄亥俄) 停用。若要使用此命令,請以您自己的資訊取代範例命令中的斜體預留位置文字

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

安全考量

以下是對付款密碼編譯金鑰使用多區域金鑰複寫時的安全考量。如需詳細資訊,請參閱AWS 付款密碼編譯的安全最佳實務

  • 限制共用金鑰資料。

  • 建立 IAM 政策時,請遵循最低權限許可的主體。

  • 您無法變更複本區域金鑰,因為它是唯讀金鑰。

最佳實務

以下是將多區域金鑰複寫與 AWS 付款密碼編譯金鑰搭配使用時的一些最佳實務。

  • 確保您的應用程式持續運作,即使多區域金鑰複寫到指定的 AWS 區域 不是立即的。如果您需要知道多區域金鑰複寫何時完成,您可以使用 GetKey API 動作來監控 。您可以使用 監控金鑰複寫事件AWS CloudTrail

  • 在從一個 容錯移轉 AWS 區域 到另一個 區域時,測試並實作自動化部署程序。

定價

您需要為使用 AWS 付款密碼編譯建立的複本區域金鑰付費。這些金鑰按 收費 AWS 區域。如需最新的付款密碼編譯定價資訊,請參閱AWS 付款密碼編譯定價頁面