本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 複寫 AWS 付款密碼編譯金鑰
<a name="keys-multi-region-replication"></a>

AWS 付款密碼編譯支援多區域金鑰複寫，可讓您將金鑰材料和中繼資料從任何指定的 AWS 付款密碼編譯金鑰安全地分發到 AWS 區域 相同 AWS 分割區和帳戶中的一或多個 。

來源金鑰稱為[主要區域金鑰 (PRK)](terminology.md#term.prk)，並且仍然是所有金鑰管理活動的授權來源，而 PRK 和[複本區域金鑰 (RRK)](terminology.md#term.rrk) 都可以用於其各自的密碼編譯操作 AWS 區域。

## 多區域金鑰複寫的優點
<a name="benefits"></a>

 以下概述多區域金鑰複寫的一些優點。
+ *更輕鬆地設定高可用性的應用程式* - AWS 付款密碼編譯會為您處理金鑰分佈，因此您可以在多個 AWS 區域 中使用金鑰，而不需要建立指定金鑰的解耦副本。
+ *高可用性和低延遲金鑰* - 透過多區域金鑰複寫，您可以在多個 中存取金鑰 AWS 區域 ，使其具有高可用性，進而降低延遲。
+ *金鑰材料耐久性* - 複本區域金鑰是完整的金鑰複本，可以在密碼編譯操作中獨立於其主要區域金鑰使用。當 PRK 發生災難性資料遺失時，RRK 會提供耐久的複本。

## 多區域金鑰複寫的運作方式
<a name="how-mrr-works"></a>

啟用多區域金鑰複寫時， AWS 付款密碼編譯服務會使用安全金鑰分佈機制，將金鑰資料和中繼資料複製到 AWS 區域 您指定的複本。主要區域金鑰中繼資料的變更，例如金鑰屬性、狀態和啟用，會自動複寫至複本區域金鑰。

## 限制及考量
<a name="limitations-considerations"></a>

以下是一些多區域金鑰複寫限制和考量事項。
+ 您必須為 AWS 區域 或特定付款密碼編譯金鑰啟用此功能。
  + 如果為 啟用此功能 AWS 區域，則啟用後建立的所有 AWS 付款密碼編譯金鑰都會複寫到指定的 AWS 區域。在此區域中建立的金鑰將成為主要區域金鑰。此區域中的現有金鑰不會自動複寫。您可以在金鑰層級為 內的現有金鑰啟用多區域 AWS 區域 金鑰複寫。
  + 每個 AWS 區域 都可以有唯一的多區域金鑰複寫設定。
  + 金鑰的多區域複寫設定優先於 AWS 區域 多區域金鑰複寫設定。
+ 複本區域金鑰無法設定為複寫至其他 AWS 區域。
+ 多區域金鑰複寫適用於對稱付款密碼編譯金鑰，例如三重資料加密標準 (3DES)、進階加密標準 (AES) 和雜湊型訊息驗證碼 (HMAC)。
+ 非對稱付款密碼編譯金鑰不支援多區域金鑰複寫。
+ 複本區域金鑰是唯讀金鑰。主要區域金鑰的所有變更都會套用至複本區域金鑰。
+ 主要區域金鑰變更最終會與複本區域金鑰一致。
+ 付款密碼編譯金鑰只能使用相同的 AWS 分割區和帳戶複寫。
+ 複本區域金鑰會計入您的 AWS 帳戶 層級 AWS 付款密碼編譯限制。
+ 主要區域金鑰和複本區域金鑰使用相同的金鑰識別符，可讓您透過 IAM 政策中的相同 ARN 來參考這兩個金鑰。
+ 您必須在複本 AWS 區域 中具有複寫`CreateKey`許可才能成功。

## 啟用多區域金鑰複寫
<a name="enabling-mrr"></a>

有兩種方式可以啟用 AWS 付款密碼編譯金鑰的多區域金鑰複寫。

1. **AWS 區域**：啟用 AWS 區域 時，多區域金鑰複寫會套用至在該 中建立的所有新金鑰。此方法為所有金鑰提供一致的複寫。

1. **特定 AWS 付款密碼編譯金鑰**：您可以管理個別金鑰的多區域金鑰複寫，以允許更精細的控制層級。

啟用多區域金鑰複寫後，您的付款密碼編譯金鑰將複寫到 AWS 區域 您指定的 。

**重要**  
多區域金鑰複寫無法暫停。啟用複寫後，您的金鑰會自動複寫到 AWS 區域 您指定的 。您可以針對特定 AWS 區域 或付款密碼編譯金鑰[停用](#disabling-mrr)多區域金鑰複寫。您必須從主要區域金鑰中移除 AWS 區域 做為複寫區域，才能刪除複本區域金鑰。  
或者，您可以呼叫 PRK [https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/stop-key-usage.html](https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/stop-key-usage.html) 上的 [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html) API 或 CLI 命令，以停止同時使用 PRK 和所有相關聯的 RRKs。您無法在密碼編譯操作中使用這些金鑰。使用 `StopKeyUsage` API 或 **stop-key-usage** CLI 命令不會停止為 PRK 啟用的進行中多區域金鑰複寫。

您可以呼叫 `GetDefaultKeyReplicationRegions` API 或 CLI **get-default-key-replication-regions** 命令，檢查特定 AWS 區域 中 AWS 付款密碼編譯金鑰的多區域金鑰複寫設定。您呼叫此 API 動作或命令 AWS 區域 之 中的金鑰將成為您的 [PRK](terminology.md#term.prk)。

使用下列程序來啟用多區域金鑰複寫。

------
#### [ For AWS 區域 ]
+ 使用以下命令為您 AWS 區域 指定的 啟用多區域金鑰複寫。在此範例中，美國東部 （俄亥俄） 和美國西部 （奧勒岡） 啟用多區域金鑰複寫。若要使用此命令，請以您自己的資訊取代範例命令中的{{斜體預留位置文字}}。

  ```
  aws payment-cryptography enable-default-key-replication-regions \
      --replication-regions {{us-east-2 us-west-2}}
  ```

**注意**  
為 啟用多區域金鑰複寫 AWS 區域 不會變更任何現有 AWS 付款密碼編譯金鑰的複寫組態。您可以在金鑰層級為現有金鑰啟用此功能。只有為 啟用多區域金鑰複寫之後建立的金鑰 AWS 區域 ，才會使用區域複寫設定。

------
#### [ For specific AWS Payment Cryptography keys ]
+ 使用下列命令來啟用特定付款密碼編譯金鑰的多區域金鑰複寫。在此範例中，美國東部 （俄亥俄） 啟用多區域金鑰複寫。若要使用此命令，請以您自己的資訊取代範例命令中的{{斜體預留位置文字}}。

  ```
  aws payment-cryptography add-key-replication-regions \
      --key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}} \
      --replication-regions {{us-east-2}}
  ```

或者，您可以在[建立金鑰請求中包含複寫，以啟用此功能來建立新的付款密碼編譯](create-keys.md)金鑰。 AWS 區域 

**注意**  
金鑰複寫設定優先於 AWS 區域 複寫設定。

------

## 停用多區域金鑰複寫
<a name="disabling-mrr"></a>

如果您想要停用多區域金鑰複寫，您可以呼叫 **disable-default-key-replication**或 **remove-key-replication-regions** CLI 命令，具體取決於多區域金鑰複寫的啟用方式。您需要指定金鑰的 ARN 和 AWS 區域 ，以停用多區域金鑰複寫。

**考量事項**  
複寫區域金鑰刪除最終一致。

您可以呼叫 `GetDefaultKeyReplicationRegions` API 或 CLI **get-default-key-replication-regions** 命令，檢查特定 AWS 區域 中 AWS 付款密碼編譯金鑰的多區域金鑰複寫設定。

使用下列程序來停用多區域金鑰複寫。

------
#### [ For AWS 區域 ]
+ 使用以下命令為您指定的 停用多區域金鑰複寫 AWS 區域 。在此範例中，美國東部 （俄亥俄） 停用多區域金鑰複寫。若要使用此命令，請以您自己的資訊取代範例命令中的{{斜體預留位置文字}}。

  ```
  aws payment-cryptography disable-default-key-replication-regions \
      --replication-regions {{us-east-2}}
  ```

------
#### [ For specific AWS Payment Cryptography keys ]
+ 使用下列命令來停用特定付款密碼編譯金鑰的多區域金鑰複寫。在此範例中，多區域金鑰複寫正在美國東部 （俄亥俄） 停用。若要使用此命令，請以您自己的資訊取代範例命令中的{{斜體預留位置文字}}。

  ```
  aws payment-cryptography remove-key-replication-regions \
      --key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}} \
      --replication-regions {{us-east-2}}
  ```

------

## 安全考量
<a name="security-considerations"></a>

以下是對付款密碼編譯金鑰使用多區域金鑰複寫時的安全考量。如需詳細資訊，請參閱[AWS 付款密碼編譯的安全最佳實務](security-best-practices.md)。
+ 限制共用金鑰資料。
+ 建立 IAM 政策時，請遵循最低權限許可的主體。
+ 您無法變更複本區域金鑰，因為它是唯讀金鑰。

## 最佳實務
<a name="best-practices"></a>

以下是搭配 AWS 付款密碼編譯金鑰使用多區域金鑰複寫時的一些最佳實務。
+ 確保您的應用程式持續運作，即使多區域金鑰複寫到指定的 AWS 區域 不是立即的。如果您需要知道多區域金鑰複寫何時完成，您可以使用 [GetKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html) API 動作來監控 。您可以使用 監控金鑰複寫事件[AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
+ 在從一個 容錯移轉 AWS 區域 到另一個 區域時，測試並實作自動化部署程序。

## 定價
<a name="pricing"></a>

您需要為使用 AWS 付款密碼編譯建立的複本區域金鑰付費。這些金鑰按 收費 AWS 區域。如需最新的付款密碼編譯定價資訊，請參閱[AWS 付款密碼編譯定價頁面](https://aws.amazon.com/payment-cryptography/pricing/)。