创建多区域主密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建多区域主密钥

您可以在 Amazon KMS 控制台中或使用 Amazon KMS API 创建多区域主密钥。您可以在 Amazon KMS 支持多区域密钥所在的任何 Amazon Web Services 区域 中创建主密钥。

要创建多区域主密钥,委托人需要他们创建任何 KMS 密钥所需的相同权限,包括 IAM 策略中的 kms:CreateKey 权限。委托人还需要 iam:CreateServiceLinkedRole 权限。您可以使用 kms:MultiRegionKeyType 条件键以允许或拒绝创建多区域主密钥的权限。

这些指令会创建一个具有 Amazon KMS 生成的密钥材料的多区域主密钥。要创建带已导入密钥材料的多区域主密钥,请参阅 创建带导入的密钥材料的主密钥

创建多区域主密钥(控制台)

要在 Amazon KMS 控制台中创建多区域主密钥,请使用用于创建任何 KMS 密钥的相同过程。您可以在高级选项中选择多区域密钥。有关完整说明,请参阅创建密钥

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Region,请使用页面右上角的 Region selector (区域选择器)。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  4. 选择 Create key

  5. 选择对称或非对称密钥类型。如果选择非对称,您需要选择密钥用法和密钥规范。

  6. 展开 Advanced options (高级选项)

  7. 密钥材料源下,要使 Amazon KMS 生成主密钥和副本密钥将共享的密钥材料,请选择 KMS。如果您导入密钥材料到主密钥和副本密钥中,请选择 External(外部)。

  8. 多区域复制下,选择 Allow this key to be replicated into other Regions(允许将此密钥复制到其他区域中)。

    创建 KMS 密钥之后,您无法再更改此设置。

  9. 为主密钥键入别名

    别名不是多区域密钥的共享属性。您可以为多区域主密钥及其副本密钥指定相同的别名或不同的别名。Amazon KMS 不同步多区域密钥的别名。

    注意

    添加、删除或更新别名可以允许或拒绝对 KMS 密钥的权限。有关详细信息,请参阅 Amazon KMS 中的 ABAC使用别名控制对 KMS 密钥的访问

  10. (可选)键入主密钥的描述。

    描述不是多区域密钥的共享属性。您可以为多区域主密钥及其副本密钥指定相同的描述或不同的描述。Amazon KMS 不同步多区域密钥的密钥描述。

  11. (可选) 键入标签键和一个可选标签值。要向主密钥分配多个标签,请选择 Add tag(添加标签)。

    标签不是多区域密钥的共享属性。您可以为多区域主密钥及其副本密钥指定相同的标签或不同的标签。Amazon KMS 不同步多区域密钥的标签。您可以随时更改 KMS 密钥上的标签。

    注意

    标记或取消标记 KMS 密钥可以允许或拒绝对 KMS 密钥的权限。有关详细信息,请参阅 Amazon KMS 中的 ABAC使用标签控制对 KMS 密钥的访问

  12. 选择可管理主密钥的 IAM 用户和角色。

    注意

    IAM 策略可以向其他 IAM 用户和角色授予管理 KMS 密钥的权限。

    此步骤将开始为主密钥创建密钥策略的过程。密钥策略不是多区域密钥的共享属性。您可以为多区域主密钥及其副本密钥指定相同的密钥策略或不同的密钥策略。Amazon KMS 不同步多区域密钥的密钥策略。您可以随时更改 KMS 密钥的密钥策略。

  13. 完成创建密钥策略的步骤,包括选择密钥管理员。审查密钥策略后,请选择 Finish(完成)以创建 KMS 密钥。

创建多区域主密钥 (Amazon KMS API)

要创建多区域主密钥,请使用 CreateKey 操作。使用带 True 值的 MultiRegion 参数。

例如,以下命令在调用者的 Amazon Web Services 区域 (us-east-1) 中创建多区域主密钥。它接受所有其他属性的默认值,包括密钥策略。多区域主密钥的默认值与所有其他 KMS 密钥的默认值相同,包括默认密钥策略

响应包含 MultiRegion 元素和 MultiRegionConfiguration 元素,其中包含典型的子元素和不含副本密钥的多区域主密钥的值。多区域密钥的密钥 ID 总是以 mrk- 开头。

$ aws kms create-key --multi-region { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }