创建多区域主键 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建多区域主键

您可以在 Amazon KMS 控制台中创建多区域主密钥,也可以使用创建多区域主密钥。 Amazon KMS API您可以在任何 Amazon KMS 支持多区域密钥 Amazon Web Services 区域 的地方创建主密钥。

要创建多区域主密钥,委托人需要的权限与创建任何KMS密钥所需的权限相同,包括IAM策略中的 k m CreateKey s: 权限。委托人还需要 ia m: CreateServiceLinkedRole 权限。您可以使用 k ms: MultiRegionKeyType 条件密钥来允许或拒绝创建多区域主密钥的权限。

要在 Amazon KMS 控制台中创建多区域主密钥,请使用与创建任何KMS密钥相同的过程。您可以在高级选项中选择多区域密钥。有关完整说明,请参阅创建密KMS钥

重要

不要在别名、描述或标签中包含机密或敏感信息。这些字段可能以纯文本形式出现在 CloudTrail 日志和其他输出中。

  1. 登录 Amazon Web Services Management Console 并在 https://console.aws.amazon.com/km s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择 Create key

  5. 选择对称或非对称密钥类型。对称密钥为原定设置。

    您可以创建对称的多区域对称密钥和非对称密钥,包括多区域HMACKMS密钥。

  6. 选择您的密钥使用方法。Encrypt and decrypt(加密和解密)是原定设置。

    有关帮助信息,请参阅 创建密KMS钥创建非对称密钥 KMS创建密HMACKMS钥

  7. 展开 Advanced options (高级选项)

  8. 密钥材料来源下,要 Amazon KMS 生成主密钥和副本密钥将共享的密钥材料,请选择KMS。如果您 将密钥材料导入 到主密钥和副本密钥中,请选择 External (Import key material) [外部(导入密钥材料)]。

  9. 在 “区域性” 下,选择多区域密钥

    创建KMS密钥后,您无法更改此设置。

  10. 为主密钥键入别名

    别名不是多区域密钥的共享属性。您可以为多区域主密钥及其副本指定相同的别名或不同的别名。 Amazon KMS 不会同步多区域密钥的别名。

    注意

    添加、删除或更新别名可以允许或拒绝对KMS密钥的权限。有关详细信息,请参阅 ABAC对于 Amazon KMS使用别名控制对密钥的KMS访问

  11. (可选)键入主密钥的描述。

    描述不是多区域密钥的共享属性。您可以为多区域主密钥及其副本提供相同的描述或不同的描述。 Amazon KMS 不同步多区域密钥的密钥描述。

  12. (可选) 键入标签键和一个可选标签值。要向主密钥分配多个标签,请选择 Add tag(添加标签)。

    标签不是多区域密钥的共享属性。您可以为多区域主密钥及其副本密钥指定相同的标签或不同的标签。 Amazon KMS 不同步多区域密钥的标签。您可以随时更改KMS密钥上的标签。

    注意

    标记或取消标记KMS密钥可以允许或拒绝对密钥的权限。KMS有关详细信息,请参阅 ABAC对于 Amazon KMS使用标签控制对KMS密钥的访问

  13. 选择可以管理主键的IAM用户和角色。

    注意

    IAM策略可以向其他IAM用户和角色授予管理KMS密钥的权限。

    IAM最佳做法不鼓励使用具有长期凭证的IAM用户。尽可能使用提供临时证书的IAM角色。有关详细信息,请参阅《IAM用户指南》IAM中的安全最佳实践

    此步骤将开始为主密钥创建密钥策略的过程。密钥策略不是多区域密钥的共享属性。您可以为多区域主密钥及其副本提供相同的密钥策略或不同的密钥策略。 Amazon KMS 不会同步多区域密钥的密钥策略。您可以随时更改密钥的KMS密钥策略。

  14. 完成创建密钥策略的步骤,包括选择密钥用户。查看密钥策略后,选择 “完成” 以创建KMS密钥。

要创建多区域主键,请使用CreateKey操作。使用带 True 值的 MultiRegion 参数。

例如,以下命令在调用者的主键 Amazon Web Services 区域 (us-east-1) 中创建多区域主键。它接受所有其他属性的默认值,包括密钥策略。多区域主密钥的默认值与所有其他密钥的默认值相同,包括默认KMS密钥策略。此过程创建对称加密密钥,即默认KMS密钥。

响应包含 MultiRegion 元素和 MultiRegionConfiguration 元素,其中包含典型的子元素和不含副本密钥的多区域主密钥的值。多区域密钥的密钥 ID 总是以 mrk- 开头。

重要

不要在 DescriptionTags 字段中包含机密或敏感信息。这些字段可能以纯文本形式出现在 CloudTrail 日志和其他输出中。

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}