将密钥材料导入到多区域键 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将密钥材料导入到多区域键

您可以将自己的密钥材料导入多区域密钥。您使用自己的密钥材料创建的多区域密钥是可互操作的。您可以对一个区域中的数据进行加密,并使用相关的多区域密钥在任何其他区域中解密数据。

但是,您必须管理密钥材料。

  • Amazon KMS不会将密钥材料从主键与导入的密钥材料复制或同步到其副本键。您必须将相同的密钥材料导入相关的主键和副本键。

  • 导入密钥材料时,您可以单独设置每个密钥的到期模型和到期日期。您可以为相关的多区域密钥配置相同或不同的过期模式和过期日期。如果密钥材料接近到期日期,则必须将密钥材料重新导入受影响的多区域密钥。

    相关的多区域键的密钥状态彼此独立。例如,如果主键中的密钥材料过期,则其副本密钥不受影响。

相同的副本密钥的区域要求适用于带导入的密钥材料的多区域键。如果您将相同的关键材质导入到单区域 CMK 或不相关的多区域 CMK 中,则这些 CMK 将不可互操作。

带有导入密钥材料的多区域密钥必须为对称 CMK带有密钥材料源的对部分。Amazon KMS不支持导入的密钥材质非对称 CMK或 CMK自定义密钥存储。另外,您不能启用自动密钥轮换具有导入的密钥材料的 CMK。

除了具有多区域功能外,带有导入密钥材质的多区域键与其他带有导入密钥材料的 CMK 相同。有关创建和配置带导入的密钥材料的单区域 CMK 的详细信息,请参阅关于导入的密钥材料

为什么不是所有带导入的密钥材料的 CMK 具有互操作性?

单一地区Amazon KMS客户主密钥 (CMK) 与导入的密钥材料无法互操作,即使它们具有相同的密钥材料也是如此。何时Amazon KMS使用 CMK 来加密数据,它会以加密方式将一些密钥元数据绑定到密文。这样可以保护密文,以便只有加密数据的 CMK 才能解密该数据。

多区域密钥设计为可互操作性。除了具有相同的密钥材料外,它们还具有相同的密钥 ID 和其他元数据。因此,它们生成的密文可以通过任何相关的多区域键进行解密。因此,多区域键的信任属性与单区域键的信任属性不同。但对于一些客户来说,在多个区域中解密的好处超过了依赖于单个 CMK 的密文的安全价值 Amazon Web Services 区域 。

使用导入的密钥材料

要创建带导入的密钥材料的主键,请先创建不带密钥材料的主键。然后,您将您的密钥材料导入到主键中。

创建没有键材料的多区域主键的过程几乎与创建没有关键材质的单区域键。唯一的区别是您指定了多区域密钥材料和外部密钥材料。

使用导入的密钥材料创建多区域主键的权限与创建多区域主键替换为Amazon KMS密钥材料KMS: 创建密钥iam:CreateServiceLinkedRole权限。您可以将KMS: 多区域键类型kms:KeyOrigin条件键允许或拒绝使用导入的键材质创建多区域主键的权限。

在Amazon KMS控制台中的设置,请使用高级选项部分。Set密钥材料源外部。Set多区域复制允许将此密钥复制到其他区域。创建 CMK 后,这些属性无法更改。

使用 API 操作时,请使用OriginMultiRegion参数创建具有外部关键帧材质原点的多区域键。

$ aws kms create-key --origin EXTERNAL --multi-region true

结果是一个没有密钥材料的多区域主键,并且PendingImport

要启用此 CMK,您必须下载公有密钥和导入令牌,使用公有密钥加密您的密钥材料,然后导入密钥材料。有关说明,请参阅导入 Amazon Key Management Service (Amazon KMS) 中的密钥材料

使用导入的密钥材料创建副本

您可以在Amazon KMS控制台或使用Amazon KMSAPI 操作。要使用导入的键材质复制多区域主键,请使用与创建副本替换为Amazon KMS密钥材料。然而,结果是不同的。复制过程不会返回具有与主键相同的密钥材料的副本密钥,而是返回一个没有密钥材料的副本密钥,并且键状态为PendingImport。要启用复制副本密钥,您必须将导入到其主键中的相同密钥材料导入该密钥。

虽然不复制密钥材料,Amazon KMS创建具有相同的复制副本密钥密钥 ID密钥规范密钥用法, 和密钥材料源作为主键。它还可确保您导入到副本键的密钥材料与导入到主键的密钥材料相同。

要使用导入的密钥材质创建复制副本密钥,请执行

  1. 创建多区域主键与导入的密钥材料。

  2. 请执行以下任一操作。

    在Amazon KMS控制台中,选择带有导入密钥材料的多区域主键。然后,在其区域性选项卡上,选择创建新的复制副本密钥。有关说明,请参阅创建复制副本密钥(控制台)

    或者使用复制密钥operation. 对于KeyId参数中,输入带导入的密钥材料的多区域主键的密钥 ID 或密钥 ARN。有关说明,请参阅创建复制副本密钥 (Amazon KMSAPI)

  3. 对于每个新复制副本密钥,请按照以下步骤操作下载公有密钥和导入令牌。使用公钥对主密钥的密钥材料进行加密,然后在副本密钥中导入主密钥的密钥材料。您需要为每个副本密钥提供不同的公有密钥和导入令牌。

    如果您尝试导入到副本键中的密钥材料与其主键不同,则操作将失败。Amazon KMS不需要协调过期模式和过期日期,但您可以为多区域密钥建立业务规则。有关说明,请参阅导入 Amazon Key Management Service (Amazon KMS) 中的密钥材料

使用导入的密钥材料复制密钥的权限

要使导入的密钥材料创建副本密钥,您必须具有以下权限。

在主键区域中:

  • KMS: 复制密钥(在主 CMK 的区域中)。将此权限包含在主 CMK 的密钥策略或 IAM 策略中。

在副本键区域中: