管理多区域密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理多区域密钥

对于大多数操作,您需要以与使用和管理单区域密钥相同的方式管理。您可以启用和禁用密钥、设置和更新别名、密钥策略、授权和标记。但是,多区域密钥的管理在以下方面有所不同。

  • 您可以更新主要区域。这将其中一个副本键更改为主键,将当前主键更改为复制副本。

  • 您管理自动密钥轮换仅在主键上。

  • 您可以获取Public key,以获取来自任何相关主键或副本键的非对称多区域键。

更新主要区域

每组相关的多区域键都必须具有一个主键。但您可以更改主键。此操作,称为更新主要区域,将当前主键转换为副本键,并将其中一个相关副本键转换为主键。如果您需要在维护副本密钥的同时删除当前主键,或者在与密钥管理员相同的区域中找到主键,则可以执行此操作。

您可以选择任何相关的副本键作为新主键。主键和副本键必须位于Enabled 密钥状态在操作开始时。

即使在此操作完成之后,更新主区域的过程可能仍在进行几秒钟。在此期间,旧主键和新主键具有正在更新。虽然键状态为Updating,您可以在加密操作中使用密钥,但不能复制新的主键或执行某些管理操作,例如启用或禁用这些密钥。诸如操作DescribeKey可能会将旧主键和新主键同时显示为副本。这些区域有:Enabled更新完成时恢复键状态。

假设您在美国东部(弗吉尼亚北部)(us-east-1) 中有一个副本键,在欧洲 (爱尔兰) (eu-west-1)。您可以使用更新功能将美国东部 (弗吉尼亚北部) (us-east-1) 中的主键更改为副本密钥,并将欧洲 (爱尔兰) (eu-west-1) 中的副本密钥更改为主键。


                更新主键

更新过程完成后,欧洲 (爱尔兰) (eu-west-1) 区域中的多区域键是多区域主键,美国东部(弗吉尼亚北部)(us-east-1) 区域中的键是其副本键。如果存在其他相关的副本密钥,则它们将成为新主键的副本。下一次Amazon KMS同步多区域键的共享属性,它将获得共享属性并将它们复制到其副本键(包括以前的主键)中。

更新操作不会影响密钥 ARN任何多区域键。它也不会影响共享属性(如密钥材料)或独立属性(如密钥策略)。不过,您可能希望更新密钥策略的新主键。例如,您可能要添加KMS: 复制密钥权限设置为新主键,并将其从新副本密钥中删除。

这些区域有:Updating密钥状态

更新主区域的过程比短暂的最终一致性延迟要长一些,后者影响大多数Amazon KMS操作。该过程可能仍在进行UpdatePrimaryRegion操作返回,或者您已完成控制台中的更新过程。诸如操作DescribeKey可能会将旧主键和新主键同时显示为副本,直到该过程完成。

在更新主区域的过程中,旧主键和新主键位于Updating密钥状态。更新过程成功完成后,两个键都返回到Enabled密钥状态。在Updating状态时,某些管理操作(如启用和禁用密钥)不可用。不过,您可以继续在加密操作中使用这两个密钥,而不会中断。有关的效果的信息Updating键状态,请参阅密钥状态:对您的 CMK 产生的影响

更新主区域(控制台)

您可以在Amazon KMS控制台。从当前主键的密钥详细信息页开始。

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Key Management Service(Amazon KMS) 控制台https://console.aws.amazon.com/kms

  2. 要更改Amazon区域,请使用页面右上角的 Region (区域选择器)。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择键 ID 或别名多区域主键。这将打开 CMK 的密钥详细信息页面。

    要识别多区域主键,请使用右上角的工具图标添加区域性列添加到表。

  5. 选择区域性选项卡。

  6. 主键部分,选择更改主区域

  7. 选择新主键的区域。您只能从菜单中选择一个区域。

    这些区域有:更改主区域菜单仅包含具有相关多区域键的区域。您可能没有更新主区域的权限在菜单上的所有区域中。

  8. 选择更改主区域

更新主要区域 (Amazon KMSAPI)

要更改一组相关的多区域键中的主键,请使用更新主要区域operation.

使用KeyId参数来标识当前主键。使用PrimaryRegion参数来指示 Amazon Web Services 区域 的新主键。如果主键在新的主区域中还没有复制副本,则操作将失败。

以下示例将主键从us-west-2区域到其复制副本的eu-west-1区域。这些区域有:KeyId参数标识当前主键us-west-2区域。这些区域有:PrimaryRegion参数指定 Amazon Web Services 区域 的新主键,eu-west-1

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

如果成功,此操作不会返回任何输出,只返回 HTTP 状态代码。要查看效果,请调用DescribeKey操作的任一 CMK 上。您可能需要等到键状态返回Enabled。虽然键状态为正在更新,则键的值可能仍处于通量状态。

例如,以下DescribeKey调用获取有关多区域键的详细信息eu-west-1区域。输出显示,eu-west-1区域现在是主键。相关的多区域密钥(相同的密钥 ID)us-west-2区域现在已成为副本密钥。

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

旋转多区域关键帧

您可以启用和禁用关键材料的自动旋转在多区域键中。自动密钥轮换是共享属性的多区域键。

您只能启用和禁用自动密钥轮换。

  • 何时Amazon KMS同步多区域键时,它会将密钥轮换属性设置从主键复制到其所有相关副本键。

  • 何时Amazon KMS轮换键材质时,它会为主键创建新的关键帧材料,然后跨区域边界将新的关键帧材料复制到所有相关的副本键。关键材料永远不会离开Amazon KMS未加密。此步骤经过精心控制,以确保密钥材料在加密操作中使用任何密钥之前完全同步。

  • Amazon KMS不会使用新密钥材料加密任何数据,直到该密钥材料在主密钥及其每个副本密钥中都可用。

  • 复制已轮换的主键时,新复制副本键具有相关多区域键的当前密钥材料和所有先前版本的密钥材料。

此模式可确保相关的多区域密钥完全可互操作。任何多区域密钥都可以解密由相关的多区域密钥加密的任何密文,即使密文在创建密钥之前已加密。

多区域非对称 CMK 或具有导入的密钥材料的多区域 CMK 不支持自动密钥轮换。有关自动密钥轮替的信息以及启用和禁用密钥的说明,请参阅轮换客户主密钥

下载公有密钥

当您创建一个多区域非对称 CMK、Amazon KMS为主键创建 RSA 或椭圆曲线 (ECC) key pair。然后,它将该 key pair 复制到主键的每个副本。因此,您可以从主键或其任何副本密钥下载公钥。你总是会得到相同的关键材料。

有关下载和使用Amazon KMS,请参阅下载公有密钥的特殊注意事项。有关说明,请参阅下载公有密钥