Amazon KMS 中的多区域密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon KMS 中的多区域密钥

Amazon KMS 支持多区域密钥,它们不同 Amazon Web Services 区域 中可以互换使用的 Amazon KMS keys,就好像您在多个区域中拥有相同的密钥一样。每组相关多区域密钥均具有相同的密钥材料和密钥 ID,因此您可以在一个 Amazon Web Services 区域 中将数据加密并将其解密到不同 Amazon Web Services 区域 中,而无需重新加密或跨区域调用 Amazon KMS。

与所有 KMS 密钥一样,多区域密钥永远不会使 Amazon KMS 处于未加密状态。您可以创建用于加密或签名的对称或非对称多区域密钥,创建用于生成和验证 HMAC 标签的 HMAC 多区域密钥,并创建带导入密钥材料的多区域密钥或 Amazon KMS 生成的密钥材料。您必须独立管理每个多区域密钥,包括创建别名和标签、设置其密钥策略和授权以及有选择性地启用和禁用它们。您可以在可使用单区域密钥进行的所有加密操作中使用多区域密钥。

多区域密钥是一个灵活而强大的解决方案,适用于许多常见的数据安全场景。

灾难恢复

在备份和恢复架构中,多区域密钥允许您在不中断的情况下处理加密数据,即使在 Amazon Web Services 区域 中断时亦可处理。备份区域中维护的数据可以在备份区域中解密,备份区域中新加密的数据可以在恢复该区域后在主区域中解密。

全球数据管理

在全球运营的企业需要将全球分布的数据一致地提供到各个 Amazon Web Services 区域。您可以在数据所在的所有区域中创建多区域密钥,然后将密钥用作单区域密钥,而不会出现跨区域调用的延迟或在每个区域中使用不同密钥重新加密数据的成本。

分布式签名应用程序

需要跨区域签名功能的应用程序可以使用多区域非对称签名密钥以在不同的 Amazon Web Services 区域 一致、反复地生成同样的数字签名。

如果将证书链与单个全局信任存储 [对于单个根证书颁发机构(CA)] 及根 CA 签名的区域中间 CA 结合使用,则不需要多区域密钥。但是,如果您的系统不支持中间 CA(如应用程序签名),则可以使用多区域密钥来实现区域证书的一致性。

跨多个区域的双活应用程序

某些工作负载和应用程序可以跨越双活架构中的多个区域。对于这些应用程序,多区域密钥可以通过提供相同的密钥材料对可能跨区域边界移动的数据进行并发加密和解密操作来降低复杂性。

您可以将多区域密钥与客户端加密库结合使用,例如 Amazon Encryption SDKAmazon 数据库加密 SDKAmazon S3 客户端加密

与 Amazon KMS 集成以进行静态加密或数字签名的 Amazon 服务当前将多区域密钥视为单区域密钥。他们可能会重新包装或重新加密在区域之间移动的数据。例如,甚至是在复制受多区域密钥保护的对象时,Amazon S3 跨区域复制也会在目标区域的 KMS 密钥下解密和重新加密数据。

多区域键不是全局键。创建一个多区域主键,然后将其复制到您在 Amazon 分区中选择的区域。然后单独管理每个区域中的多区域键。Amazon 和 Amazon KMS 都不能代表您自动创建多区域密钥或将其复制到任何区域中。Amazon 服务在您的账户中为您创建的 KMS 密钥 Amazon 托管式密钥 始终都是单区域密钥。

您不能将现有的单区域密钥转换为多区域密钥。此设计可确保使用现有单区域密钥保护的所有数据都保持相同的数据驻留和数据主权属性。

对于大多数数据安全需求,区域资源的区域隔离和容错能力使标准 Amazon KMS 单区域密钥称为最适合的解决方案。但是,当您需要跨多个区域加密或对客户端应用程序中的数据进行签名时,多区域密钥可能是解决方案。

区域

多区域密钥在 Amazon KMS 支持的所有 Amazon Web Services 区域 中受支持,除中国(北京)和中国(宁夏)区域以外。

定价和配额

一组相关的多区域密钥中的每个密钥都被视为一个 KMS 密钥,用于定价和配额。Amazon KMS 配额是针对账户的每个区域单独计算的。每个区域中的多区域密钥的使用和管理将计入该区域的配额。

支持的 KMS 密钥类型

您可以创建以下类型的多区域 KMS 密钥:

  • 对称加密 KMS 密钥

  • 非对称 KMS 密钥

  • HMAC KMS 密钥

  • 具有导入密钥材料的 KMS 密钥

您不能在自定义密钥存储中创建多区域密钥。

了解更多

术语和概念

以下术语和概念用于多区域密钥。

多区域密钥

多区域密钥是不同 Amazon Web Services 区域 中具有相同的密钥 ID 和密钥材料(以及其他共享属性)的一组 KMS 密钥之一。每个多区域密钥都是一个功能齐全的 KMS 密钥,可以完全独立于其相关的多区域密钥使用。由于所有的相关多区域密钥都具有相同的密钥 ID 和密钥材料,它们可互换操作,即任何 Amazon Web Services 区域 中的相关多区域密钥都可以解密由任何其他相关的多区域密钥加密的密文。

您可以在创建 KMS 密钥时设置其多区域属性。您不能更改现有密钥的多区域属性。您不能将单区域密钥转换为多区域密钥,或将多区域密钥转换为单区域密钥。要将现有工作负载移动到多区域方案中,您必须重新加密数据或使用新的多区域密钥创建新的签名。

多区域密钥可以是对称或非对称的,它可以使用 Amazon KMS 密钥材料或导入的密钥材料。您不能在自定义密钥存储中创建多区域密钥。

在一组相关的多区域密钥中,任何时候都只有一个主键。您可以在其他 Amazon Web Services 区域 中创建该主键的副本密钥。您还可以更新主区域,从而将主键更改为副本密钥,并将指定的副本密钥更改为主键。但是,您只能在每个 Amazon Web Services 区域 维持一个主键或副本密钥。所有区域都必须位于同一个 Amazon 分区

您可以在相同或不同的 Amazon Web Services 区域 中拥有多组相关多区域密钥。尽管相关的多区域密钥是可互操作的,但不相关的多区域密钥不可互操作。

主键

多区域主键是一个 KMS 密钥,可以复制到同一个分区内的不同 Amazon Web Services 区域 中。每组多区域密钥只有一个主键。

主键与副本密钥的区别在以下几方面:

不过,主密钥和副本密钥在任何加密属性中都没有区别。您可以互换使用主键及其副本密钥。

您不需要复制主键。您可以像使用任何 KMS 密钥一样使用它,并在有用时复制它。但是,由于多区域密钥与单区域密钥具有不同的安全属性,因此我们建议您仅在计划复制多区域密钥时才创建多区域密钥。

副本密钥

多区域副本密钥是一个 KMS 密钥,它具有与其主密钥和相关副本密钥相同的密钥 ID 和密钥材料,但位于不同的 Amazon Web Services 区域 中。

副本密钥是功能齐全的 KMS 密钥,具有其自己的密钥策略、授权、别名、标签和其他属性。它不是主键或任何其他密钥的副本或指针。即使某个副本密钥的主键及所有相关的副本密钥都被禁用,您也可以使用该副本密钥。您还可以将副本密钥转换为主键,将主键转换为副本密钥。副本密钥被创建后,仅依赖于其主键进行密钥轮换更新主区域

主密钥和副本密钥在任何加密属性中都没有区别。您可以互换使用主键及其副本密钥。通过主密钥或副本密钥加密的数据可以通过相同的密钥或任何相关的主密钥或副本密钥进行解密。

复制

您可以将多区域主键复制到同一个分区中的不同的 Amazon Web Services 区域。如果您这样做,Amazon KMS 会使用与其主键相同的密钥 ID 和其他共享属性,在指定区域中创建一个多区域副本密钥。然后,它将密钥材料安全地跨区域边界传输,并将其与新的副本密钥相关联,一切都在 Amazon KMS 中进行。

共享属性

共享属性是与其副本密钥共享的多区域主键的属性。Amazon KMS 将创建具有与主键相同的共享属性值的副本密钥。然后,它会定期将主键的共享属性值与其副本密钥同步。您不能在副本密钥上设置这些属性。

以下是多区域密钥的共享属性。

您还可以将相关多区域密钥的主名称和副本名称视为共享属性。当您创建新的副本密钥更新主键时,Amazon KMS 将更改同步到所有相关的多区域密钥。完成这些更改后,所有相关的多区域密钥都会准确列出其主键和副本密钥。

多区域密钥的所有其他属性都是独立属性,包括说明、密钥策略授权启用和禁用的密钥状态别名标签。您可以在所有相关的多区域密钥上为这些属性设置相同的值,但如果更改独立属性的值,Amazon KMS 不会同步它。

您可以跟踪多区域密钥的共享属性的同步情况。在您的 Amazon CloudTrail 日志中,查找 SynchronizeMultiRegionKey 事件。