Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

中的多区域密钥 Amazon KMS

Amazon KMS 支持多区域密钥，这些密钥 Amazon KMS keys 位于不同的 Amazon Web Services 区域 位置，可以互换使用，就好像您在多个区域中使用相同的密钥一样。每组相关的多区域密钥都具有相同的密钥材料和密钥 ID，因此您可以将数据合二为一， Amazon Web Services 区域 然后使用不同的密钥进行解密， Amazon Web Services 区域 而无需重新加密或进行跨区域调用。 Amazon KMS

与所有 KMS 密钥一样，多区域密钥永远不会处于 Amazon KMS 未加密状态。您可以创建用于加密或签名的对称或非对称多区域密钥，创建用于生成和验证 HMAC 标签的 HMAC 多区域密钥，并创建带导入密钥材料的多区域密钥或 Amazon KMS 生成的密钥材料。您必须独立管理每个多区域密钥，包括创建别名和标签、设置其密钥策略和授权以及有选择性地启用和禁用它们。您可以在可使用单区域密钥进行的所有加密操作中使用多区域密钥。

多区域密钥是一个灵活而强大的解决方案，适用于许多常见的数据安全场景。

您可以将多区域密钥与客户端加密库结合使用，例如 Amazon Encryption SDK、Amazon 数据库加密 SDK 和 Amazon S3 客户端加密。

Amazon 与之集成的 Amazon KMS用于静态加密或数字签名的服务目前将多区域密钥视为单区域密钥。他们可能会重新包装或重新加密在区域之间移动的数据。例如，甚至是在复制受多区域密钥保护的对象时，Amazon S3 跨区域复制也会在目标区域的 KMS 密钥下解密和重新加密数据。

多区域键不是全局键。创建一个多区域主键，然后将其复制到您在 Amazon 分区中选择的区域。然后单独管理每个区域中的多区域键。 Amazon 也 Amazon KMS 不会自动代表您创建多区域密钥或将多区域密钥复制到任何区域。 Amazon 托管式密钥，即 Amazon 服务在您的账户中为您创建的 KMS 密钥，始终是单区域密钥。

在中国区域中，您可以使用多区域密钥功能在中国区域分aws-cn区（）内复制 KMS 密钥。例如，您可以将密钥从中国（北京）区域复制到中国（宁夏）区域，反之亦然。将密钥从一个中国地区复制到另一个中国地区，即表示您同意使用目标地区的密钥并遵守目标地区的所有适用协议条款。 Amazon Key Management Service 您不能将密钥从北京和宁夏区域复制到中国 Amazon 区域分区之外的区域。同样，您不能将密钥从中国区域分区以外的区域复制到北京和宁夏区域。

您不能将现有的单区域密钥转换为多区域密钥。此设计可确保使用现有单区域密钥保护的所有数据都保持相同的数据驻留和数据主权属性。

对于大多数数据安全需求，区域资源的区域隔离和容错能力使标准的 Amazon KMS 单区域密钥成为最合适的解决方案。但是，当您需要跨多个区域加密或对客户端应用程序中的数据进行签名时，多区域密钥可能是解决方案。

区域

所有 Amazon Web Services 区域 支持的密钥都支持多区域密钥。 Amazon KMS

定价和配额

一组相关的多区域密钥中的每个密钥都被视为一个 KMS 密钥，用于定价和配额。Amazon KMS 配额是针对账户的每个区域单独计算的。每个区域中的多区域密钥的使用和管理将计入该区域的配额。

支持的 KMS 密钥类型

您可以创建以下类型的多区域 KMS 密钥：

您不能在自定义密钥存储中创建多区域密钥。

了解更多

术语和概念

以下术语和概念用于多区域密钥。

多区域密钥

多区域密钥是不同 Amazon Web Services 区域中具有相同的密钥 ID 和密钥材料（以及其他共享属性）的一组 KMS 密钥之一。每个多区域密钥都是一个功能齐全的 KMS 密钥，可以完全独立于其相关的多区域密钥使用。由于所有相关的多区域密钥都具有相同的密钥 ID 和密钥材料，因此它们具有互操作性，也就是说，任何密钥中的任何相关多区域密钥 Amazon Web Services 区域 都可以解密由任何其他相关多区域密钥加密的密文。

您可以在创建 KMS 密钥时设置其多区域属性。您不能更改现有密钥的多区域属性。您不能将单区域密钥转换为多区域密钥，或将多区域密钥转换为单区域密钥。要将现有工作负载移动到多区域方案中，您必须重新加密数据或使用新的多区域密钥创建新的签名。

多区域密钥可以是对称的，也可以是非对称的，它可以使用 Amazon KMS 密钥材料或导入的密钥材料。您不能在自定义密钥存储中创建多区域密钥。

在一组相关的多区域密钥中，任何时候都只有一个主键。您可以在其他 Amazon Web Services 区域中创建该主键的副本密钥。您还可以更新主区域，从而将主键更改为副本密钥，并将指定的副本密钥更改为主键。但是，每个主键或副本密钥中只能保留一个主键或副本密钥 Amazon Web Services 区域。所有区域都必须位于同一个 Amazon 分区。

您可以在相同或不同的 Amazon Web Services 区域中拥有多组相关多区域密钥。尽管相关的多区域密钥是可互操作的，但不相关的多区域密钥不可互操作。

主键

多区域主密钥是一个 KMS 密钥，可以复制到同一分区 Amazon Web Services 区域 中的其他密钥。每组多区域密钥只有一个主键。

主键与副本密钥的区别在以下几方面：

不过，主密钥和副本密钥在任何加密属性中都没有区别。您可以互换使用主键及其副本密钥。

您不需要复制主键。您可以像使用任何 KMS 密钥一样使用它，并在有用时复制它。但是，由于多区域密钥与单区域密钥具有不同的安全属性，因此我们建议您仅在计划复制多区域密钥时才创建多区域密钥。

副本密钥

多区域副本密钥是一个 KMS 密钥，它具有与其主密钥和相关副本密钥相同的密钥 ID 和密钥材料，但位于不同的 Amazon Web Services 区域中。

副本密钥是功能齐全的 KMS 密钥，具有其自己的密钥策略、授权、别名、标签和其他属性。它不是主键或任何其他密钥的副本或指针。即使某个副本密钥的主键及所有相关的副本密钥都被禁用，您也可以使用该副本密钥。您还可以将副本密钥转换为主键，将主键转换为副本密钥。副本密钥被创建后，仅依赖于其主键进行密钥轮换和更新主区域。

主密钥和副本密钥在任何加密属性中都没有区别。您可以互换使用主键及其副本密钥。通过主密钥或副本密钥加密的数据可以通过相同的密钥或任何相关的主密钥或副本密钥进行解密。

复制

您可以将多区域主键复制到同一分区 Amazon Web Services 区域 中的其他主键中。完成后，在指定区域 Amazon KMS 创建多区域副本密钥，其密钥 ID 和其他共享属性与其主键相同。然后，它将密钥材料安全地跨区域边界传输，并将其与新的副本密钥相关联，一切都在 Amazon KMS中进行。

共享属性

共享属性是与其副本密钥共享的多区域主键的属性。 Amazon KMS 使用与主键相同的共享属性值创建副本密钥。然后，它会定期将主键的共享属性值与其副本密钥同步。您不能在副本密钥上设置这些属性。

以下是多区域密钥的共享属性。

您还可以将相关多区域密钥的主名称和副本名称视为共享属性。当您创建新的副本密钥或更新主密钥时，会将更改 Amazon KMS 同步到所有相关的多区域密钥。完成这些更改后，所有相关的多区域密钥都会准确列出其主键和副本密钥。

多区域密钥的所有其他属性都是独立属性，包括说明、密钥策略、授权、启用和禁用的密钥状态、别名和标签。您可以在所有相关的多区域密钥上为这些属性设置相同的值，但如果更改独立属性的值， Amazon KMS 不会同步它。

您可以跟踪多区域密钥的共享属性的同步情况。在您的 Amazon CloudTrail 日志中，查找该SynchronizeMultiRegionKey事件。