使用多区域键 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用多区域键

Amazon KMS支持多区域密钥材料,这些密钥 (CMK) 位于不同 Amazon Web Services 区域 ,可以互换使用,就好像您在多个区域中拥有相同的密钥一样。每组相关的多区域键具有相同的密钥材料密钥 ID,因此您可以在一个 Amazon Web Services 区域 并将其解密在不同的 Amazon Web Services 区域 而无需重新加密或跨区域调用Amazon KMS.

像所有 CMK 一样,多区域键永远不会离开Amazon KMS未加密。您可以创建用于加密或签名的对称或非对称多区域密钥,并创建带导入的密钥材料的多区域密钥或密钥材料Amazon KMS生成。您必须管理每个多区域密钥,包括创建别名和标签、设置其关键策略和授权以及有选择地启用和禁用它们。您可以在可以使用单区域密钥的所有加密操作中使用多区域密钥。

多区域密钥是适用于许多常见数据安全方案的灵活且功能强大的解决方案。

灾难恢复

在备份和恢复体系结构中,多区域密钥允许您处理加密数据,即使在 Amazon Web Services 区域 中断。备份区域中维护的数据可以在备份区域中解密,备份区域中新加密的数据可以在恢复该区域后在主区域中解密。

全球数据管理

全球运营的企业需要在全球范围内一致可用的数据 Amazon Web Services 区域 . 您可以在数据所在的所有区域中创建多区域密钥,然后将密钥用作单区域密钥,而不会出现跨区域调用的延迟或在每个区域中使用不同密钥重新加密数据的成本。

分布式签名应用

需要跨区域签名功能的应用程序可以使用多区域非对称签名密钥在不同的 Amazon Web Services 区域 .

如果将证书链与单个全局信任存储(对于单个根证书颁发机构 (CA) 和根 CA 签名的区域中间 CA,则不需要多区域密钥。但是,如果您的系统不支持中间 CA(如应用程序签名),则可以使用多区域密钥来实现区域认证的一致性。

跨多个区域的主动-主动应用程序

某些工作负载和应用程序可以跨越主动-主动体系结构中的多个区域。对于这些应用程序,多区域密钥可以通过为可能跨区域边界移动的数据的并发加密和解密操作提供相同的密钥材料来降低复杂性。

您可以将多区域密钥与客户端加密库(如Amazon Encryption SDKDynamoDB 加密客户端, 和Amazon S3 客户端加密. 有关将多区域密钥与 Amazon DynamoDB 全局表和 DynamoDB 加密客户端一起使用的示例,请参阅加密全局数据客户端Amazon KMS多区域密钥材料中的Amazon安全博客。

Amazon服务,与Amazon KMS用于静态加密或数字签名目前将多区域密钥视为单区域密钥。他们不会避免重新包装或重新加密区域之间移动的数据。例如,即使复制受多区域密钥保护的对象,Amazon S3 跨区域复制也会在目标区域的 CMK 下解密和重新加密数据。

多区域键不是全局键。创建多区域主键,然后将其复制到您在Amazon分区. 然后,您可以独立管理每个区域中的多区域密钥。既不是AmazonnorAmazon KMS代表您自动创建或复制多区域密钥到任何区域。Amazon托管 CMK,这些 CMKAmazon服务在您的帐户中为您创建,始终是单区域密钥。

不能将现有的单区域键转换为多区域键。此设计可确保使用现有单区域密钥保护的所有数据都保持相同的数据驻留和数据主权属性。

对于大多数数据安全需求,区域资源的区域隔离和容错能力使标准Amazon KMS单区域 CMK 是最适合的解决方案。但是,当您需要跨多个区域加密或签名客户端应用程序中的数据时,多区域密钥可能是解决方案。

区域

多区域键在所有 Amazon Web Services 区域 thatAmazon KMS支持除中国(北京)和中国(宁夏)。

定价和配额

一组相关的多区域密钥中的每个 CMK 都计为一个 CMK,用于定价和配额。Amazon KMS配额都是针对账户的每个区域单独计算的。使用和管理每个区域中的多区域密钥将计入该区域的配额。

多区域密钥的安全注意事项

使用Amazon KMS只有在需要时才能使用多区域密钥。多区域密钥提供灵活且可扩展的解决方案,适用于在 Amazon Web Services 区域 或需要跨区域访问。如果您必须跨区域共享、移动或备份受保护的数据,或者需要为在不同区域运行的应用程序创建相同的数字签名,请考虑使用多区域密钥。

但是,创建多区域密钥的过程将您的关键材料移动到 Amazon Web Services 区域 边界内Amazon KMS. 由多区域密钥生成的密文可能会由多个地理位置的多个相关密钥进行解密。区域隔离的服务和资源也有很大的好处。EPLION Amazon Web Services 区域 是隔离的,独立于其他区域。区域提供容错能力、稳定性和弹性,还可以减少延迟。它们允许您创建保持可用且不受其他区域中断影响的冗余资源。InAmazon KMS,它们还确保每个密文只能通过一个密钥进行解密。

多区域密钥还会引发新的安全注意事项:

  • 使用多区域密钥,控制访问和实施数据安全策略变得更加复杂。您需要确保在多个隔离区域的密钥上对策略进行一致的审核。您需要使用策略来强制实施边界,而不是依赖单独的密钥。

    例如,您需要对数据设置策略条件,以防止一个地区的工资单团队能够读取不同地区的工资单数据。此外,您必须使用访问控制来防止一个区域中的多区域密钥保护一个租户的数据,而另一个区域中的相关多区域密钥保护另一个租户的数据的情况。

  • 跨区域审核密钥也更为复杂。使用多区域密钥,您需要检查和协调多个区域的审核活动,以便全面了解受保护数据的关键活动。

  • 遵守数据驻留要求可能会变得更加复杂。使用隔离的区域,您可以确保数据驻留和数据主权合规性。给定区域中的 CMK 只能解密该区域中的敏感数据。在一个区域中加密的数据可以保持完全保护,并且在任何其他地区都无法访问。

    要使用多区域密钥验证数据驻留和数据主权,您需要实施访问策略并编译Amazon CloudTrail跨多个区域的事件。

为了使您能够更轻松地管理多区域密钥的访问控制,复制多区域密钥的权限 (KMS: 复制密钥)独立于创建密钥的标准权限(KMS: 创建键)。另外,Amazon KMS支持多个多区域密钥的策略条件,包括kms:MultiRegion,允许或拒绝创建、使用或管理多区域密钥和kms:ReplicaRegion,它限制了可以将多区域密钥复制到的区域。有关详细信息,请参阅 控制对多区域密钥的访问

多区域密钥的工作原理

首先要创建一个对称或非对称多区域主键在 Amazon Web Services 区域 thatAmazon KMS支持,如美国东部(弗吉尼亚北部)。只有在创建密钥时,才能决定键是单区域还是多区域;以后不能更改此属性。与任何 CMK 一样,您可以为 CMK 设置密钥策略,并且可以创建授权,并添加别名和标签以进行分类和授权。(这些是独立属性,不与其他密钥共享或同步。) 您可以在加密操作中使用多区域主键进行加密或签名。

您可以创建多区域主键中的Amazon KMS控制台或使用CreateKey带有MultiRegion参数设置为true. 请注意,多区域键具有以mrk-. 您可以使用mrk-前缀以编程方式识别 MRK。

如果您愿意,您可以复制多区域主键转换为一个或多个不同 Amazon Web Services 区域 在相同的Amazon分区,例如欧洲(爱尔兰)。当你这样做的时候Amazon KMS创建一个副本密钥材料具有相同密钥 ID 和其他共享属性作为主键。然后,它将关键材料安全地跨区域边界传输,并将其与目标区域中的新 CMK 相关联,所有这些都位于Amazon KMS. 结果是两个相关的多区域键(主键和副本键)可以互换使用。

您可以创建多区域复制副本密钥中的Amazon KMS控制台或使用复制密钥API。

由此产生的多区域复制副本密钥是一个功能齐全的 CMK,具有相同的共享属性作为主键。在所有其他方面,它是一个独立的 CMK,具有自己的描述、密钥策略、授权、别名和标签。启用或禁用多区域键对相关的多区域键没有影响。您可以在加密操作中独立使用主键和副本键,也可以协调它们的使用。例如,您可以使用美国东部(弗吉尼亚北部)地区的主键对数据进行加密,将数据移动到欧洲(爱尔兰)区域,然后使用副本密钥解密数据。

相关的多区域密钥具有相同的密钥 ID。它们的关键 ARN(亚马逊资源名称)仅在 “区域” 字段中有所不同。例如,多区域主键和副本键可能具有以下示例键 ARN。密钥 ID(密钥 ARN 中的最后一个元素)是相同的。两个密钥都具有多区域密钥的唯一密钥 ID,开头为MRK-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

要实现互操作性,需要具有相同的密钥 ID。加密时,Amazon KMS将 CMK 的密钥 ID 绑定到密文,因此只能使用该 CMK 或具有相同密钥 ID 的 CMK 解密密文。此功能还使相关的多区域键易于识别,并且可以更轻松地互换使用它们。例如,在应用程序中使用它们时,您可以通过它们的共享密钥 ID 来引用相关的多区域密钥。然后,如有必要,指定区域或 ARN 以区分它们。

随着数据需求的变化,您可以将主键复制到其他 Amazon Web Services 区域 在同一个分区,如美国西部(俄勒冈)和亚太地区(悉尼)。结果是四个相关的具有相同密钥材料和密钥 ID 的多区域 CMK,如下图所示。您可以独立管理密钥。您可以独立使用它们,也可以以协调的方式使用它们。例如,您可以使用亚太地区(悉尼)的副本密钥对数据进行加密,将数据移动到美国西部(俄勒冈),然后使用美国西部(俄勒冈)的副本密钥对其进行解密。


                多区域 CMK 中的主键和副本键

多区域键的其他注意事项包括以下内容。

同步共享属性— 如果共享属性的多区域键变化,Amazon KMS会自动同步主键到其所有副本密钥材料. 您不能请求或强制执行共享属性的同步。Amazon KMS会为您检测并同步所有更改。但是,您可以通过使用同步模拟区域键CloudTrail。

例如,如果启用对称多区域主键的自动密钥轮替,Amazon KMS将该设置复制到其所有复制副本密钥中。旋转关键帧材质时,轮换将在所有相关的多区域键之间同步,因此它们继续具有相同的当前关键帧材质,并可访问所有旧版本的密钥材质。如果创建新的副本密钥,则该密钥具有与所有相关多区域键相同的当前密钥材料,并可访问密钥材料的所有以前版本。有关详细信息,请参阅 旋转多区域关键帧

更改主键— 每组多区域键必须只有一个主键。这些区域有:主键是唯一可以复制的密钥。它也是其副本密钥的共享属性的来源。但是,您可以将主键更改为副本,并将其中一个副本键提升为主键。您可以执行此操作,以便从特定地区删除多区域主键,或将主键定位在离项目管理员更近的 “区域” 中。有关详细信息,请参阅 更新主要区域

删除多区域键— 与所有 CMK 一样,您必须在Amazon KMS将删除它们。在密钥处于待删除状态时,您无法用它来执行任何加密操作。然而,Amazon KMS将不会删除多区域主键,直到该主键的所有副本键都被删除。有关详细信息,请参阅 删除多区域键

Concepts

以下术语和概念用于多区域键。

多区域密钥材料

A多区域密钥材料是一组具有相同密钥 ID 和密钥材料(以及其他共享属性)在不同的 Amazon Web Services 区域 . 每个多区域键都是一个功能齐全的 CMK,可以完全独立于其相关的多区域键使用。由于所有相关的多区域密钥具有相同的密钥 ID 和密钥材质,它们是可互操作性,即任何相关的多区域键 Amazon Web Services 区域 可以解密由任何其他相关的多区域密钥加密的密文。

您可以在创建 CMK 时设置多区域属性。您不能更改现有密钥上的此属性。因此,要将现有工作负载移动到多区域方案中,您必须重新加密数据或使用新的多区域密钥创建新的签名。

多区域密钥可以是对称或非对称它可以使用Amazon KMS密钥材料或导入的密钥材料. 您不能在自定义密钥存储.

在一组相关的多区域键中,只有一个主键在任何时间。您可以创建副本密钥材料该主键的其他 Amazon Web Services 区域 . 您还可以更新主要区域,它将主键更改为副本键,并将指定的副本键更改为主键。但是,您只能在每个 Amazon Web Services 区域 . 所有区域都必须位于同一Amazon分区.

您可以在相同或不同的 Amazon Web Services 区域 . 尽管相关的多区域密钥是可互操作的,但不相关的多区域密钥不可互操作。

主键

多区域主键是一个客户主密钥 (CMK),可以复制到其他 Amazon Web Services 区域 在同一个分区中。每组多区域键只有一个主键。

主键在以下几方面与复制密钥不同:

您不需要复制主键。您可以像使用任何 CMK 一样使用它,并在有用时复制它。但是,由于多区域密钥与单区域 CMK 具有不同的安全属性,我们建议您仅在计划复制多区域密钥时才创建多区域密钥。

副本密钥材料

多区域副本密钥材料是一个客户主密钥 (CMK),它具有相同的密钥 ID密钥材料作为主键和相关副本密钥,但存在于不同的 Amazon Web Services 区域 . 您可以使用副本密钥对可能由不同的多区域密钥解密的明文进行加密 Amazon Web Services 区域 . 您可以使用它来解密由相关的多区域密钥(主键或副本)在不同的 Amazon Web Services 区域 .

副本密钥是一个功能齐全的 CMK,它拥有自己的密钥策略、授权、别名、标签和其他属性。它不是主键或任何其他键的副本或指针。即使复制副本密钥和所有相关副本密钥都被禁用,也可以使用副本密钥。您还可以将副本键转换为主键,将主键转换为副本键。创建副本密钥后,副本键仅依赖于密钥轮换更新主区域.

Replicate

您可以复制a 多区域主键转换为不同的 Amazon Web Services 区域 在同一个分区中。当你这样做的时候Amazon KMS创建多区域副本密钥材料在指定区域中具有相同的密钥 ID和其他共享属性作为其主键。然后,它将密钥材料安全地跨区域边界传输,并将其与新的副本密钥相关联,所有这些都位于Amazon KMS.

共享属性属性

共享属性属性是与其副本键共享的多区域主键的属性。Amazon KMS将创建具有与主键相同的共享属性值的副本密钥。然后,它会定期将主键的共享属性值与其副本密钥同步。您不能在复制副本键上设置这些属性。

以下是多区域键的共享属性。

您还可以将相关多区域键的主要指定和副本指定视为共享属性。当您 时创建新的复制副本密钥或者更新主键、Amazon KMS将更改同步到所有相关的多区域键。完成这些更改后,所有相关的多区域键准确列出其主键和副本键。

多区域键的所有其他属性都是独立属性, 包括说明,密钥策略赠款启用和禁用键状态别名, 和标签. 您可以在所有相关的多区域键上为这些属性设置相同的值,但是如果更改独立属性的值,Amazon KMS不会同步它。

您可以跟踪多区域键的共享属性的同步情况。在您的Amazon CloudTrail日志中,查找同步模拟区域键event.