查看多区域密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

查看多区域密钥

您可以在 Amazon KMS 控制台中和通过使用 Amazon KMS API 操作来查看单区域和多区域密钥。

在控制台中查看多区域区域

在 Amazon KMS 控制台中,您可以查看所选区域中的 KMS 密钥。但是,如果您有多区域密钥,则可以查看其在其他 Amazon Web Services 区域 中的相关多区域密钥。

Amazon KMS 控制台中的客户托管式密钥表仅显示所选区域中的 KMS 密钥。您可以查看所选区域中的多区域主密钥和副本密钥。要更改 Amazon Region,请使用页面右上角的 Region selector (区域选择器)。

Amazon 托管式密钥 表没有区域性功能,因为 Amazon 托管式密钥 始终是单区域密钥。

  • 为了便于标识多区域密钥,请将 Regionality(区域性)列添加到您的密钥表中。有关帮助信息,请参阅 自定义您的 KMS 密钥表

  • 要在密钥表中仅显示单区域密钥或仅显示多区域密钥,请按每个密钥的 Regionality(区域性)属性筛选您的密钥。有关帮助信息,请参阅 对您的 KMS 密钥进行排序和筛选

  • 您还可以对您的客户托管密钥表进行排序,并筛选其中是否有独特的 mrk- 密钥 ID 前缀。

  • 有关多区域主密钥或副本密钥的详细信息,请转至该密钥的详细信息页面,然后选择 Regionality(区域性)选项卡。

    主密钥的 Regionality(区域性)选项卡包括 Change primary Region(更改主区域)和 Create new replica keys(创建新的副本密钥)按钮。(副本密钥的 Regionality(区域性)选项卡没有任何按钮。) Related multi-Region keys(相关的多区域密钥)部分列出了与当前密钥相关的所有多区域密钥。如果当前密钥是副本密钥,则此列表将包括主密钥。

    如果您从相关的多区域密钥表中选择相关的多区域密钥,Amazon KMS 控制台更改为所选密钥的区域,并打开密钥的详细信息页面。例如,如果您从下面的示例 Related multi-Region keys(相关多区域密钥)部分中选择 sa-east-1 区域中的副本密钥,Amazon KMS 控制台将更改为 sa-east-1 区域,以显示该副本密钥的详细信息页面。您可以执行此操作来查看副本密钥的别名或密钥策略。要再次更改区域,请使用页面右上角的 Region selector(区域选择器)。

在 API 中查看多区域秘钥

要在 Amazon KMS API 中查看多区域密钥,请使用 DescribeKey 操作。它将显示指定的密钥及其所有相关的多区域密钥。

与 Amazon KMS 控制台相同的是,Amazon KMS API 操作是区域性的。例如,当您调用 ListKeysListAliases 操作时,它们只返回当前区域或指定区域中的资源。但是,当您对多区域密钥调用 DescribeKey 操作时,响应将包括其他 Amazon Web Services 区域 中的所有相关多区域密钥。

例如,下面的 DescribeKey 请求将获取有关亚太区域(东京) (ap-northeast-1) 区域中示例多区域副本密钥的详细信息。

$ aws kms describe-key \ --key-id arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --region ap-northeast-1

响应中的大部分 KeyMetadata 描述了请求主题所在的的亚太地区(东京)区域中的副本密钥。但是,MultiRegionConfiguration 元素描述了美国西部(俄勒冈)(us-west-2) 区域中的主密钥及其在其他 Amazon Web Services 区域 中的副本密钥,包括亚太地区(东京)区域中的副本。DescribeKey 会为所有相关的多区域密钥返回相同的 MultiRegionConfiguration 值。

{ "KeyMetadata": { "MultiRegion": true, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1586329200.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, { "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-northeast-1" }, { "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "sa-east-1" } ] } } }