查看多区域密钥 - Amazon Key Management Service
在控制台中查看多区域区域在 API 中查看多区域秘钥
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看多区域密钥

您可以在 Amazon KMS 控制台中和通过使用 Amazon KMS API 操作来查看单区域和多区域密钥。

在控制台中查看多区域区域

在 Amazon KMS 控制台中,您可以查看所选区域中的 KMS 密钥。但是,如果您有多区域密钥,则可以查看其在其他 Amazon Web Services 区域 中的相关多区域密钥。

Amazon KMS 控制台中的客户托管式密钥表仅显示所选区域中的 KMS 密钥。您可以查看所选区域中的多区域主密钥和副本密钥。要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

Amazon 托管式密钥 表没有区域性功能,因为 Amazon 托管式密钥 始终是单区域密钥。

  • 为了便于标识多区域密钥,请将 Regionality(区域性)列添加到您的密钥表中。有关帮助信息,请参阅 自定义您的 KMS 密钥表

  • 要在密钥表中仅显示单区域密钥或仅显示多区域密钥,请按每个密钥的 Regionality(区域性)属性筛选您的密钥。有关帮助信息,请参阅 对您的 KMS 密钥进行排序和筛选

  • 您还可以对您的客户托管密钥表进行排序,并筛选其中是否有独特的 mrk- 密钥 ID 前缀。

  • 有关多区域主密钥或副本密钥的详细信息,请转至该密钥的详细信息页面,然后选择 Regionality(区域性)选项卡。

    主密钥的 Regionality(区域性)选项卡包括 Change primary Region(更改主区域)和 Create new replica keys(创建新的副本密钥)按钮。(副本密钥的 Regionality(区域性)选项卡没有任何按钮。) Related multi-Region keys(相关的多区域密钥)部分列出了与当前密钥相关的所有多区域密钥。如果当前密钥是副本密钥,则此列表将包括主密钥。

    如果您从相关的多区域密钥表中选择相关的多区域密钥,Amazon KMS 控制台更改为所选密钥的区域,并打开密钥的详细信息页面。例如,如果您从下面的示例 Related multi-Region keys(相关多区域密钥)部分中选择 sa-east-1 区域中的副本密钥,Amazon KMS 控制台将更改为 sa-east-1 区域,以显示该副本密钥的详细信息页面。您可以执行此操作来查看副本密钥的别名或密钥策略。要再次更改区域,请使用页面右上角的 Region selector(区域选择器)。

在 API 中查看多区域秘钥

要在 Amazon KMS API 中查看多区域密钥,请使用DescribeKey操作。它将显示指定的密钥及其所有相关的多区域密钥。

与 Amazon KMS 控制台相同的是,Amazon KMS API 操作是区域性的。例如,当您调用ListKeysListAliases操作时,它们仅返回当前或指定区域中的资源。但是,当您对多区域密钥调用 DescribeKey 操作时,响应将包括其他 Amazon Web Services 区域 中的所有相关多区域密钥。

例如,下面的 DescribeKey 请求将获取有关亚太区域(东京) (ap-northeast-1) 区域中示例多区域副本密钥的详细信息。

$ aws kms describe-key \
        --key-id arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
        --region ap-northeast-1

响应中的大部分 KeyMetadata 描述了请求主题所在的的亚太地区(东京)区域中的副本密钥。但是,MultiRegionConfiguration 元素描述了美国西部(俄勒冈)(us-west-2) 区域中的主密钥及其在其他 Amazon Web Services 区域 中的副本密钥,包括亚太地区(东京)区域中的副本。DescribeKey 会为所有相关的多区域密钥返回相同的 MultiRegionConfiguration 值。

{
    "KeyMetadata": {
        "MultiRegion": true,        
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1586329200.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-west-2"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                },
                {
                    "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-northeast-1"
                },
                {
                    "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "sa-east-1"
                }
            ]
        }
    }
}