本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 多区域密钥的复制过程 Amazon KMS 使用跨区域复制机制将 KMS 密钥中的密钥材料从一个 HSM 复制 Amazon Web Services 区域 到另一个密钥中的 HSM。 Amazon Web Services 区域要使此机制起作用,正在复制的 KMS 密钥必须是具有`AWS_KMS`来源的多区域密钥。对于具有导入密钥材料(`EXTERNAL`来源)的多区域密钥,您负责通过将相同的密钥材料单独导入每个副本来复制密钥材料。 将 KMS 密钥从一个区域复制到另一个区域时,区域 HSMs 中的无法直接通信,因为它们位于隔离的网络中。相反,在跨区域复制期间交换的消息将由代理服务传送。在跨区域复制期间, Amazon KMS HSM 生成的每条消息都使用*复制*签名密钥进行加密签名。复制签名密钥 (RSKs) 是 NIST P-384 曲线上的 ECDSA 密钥。每个区域至少拥有一个 RSK,并且每个 RSK 的公共组件与同一 Amazon 分区中的所有其他区域共享。 将密钥材料从区域 A 复制到区域 B 的跨区域复制过程如下: 1. 区域 B 中的 HSM 在 NIST P-384 曲线上生成一个临时的 ECDH 密钥,即*复制协议密钥 B* (RAKB)。RAKB 的公有组件由代理服务发送到区域 A 中的 HSM。 1. 区域 A 中的 HSM 将接收 RAKB 的公有组件,然后在 NIST P-384 曲线上生成另一个临时的 ECDH 密钥,即*复制协议密钥 A* (RAKA)。HSM 将在 RAKA 和 RAKB 的公有组件上运行 ECDH 密钥建立方案,并从输出中派生一个对称密钥,即*复制包装密钥* (RWK))。RWK 用于对即将复制的多区域 KMS 密钥的密钥材料进行加密。 1. RAKA 的公有组件和使用 RWK 加密的密钥材料将通过代理服务发送到区域 B 中的 HSM。 1. 区域 B 中的 HSM 将接收 RAKA 的公有组件和使用 RWK 加密的密钥材料。通过在 RAKB 和 RAKA 的公有组件上运行 ECDH 密钥建立方案,RWK 将派生 HSM。 1. 区域 B 中的 HSM 将使用 RWK 解密来自区域 A 的密钥材料。