Primärschlüssel für mehrere Regionen erstellen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Primärschlüssel für mehrere Regionen erstellen

Sie können einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe von erstellen. AWS KMS API Sie können den Primärschlüssel überall dort erstellen, AWS-Region wo Schlüssel für mehrere Regionen AWS KMS unterstützt werden.

Um einen Primärschlüssel mit mehreren Regionen zu erstellen, benötigt der Prinzipal dieselben Berechtigungen wie für die Erstellung eines beliebigen KMS Schlüssels, einschließlich der CreateKeykms-Berechtigung in einer IAM Richtlinie. Der Principal benötigt außerdem die iam: CreateServiceLinkedRole -Berechtigung. Sie können den MultiRegionKeyType Bedingungsschlüssel kms: verwenden, um die Erlaubnis zum Erstellen von Primärschlüsseln für mehrere Regionen zuzulassen oder zu verweigern.

Anmerkung

Berücksichtigen Sie bei der Erstellung Ihres Primärschlüssels für mehrere Regionen sorgfältig die IAM Benutzer und Rollen, die Sie für die Verwaltung und Verwendung des Schlüssels auswählen. IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwalten.

IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Um in der AWS KMS Konsole einen Primärschlüssel mit mehreren Regionen zu erstellen, verwenden Sie dasselbe Verfahren, das Sie auch für die Erstellung eines beliebigen KMS Schlüssels verwenden würden. Wählen Sie einen multiregionalen Schlüssel unter Erweiterte Optionen aus. Vollständige Anweisungen finden Sie unter Erstellen eines KMS-Schlüssels.

Wichtig

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie einen symmetrischen oder asymmetrischen Schlüsseltyp. Symmetrische Schlüssel sind die Standardeinstellung.

    Sie können symmetrische und asymmetrische Schlüssel mit mehreren Regionen erstellen, einschließlich symmetrischer Schlüssel mit mehreren HMAC KMS Regionen.

  6. Wählen Sie Ihre Schlüsselverwendung aus. Encrypt and decrypt (Verschlüsseln und Entschlüsseln) ist die Standardeinstellung.

    Weitere Informationen finden Sie unter Erstellen eines KMS-Schlüssels, Erstellen Sie einen asymmetrischen Schlüssel KMS oder Einen HMAC KMS Schlüssel erstellen.

  7. Erweitern Sie Advanced options (Erweiterte Optionen).

  8. Wählen Sie unter Herkunft des Schlüsselmaterials aus, dass das Schlüsselmaterial AWS KMS generiert werden soll, das Ihre Primär- und Replikatschlüssel gemeinsam verwenden sollen. KMS Wenn Sie Schlüsselmaterial in die Primär- oder die Replikatschlüssel importieren, wählen Sie External (Extern) aus.

  9. Wählen Sie unter Regionalität die Option Multi-Region-Schlüssel aus.

    Sie können diese Einstellung nicht ändern, nachdem Sie den KMS Schlüssel erstellt haben.

  10. Geben Sie einen Alias für den Primärschlüssel ein.

    Aliasse sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten denselben Alias oder verschiedene Aliase zuweisen. AWS KMS synchronisiert die Aliase von Schlüsseln mit mehreren Regionen nicht.

    Anmerkung

    Durch Hinzufügen, Löschen oder Aktualisieren eines Alias kann der Zugriff auf den KMS Schlüssel gewährt oder verweigert werden. Details dazu finden Sie unter ABACfür AWS KMS und Verwenden Sie Aliase, um den Zugriff auf Schlüssel zu KMS steuern.

  11. (Optional) Geben Sie eine Beschreibung für den Primärschlüssel ein.

    Beschreibungen sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten dieselbe oder unterschiedliche Beschreibungen geben. AWS KMS synchronisiert die Schlüsselbeschreibungen von Schlüsseln mit mehreren Regionen nicht.

  12. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wenn Sie dem Primärschlüssel mehrere Tags zuweisen möchten, wählen Sie Add tag (Tag hinzufügen) aus.

    Tags sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten dieselben Tags oder verschiedene Tags zuweisen. AWS KMS synchronisiert die Tags von multiregionalen Schlüsseln nicht. Sie können die Tags auf KMS Schlüsseln jederzeit ändern.

    Anmerkung

    Durch das Markieren oder Entkennzeichnen eines KMS Schlüssels kann der Zugriff auf den Schlüssel ermöglicht oder verweigert werden. KMS Details dazu finden Sie unter ABACfür AWS KMS und Verwenden Sie Tags, um den Zugriff auf KMS Schlüssel zu steuern.

  13. Wählen Sie die IAM Benutzer und Rollen aus, die den Primärschlüssel verwalten können.

    Hinweise
    • Dieser Schritt startet den Prozess zum Erstellen einer Schlüsselrichtlinie für den Primärschlüssel. Schlüsselrichtlinien sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten dieselbe Schlüsselrichtlinie oder unterschiedliche Schlüsselrichtlinien zuweisen. AWS KMS synchronisiert nicht die wichtigsten Richtlinien von Schlüsseln für mehrere Regionen. Sie können die Schlüsselrichtlinie eines KMS Schlüssels jederzeit ändern.

    • Wenn Sie einen Primärschlüssel für mehrere Regionen erstellen, sollten Sie die von der Konsole generierte Standardschlüsselrichtlinie verwenden. Wenn Sie diese Richtlinie ändern, bietet die Konsole keine Schritte zur Auswahl wichtiger Administratoren und Benutzer bei der Erstellung von Replikatschlüsseln und fügt auch keine entsprechenden Richtlinienerklärungen hinzu. Daher müssen Sie diese manuell hinzufügen.

    • Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Statement-ID wichtige Administratoren hinzu"Allow access for Key Administrators". Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

  14. (Optional) Um zu verhindern, dass die ausgewählten IAM Benutzer und Rollen diesen KMS Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Löschen von Schlüsseln das Kontrollkästchen Schlüsseladministratoren erlauben, diesen Schlüssel zu löschen.

  15. Wählen Sie Weiter.

  16. Wählen Sie die IAM Benutzer und Rollen aus, die den KMS Schlüssel für kryptografische Operationen verwenden können.

    Hinweise

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen "Allow use of the key" und Schlüsselbenutzer hinzu. "Allow attachment of persistent resources" Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

  17. (Optional) Sie können anderen erlauben, diesen KMS Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt Other AWS-Konten(Andere Konten) unten auf der Seite die Option Add another AWS-Konto(Weiteres Konto hinzufügen) und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Damit die Prinzipale in den externen Konten den KMS Schlüssel verwenden können, müssen Administratoren des externen Kontos IAM Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen.

  18. Wählen Sie Weiter.

  19. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie Bearbeiten aus.

  20. Wählen Sie Weiter.

  21. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  22. Wählen Sie Fertig stellen, um den Primärschlüssel für mehrere Regionen zu erstellen.

Verwenden Sie den CreateKeyVorgang, um einen Primärschlüssel für mehrere Regionen zu erstellen. Sie müssen außerdem den MultiRegion-Parameter mit dem Wert True verwenden.

Der folgende Befehl erstellt beispielsweise einen Primärschlüssel für mehrere Regionen im Aufrufer AWS-Region (us-east-1). Er akzeptiert Standardwerte für alle anderen Eigenschaften, einschließlich der Schlüsselrichtlinie. Die Standardwerte für Primärschlüssel mit mehreren Regionen entsprechen den Standardwerten für alle anderen KMS Schlüssel, einschließlich der Standardschlüsselrichtlinie. Dieses Verfahren erstellt einen symmetrischen Verschlüsselungsschlüssel, den KMS Standardschlüssel.

Die Antwort enthält das MultiRegion-Element und das MultiRegionConfiguration-Element mit typischen Unterelementen und Werten für einen multiregionalen Primärschlüssel ohne Replikatschlüssel. Die Schlüssel-ID eines multiregionalen Schlüssels beginnt immer mit mrk-.

Wichtig

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

$ aws kms create-key --multi-region { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }