Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Primärschlüssel für mehrere Regionen erstellen
Sie können einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe von erstellen. AWS KMS API Sie können den Primärschlüssel überall dort erstellen, AWS-Region wo Schlüssel für mehrere Regionen AWS KMS unterstützt werden.
Um einen Primärschlüssel mit mehreren Regionen zu erstellen, benötigt der Prinzipal dieselben Berechtigungen wie für die Erstellung eines beliebigen KMS Schlüssels, einschließlich der CreateKeykms-Berechtigung in einer IAM Richtlinie. Der Principal benötigt außerdem die iam: CreateServiceLinkedRole -Berechtigung. Sie können den MultiRegionKeyType Bedingungsschlüssel kms: verwenden, um die Erlaubnis zum Erstellen von Primärschlüsseln für mehrere Regionen zuzulassen oder zu verweigern.
Um in der AWS KMS Konsole einen Primärschlüssel mit mehreren Regionen zu erstellen, verwenden Sie dasselbe Verfahren, das Sie auch für die Erstellung eines beliebigen KMS Schlüssels verwenden würden. Wählen Sie einen multiregionalen Schlüssel unter Erweiterte Optionen aus. Vollständige Anweisungen finden Sie unter Einen KMS Schlüssel erstellen.
Wichtig
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Klicken Sie auf Create key.
-
Wählen Sie einen symmetrischen oder asymmetrischen Schlüsseltyp. Symmetrische Schlüssel sind die Standardeinstellung.
Sie können symmetrische und asymmetrische Schlüssel mit mehreren Regionen erstellen, einschließlich symmetrischer Schlüssel mit mehreren HMAC KMS Regionen.
-
Wählen Sie Ihre Schlüsselverwendung aus. Encrypt and decrypt (Verschlüsseln und Entschlüsseln) ist die Standardeinstellung.
Weitere Informationen finden Sie unter Einen KMS Schlüssel erstellen, Erstellen Sie einen asymmetrischen Schlüssel KMS oder Einen HMAC KMS Schlüssel erstellen.
-
Erweitern Sie Advanced options (Erweiterte Optionen).
-
Wählen Sie unter Herkunft des Schlüsselmaterials die Option aus, dass das Schlüsselmaterial AWS KMS generiert wird, das Ihre Primär- und Replikatschlüssel gemeinsam verwenden sollen. KMS Wenn Sie Schlüsselmaterial in die Primär- oder die Replikatschlüssel importieren, wählen Sie External (Extern) aus.
-
Wählen Sie unter Regionalität die Option Multi-Region-Schlüssel aus.
Sie können diese Einstellung nicht ändern, nachdem Sie den KMS Schlüssel erstellt haben.
-
Geben Sie einen Alias für den Primärschlüssel ein.
Aliasse sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten denselben Alias oder verschiedene Aliase zuweisen. AWS KMS synchronisiert die Aliase von Schlüsseln mit mehreren Regionen nicht.
Anmerkung
Durch Hinzufügen, Löschen oder Aktualisieren eines Alias kann der Zugriff auf den KMS Schlüssel gewährt oder verweigert werden. Details dazu finden Sie unter ABACfür AWS KMS und Verwenden Sie Aliase, um den Zugriff auf Schlüssel zu KMS steuern.
-
(Optional) Geben Sie eine Beschreibung für den Primärschlüssel ein.
Beschreibungen sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten dieselbe oder unterschiedliche Beschreibungen geben. AWS KMS synchronisiert die Schlüsselbeschreibungen von Schlüsseln mit mehreren Regionen nicht.
-
(Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wenn Sie dem Primärschlüssel mehrere Tags zuweisen möchten, wählen Sie Add tag (Tag hinzufügen) aus.
Tags sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten dieselben Tags oder verschiedene Tags zuweisen. AWS KMS synchronisiert die Tags von multiregionalen Schlüsseln nicht. Sie können die Tags auf KMS Schlüsseln jederzeit ändern.
Anmerkung
Durch das Markieren oder Entkennzeichnen eines KMS Schlüssels kann der Zugriff auf den Schlüssel ermöglicht oder verweigert werden. KMS Details dazu finden Sie unter ABACfür AWS KMS und Verwenden Sie Tags, um den Zugriff auf KMS Schlüssel zu steuern.
-
Wählen Sie die IAM Benutzer und Rollen aus, die den Primärschlüssel verwalten können.
Anmerkung
IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwalten.
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
Dieser Schritt startet den Prozess zum Erstellen einer Schlüsselrichtlinie für den Primärschlüssel. Schlüsselrichtlinien sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten dieselbe Schlüsselrichtlinie oder unterschiedliche Schlüsselrichtlinien zuweisen. AWS KMS synchronisiert nicht die wichtigsten Richtlinien von Schlüsseln für mehrere Regionen. Sie können die Schlüsselrichtlinie eines KMS Schlüssels jederzeit ändern.
-
Führen Sie die Schritte zum Erstellen der Schlüsselrichtlinie durch, einschließlich der Auswahl von Schlüsselbenutzern. Nachdem Sie die Schlüsselrichtlinie überprüft haben, wählen Sie Fertig stellen, um den KMS Schlüssel zu erstellen.
Verwenden Sie den CreateKeyVorgang, um einen Primärschlüssel für mehrere Regionen zu erstellen. Sie müssen außerdem den MultiRegion-Parameter mit dem Wert True verwenden.
Der folgende Befehl erstellt beispielsweise einen Primärschlüssel für mehrere Regionen im Aufrufer AWS-Region (us-east-1). Er akzeptiert Standardwerte für alle anderen Eigenschaften, einschließlich der Schlüsselrichtlinie. Die Standardwerte für Primärschlüssel mit mehreren Regionen entsprechen den Standardwerten für alle anderen KMS Schlüssel, einschließlich der Standardschlüsselrichtlinie. Dieses Verfahren erstellt einen symmetrischen Verschlüsselungsschlüssel, den KMS Standardschlüssel.
Die Antwort enthält das MultiRegion-Element und das MultiRegionConfiguration-Element mit typischen Unterelementen und Werten für einen multiregionalen Primärschlüssel ohne Replikatschlüssel. Die Schlüssel-ID eines multiregionalen Schlüssels beginnt immer mit mrk-.
Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.
aws kms create-key --multi-region${ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }
