Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen von multiregionalen Replikatschlüsseln
Sie können einen multiregionalen Replikatschlüssel in der -AWS KMSKonsole, mithilfe der AWS CloudFormation-ReplicateKeyOperation oder mithilfe einer Vorlage erstellen. Sie können die -CreateKeyOperation nicht verwenden, um einen Replikatschlüssel zu erstellen.
Sie können diese Verfahren verwenden, um jeden multiregionalen Primärschlüssel zu replizieren, einschließlich ein KMS-Schlüssel mit symmetrischer Verschlüsselung, ein asymmetrischer KMS-Schlüssel oder einen HMAC-KMS-Schlüssel.
Wenn diese Produktion abgeschlossen ist, verfügt der neue Replikatschlüssel über einen vorübergehenden Schlüsselstatus von Creating. Dieser Schlüsselstatus ändert sich nach einigen Sekunden in Enabled (oder PendingImport), wenn der Prozess der Erstellung des neuen Replikatschlüssels abgeschlossen ist. Während der Schlüsselstatus Creating ist, können Sie den Schlüssel verwalten, Sie können ihn jedoch noch nicht in kryptografischen Operationen verwenden. Wenn Sie den Replikatschlüssel programmgesteuert erstellen und verwenden, versuchen Sie es erneut KMSInvalidStateException oder rufen Sie auf, um seinen KeyState Wert DescribeKey zu überprüfen, bevor Sie ihn verwenden.
Wenn Sie versehentlich einen Replikatschlüssel löschen, können Sie ihn mit diesem Verfahren neu erstellen. Wenn Sie denselben Primärschlüssel in derselben Region replizieren, hat der neu erstellte Replikatschlüssel dieselben gemeinsamen Eigenschaften wie der ursprüngliche Replikatschlüssel.
Wichtig
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.
Weitere Informationen
-
Weitere Informationen zum Erstellen eines multiregionalen Replikatschlüssels mit importiertem Schlüsselmaterial finden Sie unter Erstellen eines Replikatschlüssels mit importiertem Schlüsselmaterial.
-
Informationen zur Verwendung einer AWS CloudFormation Vorlage zum Erstellen eines Replikatschlüssels finden Sie AWS::KMS::ReplicaKey unter im AWS CloudFormation -Benutzerhandbuch.
Themen
Replikatregionen
Normalerweise replizieren Sie einen multiregionalen Schlüssel in eine AWS-Region, die Ihrem Geschäftsmodell und den regulatorischen Anforderungen entspricht. Sie können beispielsweise einen Schlüssel in Regionen replizieren, in denen Sie Ihre Ressourcen behalten. Oder Sie könnten, um eine Anforderung zur Notfallwiederherstellung zu erfüllen, einen Schlüssel in geografisch entfernte Regionen replizieren.
Folgendes sind die AWS KMS-Anforderungen für Replikatregionen. Wenn die ausgewählte Region diese Anforderungen nicht erfüllt, schlagen Versuche, einen Schlüssel zu replizieren, fehl.
-
Ein verwandter multiregionaler Schlüssel pro Region – Sie können keinen Replikatschlüssel in derselben Region wie sein Primärschlüssel oder in derselben Region wie ein anderes Replikat des Primärschlüssels erstellen.
Wenn Sie versuchen, einen Primärschlüssel in einer Region zu replizieren, die bereits über ein Replikat dieses Primärschlüssels verfügt, schlägt der Versuch fehl. Wenn sich der aktuelle Replikationsschlüssel in der Region im PendingDeletion-Schlüsselstatus befindet, können Sie die Löschung des Replikationsschlüssels abbrechen oder warten, bis der Replikationsschlüssel gelöscht ist.
-
Mehrere nicht verwandte multiregionale Schlüssel in derselben Region – Sie können mehrere nicht verwandte multiregionale Schlüssel in derselben Region haben. Beispielsweise können Sie zwei multiregionale Primärschlüssel in der Region
us-east-1haben. Jeder Primärschlüssel kann einen Replikatschlüssel in der Regionus-west-2haben. Regionen in derselben Partition – Die Region des Replikatschlüssels muss sich in derselben AWS-Partition befinden, wie die Region des Primärschlüssels.
-
Region muss aktiviert sein – Wenn eine Region standardmäßig deaktiviert ist, können Sie in dieser Region keine Ressourcen erstellen, bis sie für Ihr AWS-Konto aktiviert ist.
Erstellen von Replikatschlüsseln (Konsole)
In der AWS KMS-Konsole können Sie ein oder mehrere Replikate eines multiregionalen Primärschlüssels in der gleichen Produktion erstellen.
Dieses Verfahren ähnelt dem Erstellen eines einzelregionalen KMS-Schlüssels in der Konsole. Da jedoch ein Replikatschlüssel auf dem Primärschlüssel basiert, wählen Sie keine Werte für gemeinsam genutzte Eigenschaften aus, z. B. die Schlüsselspezifikation (symmetrisch oder asymmetrisch), die Schlüsselnutzung oder den Schlüsselursprung.
Sie geben jedoch Eigenschaften an, die nicht freigegeben werden, einschließlich eines Alias, Tags, einer Beschreibung und einer Schlüsselrichtlinie. Die Konsole zeigt die aktuellen Eigenschaftswerte des Primärschlüssels an, Sie können sie jedoch ändern. Selbst wenn Sie die Primärschlüsselwerte beibehalten, synchronisiert AWS KMS diese Werte nicht.
Wichtig
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.
-
Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.
-
Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Wählen Sie die Schlüssel-ID oder den Alias eines multiregionalen Primärschlüssels aus. Dadurch wird die Seite mit den Schlüsseldetails des KMS-Schlüssels geöffnet.
Um einen multiregionalen Primärschlüssel zu identifizieren, verwenden Sie das Werkzeugsymbol in der oberen rechten Ecke, um die Spalte Regionality (Regionalität) zur Tabelle hinzuzufügen.
-
Wählen Sie die Registerkarte Regionality (Regionalität) aus.
-
Unter Related multi-Region keys (Verwandte multiregionale Schlüssel) wählen Sie Create new replica keys (neue Replikatschlüssel erstellen) aus.
Der Abschnitt Related multi-Region keys (Verwandte multiregionale Schlüssel) zeigt die Region des Primärschlüssels und seiner Replikatschlüssel an. Sie können diese Anzeige verwenden, um die Region für den neuen Replikatschlüssel auszuwählen.
-
Wählen Sie mindestens eine AWS-Regionen aus. Bei diesem Verfahren wird in jedem der ausgewählten Regionen ein Replikatschlüssel erstellt.
Das Menü enthält nur Regionen in derselben AWS-Partition als der Primärschlüssel. Regionen, die bereits über einen verwandten multiregionalen Schlüssel verfügen, werden angezeigt, können jedoch nicht ausgewählt werden. Möglicherweise sind Sie nicht berechtigt, einen Schlüssel in alle Regionen im Menü zu replizieren.
Wenn Sie die Auswahl von Regionen abgeschlossen haben, schließen Sie das Menü. Die ausgewählten Regionen werden angezeigt. Um die Replikation in eine Region abzubrechen, wählen Sie das Kontrollkästchen X neben dem Namen der Region.
-
Geben Sie einen Alias für den Replikatschlüssel ein.
Die Konsole zeigt einen der aktuellen Aliasen des Primärschlüssels an, Sie können ihn jedoch ändern. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten denselben Alias oder verschiedene Aliase zuweisen. Aliase sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. AWS KMS synchronisiert die Aliase von multiregionalen Schlüsseln nicht.
Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter ABAC für AWS KMS und Verwenden von Aliassen zur Steuerung des Zugriffs auf KMS-Schlüssel.
-
(Optional) Geben Sie eine Beschreibung für den Replikatschlüssel ein.
Die Konsole zeigt die aktuelle Beschreibung des Primärschlüssels an, Sie können sie jedoch ändern. Beschreibungen sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten dieselbe Beschreibung oder verschiedene Beschreibungen geben. AWS KMS synchronisiert die Beschreibungen von multiregionalen Schlüsseln nicht.
-
(Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wenn Sie mehrere Tags zum Replikatschlüssel zuweisen möchten, wählen Sie Add tag (Tag hinzufügen) aus.
Die Konsole zeigt die Tags an, die aktuell mit dem Primärschlüssel verknüpft sind, Sie können sie jedoch ändern. Tags sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten dieselben Tags oder verschiedene Tags zuweisen. AWS KMS synchronisiert die Tags von multiregionalen Schlüsseln nicht.
Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter ABAC für AWS KMS und Verwenden von Tags zur Steuerung des Zugriffs auf KMS-Schlüssel.
-
Wählen Sie die IAM-Benutzer und -Rollen aus, die den Replikatschlüssel verwalten können.
Anmerkung
IAM-Richtlinien können anderen IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwaltung der Replikatschlüssel erteilen.
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
Dieser Schritt startet den Prozess zum Erstellen einer Schlüsselrichtlinie für den Replikatschlüssel. Die Konsole zeigt die aktuelle Schlüsselrichtlinie des Primärschlüssels an, Sie können sie jedoch ändern. Schlüsselrichtlinien sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten die gleiche Schlüsselrichtlinie oder andere Schlüsselrichtlinien zuweisen. Von AWS KMS werden Schlüsselrichtlinien nicht synchronisiert. Sie können die Schlüsselrichtlinie eines jeden KMS-Schlüssels jederzeit ändern.
-
Führen Sie die Schritte zum Erstellen der Schlüsselrichtlinie durch, einschließlich der Auswahl von Schlüsselbenutzern. Wählen Sie nach dem Überprüfen der Schlüsselrichtlinie Finish (beenden) aus, um den Replikatschlüssel zu erstellen.
Erstellen eines Replikatschlüssels (AWS KMS-API)
Um einen multiregionalen Replikatschlüssel zu erstellen, verwenden Sie die -ReplicateKeyOperation. Sie können die -CreateKeyOperation nicht verwenden, um einen Replikatschlüssel zu erstellen. Bei dieser Produktion wird jeweils ein Replikatschlüssel erstellt. Die Region, die Sie angeben, muss den Anforderungen der Region für Replikatschlüssel entsprechen.
Wenn Sie die ReplicateKey-Produktion verwenden, müssen Sie keine Werte für gemeinsam genutzte Eigenschaften von multiregionalen Schlüsseln angeben. Gemeinsam genutzte Eigenschaftswerte werden aus dem Primärschlüssel kopiert und synchronisiert. Sie können jedoch Werte für nicht freigegebene Eigenschaften angeben. Ansonsten wendet AWS KMS die Standardwerte für KMS-Schlüssel an, nicht die Werte des Primärschlüssels.
Anmerkung
Wenn Sie keine Werte für die Description-, KeyPolicy-, oder Tags-Parameter angeben, erstellt AWS KMS den Replikatschlüssel mit einer leeren Zeichenfolgen-Beschreibung, der Standard-Schlüsselrichtlinie und ohne Tags.
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.
Beispielsweise erstellt der folgende Befehl einen multiregionalen Replikatschlüssel in der Region Asien-Pazifik (Sydney) (ap-southeast-2). Dieser Replikatschlüssel wird nach dem Primärschlüssel in der Region USA Ost (Nord-Virginia) (us-east-1) modelliert, der durch den Wert des KeyId-Parameters identifiziert wird. Dieses Beispiel akzeptiert Standardwerte für alle anderen Eigenschaften, einschließlich der Schlüsselrichtlinie.
Die Antwort beschreibt den neuen Replikatschlüssel. Sie enthält Felder für gemeinsam genutzte Eigenschaften, z. B. KeyId, KeySpec und KeyUsage, und den Ursprung des Schlüsselmaterials (Origin). Sie enthält auch Eigenschaften, die unabhängig vom Primärschlüssel sind, z. B. die Description, Schlüsselrichtlinie (ReplicaKeyPolicy) und Tags (ReplicaTags).
Die Antwort enthält auch den Schlüssel-ARN und die Region des Primärschlüssels und aller seiner Replikatschlüssel, einschließlich des Schlüssels, der gerade in der Region ap-southeast-2 erstellt wurde. In diesem Beispiel zeigt das ReplicaKey-Element an, dass dieser Primärschlüssel bereits in der Region Europa (Irland) (eu-west-1) repliziert wurde.
aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2${ "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }
