Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen
Jeder Satz verwandter multiregionaler Schlüssel muss über einen Primärschlüssel verfügen. Sie können jedoch den Primärschlüssel ändern. Diese Aktion, bekannt als Aktualisieren der primären Region, konvertiert den aktuellen Primärschlüssel in einen Replikatschlüssel und konvertiert einen der verwandten Replikatschlüssel in den Primärschlüssel. Sie können dies tun, wenn Sie den aktuellen Primärschlüssel löschen müssen, während die Replikatschlüssel beibehalten werden, oder um den Primärschlüssel in derselben Region wie die Schlüsseladministratoren zu platzieren.
Sie können einen beliebigen verwandten Replikatschlüssel als neuen Primärschlüssel auswählen. Sowohl der Primärschlüssel als auch der Replikatschlüssel müssen sich im Schlüsselstatus Enabled
befinden, wenn die Operation gestartet wird.
- Der
Updating
Schlüsselstatus -
Auch nach Abschluss des
UpdatePrimaryRegion
Vorgangs dauert die Aktualisierung der primären Region möglicherweise noch einige Sekunden. Während dieser Zeit haben der alte und der neue Primärschlüssel den vorübergehenden Schlüsselstatus Updating. Während der Schlüsselstatus lautetUpdating
ist, können Sie die Schlüssel in kryptografischen Vorgängen verwenden, aber Sie können den neuen Primärschlüssel nicht replizieren oder bestimmte Verwaltungsvorgänge ausführen, wie z. B. das Aktivieren oder Deaktivieren dieser Schlüssel. Bei Vorgängen werden DescribeKeymöglicherweise sowohl der alte als auch der neue Primärschlüssel als Replikate angezeigt. DieEnabled
-Schlüsselstatus wird wiederhergestellt, wenn die Aktualisierung abgeschlossen ist.Informationen zu den Auswirkungen des
Updating
-Schlüsselstatus finden Sie unter Wichtige Zustände von AWS KMS Schlüsseln. - Funktionsweise
-
Angenommen, Sie haben einen Primärschlüssel in USA Ost (Nord-Virginia) (us-east-1) und einen Replikatschlüssel in Europa (Irland) (eu-west-1). Sie können die Aktualisierungsfunktion verwenden, um den Primärschlüssel in USA Ost (Nord-Virginia) (us-east-1) in einen Replikatschlüssel zu ändern und den Replikatschlüssel in Europa (Irland) (eu-west-1) in den Primärschlüssel zu ändern.
Wenn der Aktualisierungsvorgang abgeschlossen ist, ist der multiregionaler Schlüssel in der Region Europa (Irland) (eu-west-1) ein multiregionaler Primärschlüssel und der Schlüssel in der Region USA Ost (Nord-Virginia) (us-east-1) ist sein Replikatschlüssel. Wenn andere verwandte Replikatschlüssel vorhanden sind, werden sie zu Replikaten des neuen Primärschlüssels. Beim nächsten AWS KMS Synchronisieren der gemeinsamen Eigenschaften der Schlüssel mit mehreren Regionen werden die gemeinsamen Eigenschaften aus dem neuen Primärschlüssel abgerufen und in die zugehörigen Replikatschlüssel kopiert, einschließlich des früheren Primärschlüssels.
Der Aktualisierungsvorgang hat keine Auswirkung auf den Schlüssel ARN eines Schlüssels mit mehreren Regionen. Es hat auch keine Auswirkungen auf gemeinsame Eigenschaften, wie das Schlüsselmaterial, oder auf unabhängige Eigenschaften, wie die Schlüsselrichtlinie. Sie können ggf. die Schlüsselrichtlinie des neuen Primärschlüssels aktualisieren. Möglicherweise möchten Sie dem neuen Primärschlüssel die ReplicateKey Zugriffsberechtigung kms: für vertrauenswürdige Principals hinzufügen und ihn aus dem neuen Replikatschlüssel entfernen.
Aktualisieren Sie die primäre Region
Sie können einen Replikatschlüssel in einen Primärschlüssel konvertieren, wodurch der frühere Primärschlüssel in ein Replikat umgewandelt wird. Um die primäre Region zu aktualisieren, benötigen Sie in beiden Regionen die UpdatePrimaryRegion Berechtigung kms:.
Sie können die primäre Region in der AWS KMS Konsole oder mithilfe des UpdatePrimaryRegionVorgangs aktualisieren.
Sie können den Primärschlüssel in der AWS KMS Konsole aktualisieren. Starten Sie auf der Seite mit den Schlüsseldetails des aktuellen Primärschlüssels.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Wählen Sie die Schlüssel-ID oder den Alias des multiregionalen Primärschlüssels aus. Dadurch wird die Seite mit den Schlüsseldetails des Primärschlüssels geöffnet.
Um einen multiregionalen Primärschlüssel zu identifizieren, verwenden Sie das Werkzeugsymbol in der oberen rechten Ecke, um die Spalte Regionality (Regionalität) zur Tabelle hinzuzufügen.
-
Wählen Sie die Registerkarte Regionality (Regionalität) aus.
-
In dem Abschnitt Primary key (Primärschlüssel) wählen Sie Change primary Region (primäre Region ändern) aus.
-
Wählen Sie die Region des neuen Primärschlüssels aus. Sie können nur eine Region aus dem Menü auswählen.
Das Menü Change primary Regions (primären Regionen ändern) enthält nur Regionen, die über einen verwandten multiregionalen Schlüssel verfügen. Möglicherweise haben Sie nicht die Berechtigung zum Aktualisieren der primären Region in allen Regionen auf dem Menü.
-
Wählen Sie Change primary region (Primäre Region ändern) aus.
Verwenden Sie die UpdatePrimaryRegionOperation, um den Primärschlüssel in einer Reihe verwandter Schlüssel für mehrere Regionen zu ändern.
Verwenden Sie den KeyId
-Parameter, um den aktuellen Primärschlüssel zu identifizieren. Verwenden Sie den PrimaryRegion
Parameter, um den AWS-Region des neuen Primärschlüssels anzugeben. Wenn der Primärschlüssel noch kein Replikat in der neuen primären Region hat, schlägt die Operation fehl.
Im folgenden Beispiel wird der Primärschlüssel aus dem multiregionalen Schlüssel in der us-west-2
-Region zu seinem Replikat im eu-west-1
-Region geändert. Der KeyId
-Parameter identifiziert den aktuellen Primärschlüssel in der Region us-west-2
. Der PrimaryRegion
Parameter gibt den AWS-Region des neuen Primärschlüssels an,eu-west-1
.
$
aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1
Bei Erfolg gibt dieser Vorgang keine Ausgabe zurück, sondern nur den HTTP Statuscode. Um den Effekt zu sehen, rufen Sie den DescribeKeyVorgang mit einer der Multiregionstasten auf. Möglicherweise möchten Sie warten, bis der Schlüsselstatus zu Enabled
zurückkehrt. Während der Schlüsselstatus Updating ist, befinden sich die Werte für den Schlüssel möglicherweise noch im Fluss.
Beispielsweise erhält der folgenden DescribeKey
-Aufruf die Details über den multiregionalen Schlüssel in der eu-west-1
-Region. Die Ausgabe zeigt, dass der multiregionale Schlüssel in der Region eu-west-1
ist jetzt der Primärschlüssel. Der verwandte multiregionale Schlüssel (gleiche Schlüssel-ID) in der Region us-west-2
ist jetzt ein Replikatschlüssel.
$
aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }