多区域密钥的复制过程 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

多区域密钥的复制过程

AWS KMS 使用跨区域复制机制将 KMS 密钥中的密钥材料从位于某个 AWS 区域 的 HSM 复制到位于另一个 AWS 区域 的 HSM。要使此机制工作,要复制的 KMS 密钥必须是多区域密钥。将 KMS 密钥从某个区域复制到另一个区域时,这些区域中的 HSM 无法直接通信,因为它们位于隔离的网络中。相反,在跨区域复制期间交换的消息将由代理服务传送。

在跨区域复制期间,由 AWS KMS HSM 生成的每条消息都会使用复制签名密钥进行加密签名。复制签名密钥 (RSK) 是 NIST P-384 曲线上的 ECDSA 密钥。每个区域至少具有一个 RSK,并且每个 RSK 的公有组件都与同一 AWS 分区中的每个其他区域共享。

将密钥材料从区域 A 复制到区域 B 的跨区域复制过程如下:

  1. 区域 B 中的 HSM 在 NIST P-384 曲线上生成一个临时的 ECDH 密钥,即复制协议密钥 B (RAKB)。RAKB 的公有组件由代理服务发送到区域 A 中的 HSM。

  2. 区域 A 中的 HSM 将接收 RAKB 的公有组件,然后在 NIST P-384 曲线上生成另一个临时的 ECDH 密钥,即复制协议密钥 A (RAKA)。HSM 将在 RAKA 和 RAKB 的公有组件上运行 ECDH 密钥建立方案,并从输出中派生一个对称密钥,即复制包装密钥 (RWK))。RWK 用于对即将复制的多区域 KMS 密钥的密钥材料进行加密。

  3. RAKA 的公有组件和使用 RWK 加密的密钥材料将通过代理服务发送到区域 B 中的 HSM。

  4. 区域 B 中的 HSM 将接收 RAKA 的公有组件和使用 RWK 加密的密钥材料。通过在 RAKB 和 RAKA 的公有组件上运行 ECDH 密钥建立方案,RWK 将派生 HSM。

  5. 区域 B 中的 HSM 将使用 RWK 解密来自区域 A 的密钥材料。