本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
多区域密钥的复制过程
AWS KMS 使用跨区域复制机制将 KMS 密钥中的密钥材料从位于某个 AWS 区域 的 HSM 复制到位于另一个 AWS 区域 的 HSM。要使此机制工作,要复制的 KMS 密钥必须是多区域密钥。将 KMS 密钥从某个区域复制到另一个区域时,这些区域中的 HSM 无法直接通信,因为它们位于隔离的网络中。相反,在跨区域复制期间交换的消息将由代理服务传送。
在跨区域复制期间,由 AWS KMS HSM 生成的每条消息都会使用复制签名密钥进行加密签名。复制签名密钥 (RSK) 是 NIST P-384 曲线上的 ECDSA 密钥。每个区域至少具有一个 RSK,并且每个 RSK 的公有组件都与同一 AWS 分区中的每个其他区域共享。
将密钥材料从区域 A 复制到区域 B 的跨区域复制过程如下:
-
区域 B 中的 HSM 在 NIST P-384 曲线上生成一个临时的 ECDH 密钥,即复制协议密钥 B (RAKB)。RAKB 的公有组件由代理服务发送到区域 A 中的 HSM。
-
区域 A 中的 HSM 将接收 RAKB 的公有组件,然后在 NIST P-384 曲线上生成另一个临时的 ECDH 密钥,即复制协议密钥 A (RAKA)。HSM 将在 RAKA 和 RAKB 的公有组件上运行 ECDH 密钥建立方案,并从输出中派生一个对称密钥,即复制包装密钥 (RWK))。RWK 用于对即将复制的多区域 KMS 密钥的密钥材料进行加密。
-
RAKA 的公有组件和使用 RWK 加密的密钥材料将通过代理服务发送到区域 B 中的 HSM。
-
区域 B 中的 HSM 将接收 RAKA 的公有组件和使用 RWK 加密的密钥材料。通过在 RAKB 和 RAKA 的公有组件上运行 ECDH 密钥建立方案,RWK 将派生 HSM。
-
区域 B 中的 HSM 将使用 RWK 解密来自区域 A 的密钥材料。