查看多区域密钥 - AWS Key Management Service

查看多区域密钥

您可以在 AWS KMS 控制台中和通过使用 AWS KMS API 操作来查看单区域和多区域密钥。

在控制台中查看多区域区域

在 AWS KMS 控制台中,您可以查看所选区域中的 KMS 密钥。但是,如果您有多区域密钥,则可以查看其在其他 AWS 区域 中的相关多区域密钥。

AWS KMS 控制台中的客户托管式密钥表仅显示所选区域中的 KMS 密钥。您可以查看所选区域中的多区域主密钥和副本密钥。要更改 AWS 区域,请使用页面右上角的 Region selector (区域选择器)。

AWS 托管式密钥 表没有区域性功能,因为 AWS 托管式密钥 始终是单区域密钥。

  • 为了便于标识多区域密钥,请将 Regionality(区域性)列添加到您的密钥表中。有关帮助信息,请参阅 自定义您的 KMS 密钥表

  • 要在密钥表中仅显示单区域密钥或仅显示多区域密钥,请按每个密钥的 Regionality(区域性)属性筛选您的密钥。有关帮助信息,请参阅 对您的 KMS 密钥进行排序和筛选

  • 您还可以对您的客户托管密钥表进行排序,并筛选其中是否有独特的 mrk- 密钥 ID 前缀。

  • 有关多区域主密钥或副本密钥的详细信息,请转至该密钥的详细信息页面,然后选择 Regionality(区域性)选项卡。

    主密钥的 Regionality(区域性)选项卡包括 Change primary Region(更改主区域)和 Create new replica keys(创建新的副本密钥)按钮。(副本密钥的 Regionality(区域性)选项卡没有任何按钮。) Related multi-Region keys(相关的多区域密钥)部分列出了与当前密钥相关的所有多区域密钥。如果当前密钥是副本密钥,则此列表将包括主密钥。

    如果您从相关的多区域密钥表中选择相关的多区域密钥,AWS KMS 控制台更改为所选密钥的区域,并打开密钥的详细信息页面。例如,如果您从下面的示例 Related multi-Region keys(相关多区域密钥)部分中选择 sa-east-1 区域中的副本密钥,AWS KMS 控制台将更改为 sa-east-1 区域,以显示该副本密钥的详细信息页面。您可以执行此操作来查看副本密钥的别名或密钥策略。要再次更改区域,请使用页面右上角的 Region selector(区域选择器)。

在 API 中查看多区域秘钥

要在 AWS KMS API 中查看多区域密钥,请使用 DescribeKey 操作。它将显示指定的密钥及其所有相关的多区域密钥。

与 AWS KMS 控制台相同的是,AWS KMS API 操作是区域性的。例如,当您调用 ListKeysListAliases 操作时,它们只返回当前区域或指定区域中的资源。但是,当您对多区域密钥调用 DescribeKey 操作时,响应将包括其他 AWS 区域 中的所有相关多区域密钥。

例如,下面的 DescribeKey 请求将获取有关亚太区域(东京) (ap-northeast-1) 区域中示例多区域副本密钥的详细信息。

$ aws kms describe-key \ --key-id arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --region ap-northeast-1

响应中的大部分 KeyMetadata 描述了请求主题所在的的亚太地区(东京)区域中的副本密钥。但是,MultiRegionConfiguration 元素描述了美国西部(俄勒冈)(us-west-2) 区域中的主密钥及其在其他 AWS 区域 中的副本密钥,包括亚太地区(东京)区域中的副本。DescribeKey 会为所有相关的多区域密钥返回相同的 MultiRegionConfiguration 值。

{ "KeyMetadata": { "MultiRegion": true, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1586329200.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, { "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-northeast-1" }, { "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "sa-east-1" } ] } } }