本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立多區域主要金鑰
您可以在 AWS KMS 主控台或使用 AWS KMS API 建立多區域主要金鑰。您可以在任何 AWS KMS 支援多區域金鑰的 AWS 區域 中建立主要金鑰。
若要建立多區域主要金鑰,主體需要與建立任何 KMS 金鑰所需的相同權限,包括 IAM 政策中的 kms: CreateKey 權限。主體還需要 iam: CreateServiceLinkedRole 許可。您可以使用 kms: MultiRegionKeyType 條件金鑰來允許或拒絕建立多區域主索引鍵的權限。
這些指示會建立具有 AWS KMS 產生之金鑰材料的多區域主要金鑰。若要建立具有匯入金鑰材料的多區域主要金鑰,請參閱 建立具有匯入金鑰材料的主要金鑰。
建立多區域主要金鑰 (主控台)
若要在 AWS KMS 主控台建立多區域主要金鑰,請使用您要用來建立任何 KMS 金鑰的相同程序。您在 Advanced options (進階選項) 中選取多區域金鑰。如需完整說明,請參閱 建立金鑰。
重要
請勿在別名、說明或標籤包含機密或敏感資訊。在 CloudTrail 記錄檔和其他輸出中,這些欄位可能會以純文字顯示。
-
請登入 AWS Management Console,並開啟 AWS Key Management Service (AWS KMS) 主控台 (網站:https://console.aws.amazon.com/kms
)。 -
若要變更 AWS 區域,請使用頁面右上角的區域選取器。
-
在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。
-
選擇建立金鑰。
-
選取對稱或非對稱金鑰類型。對稱金鑰為預設值。
您可以建立多區域對稱和非對稱金鑰,包括多區域 HMAC KMS 金鑰,這些都是對稱金鑰。
-
選擇您的金鑰用途。Encrypt and decrypt (加密和解密) 為預設值。
如需相關說明,請參閱建立金鑰、建立非對稱 KMS 金鑰或建立 HMAC KMS 金鑰。
-
展開 Advanced options (進階選項)。
-
在 Key material origin (金鑰材料來源) 下,AWS KMS 會產生您的主要金鑰和複本金鑰共用的金鑰材料,請選擇 KMS。若您要將金鑰材料匯入主要金鑰和複本金鑰中,請選擇 External (Import key material) (外部 (匯入金鑰材料))。
-
在 Multi-Region replication (多區域複寫) 下,選擇 Allow this key to be replicated into other Regions (允許此金鑰複寫至其他區域)。
您無法在建立 KMS 金鑰之後變更此設定。
-
輸入主要金鑰的別名。
別名不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的別名或不同的別名。AWS KMS 不會同步多區域金鑰的別名。
注意
新增、刪除或更新別名可允許或拒絕 KMS 金鑰的許可。如需詳細資訊,請參閱 AWS KMS 的 ABAC 和 使用別名來控制KMS金鑰的存取。
-
(選用) 輸入主要金鑰的描述。
描述不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的描述或不同的描述。AWS KMS 不會同步多區域金鑰的金鑰描述。
-
(選用) 輸入標籤索引鍵和選用標籤值。若要為主要金鑰指派超過一個標籤,請選擇 Add tag (新增標籤)。
標籤不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的標籤或不同的標籤。AWS KMS 不會同步多區域金鑰的標籤。您可以隨時變更 KMS 金鑰上的標籤。
注意
標記或取消標記 KMS 金鑰可以允許或拒絕 KMS 金鑰的許可。如需詳細資訊,請參閱 AWS KMS 的 ABAC 和 使用標籤來控制對 KMS 金鑰的存取。
-
選取可管理主要金鑰的 IAM 使用者和角色。
注意
IAM 政策可授權其他 IAM 使用者和角色來管理 KMS 金鑰。
IAM 最佳實務不建議使用具有長期憑證的 IAM 使用者。盡可能使用提供臨時憑證的 IAM 角色。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的安全性最佳實務。
這個步驟會開始為主要金鑰建立金鑰政策的程序。金鑰政策不是多區域金鑰的共用屬性。您可以為多區域主要金鑰及其複本提供相同的金鑰政策或不同的金鑰政策。AWS KMS 不會同步多區域金鑰的金鑰政策。您可以隨時變更 KMS 金鑰的金鑰政策。
-
完成建立金鑰政策的步驟,包括選取金鑰使用者。檢閱金鑰政策後,選擇 Finish (完成) 以建立 KMS 金鑰。
建立多區域主要金鑰 (AWS KMS API)
若要建立多區域主索引鍵,請使用此CreateKey作業。使用值為 True
的 MultiRegion
參數。
例如,以下命令會在呼叫者的 AWS 區域 (us-east-1) 中建立多區域主要金鑰。它會接受所有其他屬性 (包括金鑰政策) 的預設值。多區域主要金鑰的預設值與所有其他 KMS 金鑰的預設值相同,包括預設金鑰政策。此程序會建立一個對稱加密金鑰,即預設 KMS 金鑰。
回應包含具有一般子元素的 MultiRegion
元素和 MultiRegionConfiguration
元素,以及無複本金鑰的多區域主要金鑰值。多區域金鑰的金鑰 ID 始終以 mrk-
開頭。
重要
請勿在 Description
或 Tags
欄位包含機密或敏感資訊。在 CloudTrail 記錄檔和其他輸出中,這些欄位可能會以純文字顯示。
aws kms create-key --multi-region
$
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }