多區域金鑰的安全考量

僅在您需要 AWS KMS 多區域金鑰時使用。多區域金鑰為在 AWS 區域 之間移動加密資料的工作負載或需要跨區域存取的工作負載提供靈活且可擴展的解決方案。如果您必須跨區域共用、移動或備份受保護的資料，或者需要建立在不同區域中運作之應用程式的相同數位簽章，請考慮使用多區域金鑰。

不過，建立多區域金鑰的程序會在 AWS KMS內跨 AWS 區域 邊界移動您的金鑰材料。由多區域金鑰產生的加密文字可能會由多個地理位置中的多個相關金鑰進行解密。區域隔離的服務和資源也有顯著的優勢。每個 AWS 區域 都是隔離的，且與其他區域各自獨立。區域提供容錯能力、穩定性和恢復能力，也可降低延遲。它們可讓您建立冗餘資源，這些資源會保持可用且不受其他區域運行中斷的影響。在 中 AWS KMS，它們也確保每個加密文字只能由一個金鑰解密。

多區域金鑰也會引發新的安全考量：

• 使用多區域金鑰，控制存取和強制執行資料安全政策會比較複雜。您需要確保會在多個隔離區域的金鑰上對政策進行一致地稽核。而且您需要使用政策來強制執行邊界，而不是依賴單獨的金鑰。

  例如，您需要針對資料設定政策條件，以防止一個區域的薪資團隊能夠讀取不同區域的薪資資料。此外，您必須使用存取控制來防止出現以下案例：一個區域中的多區域金鑰保護一個租用戶的資料，而另一個區域中的相關多區域金鑰保護不同租用戶的資料。

• 跨區域稽核金鑰也比較複雜。使用多區域索引鍵，您需要檢查和協調多個區域的稽核活動，以完全了解受保護資料的金鑰活動。

• 符合資料落地規定可能會更加複雜。透過隔離區域，您可以確保資料落地和資料主權的合規性。指定區域中的 KMS 金鑰只能解密該區域中的敏感資料。在一個區域中加密的資料可以在任何其他區域中保持處於完全保護且無法存取的狀態。

  若要使用多區域金鑰驗證資料落地和資料主權，您需要實作存取政策和跨多個區域編譯 AWS CloudTrail 事件。

為了讓您更輕鬆地管理多區域金鑰的存取控制，複寫多區域金鑰的許可 (kms:ReplicateKey) 會與建立金鑰的標準許可 (kms:CreateKey) 分開。此外， AWS KMS 支援多區域金鑰的多種政策條件，包括kms:MultiRegion允許或拒絕建立、使用或管理多區域金鑰的許可，以及 kms:ReplicaRegion，這會限制可複寫多區域金鑰的區域。如需詳細資訊，請參閱控制對多區域金鑰的存取。