變更一組多區域金鑰中的主金鑰 - AWS Key Management Service
更新主要區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更一組多區域金鑰中的主金鑰

每組相關的多區域金鑰都必須有主要金鑰。但您可以變更主要金鑰。這個動作,稱為更新主要區域,會將目前的主要金鑰轉換為複本金鑰,並將其中一個相關的複本金鑰轉換為主要金鑰。如果您需要在維護複本金鑰的同時刪除目前的主要金鑰,或是要在與金鑰管理員相同的區域中尋找主要金鑰,則可以執行此動作。

您可以選取任何相關的複本金鑰做為新的主要金鑰。主要金鑰和複本金鑰都必須在操作開始時處於 Enabled 金鑰狀態

Updating金鑰狀態

即使UpdatePrimaryRegion操作完成後,更新主要區域的程序仍可能繼續執行幾秒鐘。在此期間,舊的和新的主要金鑰具有更新的暫時性金鑰狀態。雖然金鑰狀態為 Updating,您可以在密碼編譯操作中使用金鑰,但無法複寫新的主要金鑰或執行特定的管理操作,例如啟用或停用這些金鑰。等操作DescribeKey可能會將舊金鑰和新主金鑰顯示為複本。更新完成時,Enabled 金鑰狀態會還原。

如需有關 Updating 金鑰狀態之影響的資訊,請參閱 金鑰的 AWS KMS 金鑰狀態

運作方式

假設您在美國東部 (維吉尼亞北部) (us-east-1) 中有主要金鑰和在歐洲 (愛爾蘭) (eu-west-1) 中有複本金鑰。您可以使用更新功能將美國東部 (維吉尼亞北部) (us-east-1) 的主要金鑰變更為複本金鑰,並將歐洲 (愛爾蘭) (eu-west-1) 的複本金鑰變更為主要金鑰。

更新主要金鑰

當更新程序完成時,歐洲 (愛爾蘭) (eu-west-1) 區域的多區域金鑰是多區域主要金鑰,而美國東部 (維吉尼亞北部) (us-east-1) 區域的多區域主要金鑰是其複本金鑰。如果有其他相關的複本金鑰,它們會成為新主要金鑰的複本。下次 AWS KMS 同步多區域金鑰的共用屬性時,它會從新的主金鑰取得共用屬性,並將其複製到其複本金鑰,包括先前的主金鑰。

更新操作不會影響任何多區域金鑰ARN的金鑰。它也不會影響共用屬性 (例如金鑰材料) 或獨立屬性 (例如金鑰政策)。不過,您可能想要更新新主要金鑰的金鑰政策。例如,您可能想要將 kms:ReplicateKey信任主體的許可新增至新的主金鑰,並將其從新的複本金鑰中移除。

更新主要區域

您可以將複本金鑰轉換為主金鑰,這會將先前的主金鑰變更為複本。若要更新主要區域,您需要兩個區域中的 km:UpdatePrimaryRegion 許可。

您可以使用 UpdatePrimaryRegion操作來更新 AWS KMS 主控台中的主要區域。

您可以在 AWS KMS 主控台中更新主金鑰。從目前主要金鑰的金鑰詳細資訊頁面開始。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

  4. 選取多區域主要金鑰的金鑰 ID 或別名。如此會開啟主要金鑰的金鑰詳細資訊頁面。

    若要識別多區域主要金鑰,請使用右上角的工具圖示新增 Regionality (區域性) 資料欄至資料表。

  5. 選擇 Regionality (區域性) 索引標籤。

  6. Primary key (主要金鑰) 區段中,選擇 Change primary Region (變更主要區域)。

  7. 選擇新主要金鑰的區域。您只可以從選單中選擇一個區域。

    Change primary Regions (變更主要區域) 選單只包含具有相關多區域金鑰的區域。您可能沒有更新選單上所有區域中主要區域的許可

  8. 選擇 Change primary Region (變更主要區域)。

若要變更一組相關多區域金鑰中的主金鑰,請使用 UpdatePrimaryRegion操作。

使用 KeyId 參數來識別目前的主要金鑰。使用 PrimaryRegion 參數來指示新主金鑰 AWS 區域 的 。如果主要金鑰尚未在新的主要區域中有複本,則操作會失敗。

下列範例會將 us-west-2 區域中多區域金鑰的主要金鑰變更為其在 eu-west-1 區域的複本。KeyId 參數會識別 us-west-2 區域中的目前主要金鑰。PrimaryRegion 參數會指定新主金鑰 AWS 區域 的 eu-west-1

$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

成功時,此操作不會傳回任何輸出,只會傳回HTTP狀態碼。若要查看效果,請在任一多區域金鑰上呼叫 DescribeKey操作。您可能需要等到金鑰狀態返回到 Enabled。金鑰狀態為正在更新時,金鑰的值可能仍在變化中。

例如,下列 DescribeKey 呼叫會取得有關 eu-west-1 區域中多區域金鑰的詳細資訊。輸出顯示 eu-west-1 區域中的多區域金鑰現在已成為主要金鑰。us-west-2 區域中相關的多區域金鑰 (相同金鑰 ID) 現在是複本金鑰。

$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}