檢視多區域金鑰 - AWS Key Management Service
在主控台中檢視多區域金鑰在 API 中檢視多區域金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視多區域金鑰

您可以在 AWS KMS 主控台和透過使用 AWS KMS API 操作,檢視單一區域和多區域金鑰。

在主控台中檢視多區域金鑰

在 AWS KMS 主控台中,您可以檢視所選區域中的 KMS 金鑰。不過,如果您有多區域金鑰,您可以在其他 AWS 區域 中查看其相關的多區域金鑰。

AWS KMS 主控台中的 Customer managed keys (客戶受管金鑰) 資料表僅顯示所選區域中的 KMS 金鑰。您可以檢視所選區域中的多區域主要金鑰和複本金鑰。若要變更 AWS 區域,請使用頁面右上角的區域選取器。

AWS 受管金鑰 資料表沒有區域性功能,因為 AWS 受管金鑰 一律是單一區域金鑰。

  • 若要輕鬆識別您的多區域金鑰,請新增 Regionality (區域性) 欄至您的金鑰資料表。如需協助,請參閱 自訂您的 KMS 金鑰資料表

  • 若僅在金鑰資料表中顯示單一區域金鑰或僅顯示多區域金鑰,請依每個金鑰的 Regionality (區域性) 屬性篩選您的金鑰。如需協助,請參閱 排序和篩選 KMS 金鑰

  • 您也可以針對獨特 mrk- 金鑰 ID 字首,對 Customer managed keys (客戶受管金鑰) 資料表進行排序和篩選。

  • 如需多區域主要金鑰或複本金鑰的詳細資訊,請前往金鑰的詳細資訊頁面,然後選擇 Regionality (區域性) 索引標籤。

    Regionality (區域性) 索引標籤包括「變更主要區域」和「建立新的複本金鑰」按鈕。(複本金鑰的「區域性」索引標籤沒有按鈕)。Related multi-Region keys (相關的多區域金鑰) 區段會列出所有與目前區域相關的多區域金鑰。如果目前金鑰是複本金鑰,則此清單會包含主要金鑰。

    如果您從 Related multi-Region keys (相關的多區域金鑰) 資料表選擇相關的多區域金鑰,則 AWS KMS 主控台會變更為所選取金鑰的區域,並開啟金鑰的詳細資訊頁面。例如,如果您從下列範例 Related multi-Region keys (相關多區域金鑰) 區段選擇 sa-east-1 區域的複本金鑰,則 AWS KMS 主控台變更為 sa-east-1 區域以顯示該複本金鑰的詳細資訊頁面。您可以執行這項操作來檢視複本金鑰的別名或金鑰政策。若要再次變更區域,請使用頁面右上角的區域選取器。

在 API 中檢視多區域金鑰

若要檢視 AWS KMS API 中的多區域金鑰,請使用此DescribeKey作業。它顯示指定金鑰及其所有相關的多區域金鑰。

就像 AWS KMS 主控台、AWS KMS API 操作是區域性的。例如,當您呼叫ListKeysListAliases作業時,它們只會傳回目前或指定區域中的資源。但是,當您針對多區域金鑰呼叫 DescribeKey 操作時,回應會包含其他 AWS 區域 中所有相關的多區域金鑰。

例如,下列 DescribeKey 請求會取得亞太區域 (東京) (ap-northeast-1) 區域中範例多區域複本金鑰的詳細資訊。

$ aws kms describe-key \
        --key-id arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
        --region ap-northeast-1

回應中的大部分 KeyMetadata 描述了亞太區域 (東京) 區域中的複本金鑰,這是請求的主旨。不過,MultiRegionConfiguration 元素會描述美國西部 (奧勒岡) (us-west-2) 區域的主要金鑰及其其他 AWS 區域 的複本金鑰,包括亞太區域 (東京) 區域的複本。DescribeKey 會傳回相同的 MultiRegionConfiguration 值,用於所有相關的多區域金鑰。

{
    "KeyMetadata": {
        "MultiRegion": true,        
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1586329200.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-west-2"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                },
                {
                    "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-northeast-1"
                },
                {
                    "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "sa-east-1"
                }
            ]
        }
    }
}