本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 韧性在 AWS Key Management Service
<a name="disaster-recovery-resiliency"></a>

 AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区，这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区，您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础架构相比，可用区具有更高的可用性、容错性和可扩展性。

除了 AWS 全球基础架构外，还 AWS KMS 提供多项功能来帮助支持您的数据弹性和备份需求。有关 AWS 区域 和可用区的更多信息，请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。

## 区域隔离
<a name="regional-isolation"></a>

AWS Key Management Service (AWS KMS) 是一项自给自足的区域服务，可供所有 AWS 区域人使用。的区域隔离设计 AWS KMS 可确保一个区域的可用性问题 AWS 区域 不会影响任何其他地区的 AWS KMS 运行。 AWS KMS 旨在确保*计划内停机时间为零*，所有软件更新和扩展操作都可以在不察觉的情况下无缝执行。

 AWS KMS [服务等级协议](https://aws.amazon.com/kms/sla/) (SLA) 包括所有 KMS 的 99.999% 的服务承诺。 APIs为履行这一承诺， AWS KMS 会确保执行 API 请求所需的所有数据和授权信息在接收该请求的所有区域主机上都可用。

在每个区域的至少三个可用区 (AZs) 中复制 AWS KMS 基础架构。为确保多台主机故障不会影响 AWS KMS 性能，旨在 AWS KMS 为来自区域内任何一台 AZs 的客户流量提供服务。

您对 KMS 密钥属性或权限所做的更改将复制到该区域中的所有主机，以确保该区域中的任何主机都能正确处理后续请求。使用您的 KMS 密钥进行[加密操作](kms-cryptography.md#cryptographic-operations)的请求会被转发到一组 AWS KMS 硬件安全模块 (HSMs)，其中任何一个模块都可以使用 KMS 密钥执行操作。

## 多租户设计
<a name="multi-tenant"></a>

的多租户设计使其 AWS KMS 能够满足 99.999% 的可用性 SLA，保持较高的请求率，同时保护密钥和数据的机密性。

通过部署多个完整性控制执行机制，以确保实际用于执行加密操作的 KMS 密钥始终是您为该操作指定的密钥。

KMS 密钥的明文密钥材料受到全面保护。密钥材料在创建后将立即在 HSM 中加密，并且加密后的密钥材料会立即移动到安全、低延迟的存储中。加密后的密钥仅在使用时才在 HSM 中检索和解密。明文密钥仅在完成加密操作所需的时间内驻留在 HSM 内存中。然后会在 HSM 中重新加密，并将加密后的密钥退回存储。纯文本密钥材料永远不会离开 HSMs；它永远不会写入永久存储空间。

## 中的弹性最佳实践 AWS KMS
<a name="customer-action"></a>

要优化 AWS KMS 资源的弹性，请考虑以下策略。
+ 要支持备份和灾难恢复策略，请考虑使用*多区域密钥*，这是指在一个 AWS 区域 中创建并且仅复制到您指定区域的 KMS 密钥。使用多区域密钥，您可以在 AWS 区域 （同一分区内）之间移动加密资源，而无需暴露纯文本，并在需要时在任何目标区域中解密资源。相关的多区域密钥是可互操作的，因为它们共享相同的密钥材料和密钥 ID，但使用独立的密钥策略以实现高精度访问控制。有关详细信息，请参阅 [AWS KMS中的多区域密钥](multi-region-keys-overview.md)。
+ 要在多租户服务（例如）中保护您的密钥 AWS KMS，请务必使用访问控制，包括[密钥策略](key-policies.md)和 [IAM 策略](iam-policies.md)。此外，您还可以 AWS KMS 使用由提供支持的 *VPC 接口终端节点*向发送请求 AWS PrivateLink。当您这样做时，您 AWS KMS 的 Amazon VPC 和之间的所有通信都将完全使用仅限于您的 VPC 的专用 AWS KMS 终端节点在 AWS 网络内进行。您可以使用 [VPC 端点策略](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)创建额外的授权层，从而进一步保护这些请求的安全。有关详细信息，请参阅[通过 VPC 端点连接到 AWS KMS](kms-vpc-endpoint.md)。