本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的彈性 AWS Key Management Service
<a name="disaster-recovery-resiliency"></a>

 AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域，這些可用區域與低延遲、高輸送量和高備援聯網連接。透過可用區域，您所設計與操作的應用程式和資料庫，就能夠在可用區域之間自動容錯移轉，而不會發生中斷。可用區域的可用性、容錯能力和擴充能力，均較單一或多個資料中心的傳統基礎設施還高。

除了 AWS 全球基礎設施之外， AWS KMS 還提供數種功能，以協助支援您的資料彈性和備份需求。如需 AWS 區域 和可用區域的詳細資訊，請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。

## 區域隔離
<a name="regional-isolation"></a>

AWS Key Management Service (AWS KMS) 是一種自我維持的區域服務，可在所有 中使用 AWS 區域。的區域隔離設計 AWS KMS 可確保一個 中的可用性問題 AWS 區域 不會影響任何其他區域中 AWS KMS 的操作。 AWS KMS 旨在確保*零計劃停機時間*，且所有軟體更新和擴展操作都能無縫且無法理解地執行。

 AWS KMS [服務水準協議](https://aws.amazon.com/kms/sla/) (SLA) 包含所有 KMS APIs 99.999% 的服務承諾。為了履行此承諾， AWS KMS 確保執行 API 請求所需的所有資料和授權資訊在接收請求的所有區域主機上都可用。

 AWS KMS 基礎設施會在每個區域中至少三個可用區域 (AZs) 中複寫。為了確保多個主機故障不會影響 AWS KMS 效能， AWS KMS 旨在為來自區域中任何 AZs 的客戶流量提供服務。

您對 KMS 金鑰的屬性或許可所做的變更將複製到區域中的所有主機，以確保區域中的任何主機都可以正確處理後續請求。使用 KMS 金鑰[進行密碼編譯操作](kms-cryptography.md#cryptographic-operations)的請求會轉送至 AWS KMS 硬體安全模組 (HSMs) 的機群，其中任何一個都可以使用 KMS 金鑰執行操作。

## 多租用戶設計
<a name="multi-tenant"></a>

的多租戶設計 AWS KMS 使其能夠實現 99.999% 的可用性 SLA，並維持高請求率，同時保護金鑰和資料的機密性。

部署多個完整性強制執行機制，以確保您為密碼編譯操作指定的 KMS 金鑰始終是使用的金鑰。

您的 KMS 金鑰的純文字金鑰資料受到廣泛保護。金鑰資料一經建立就會在 HSM 中加密，並且加密的金鑰資料會立即移至安全、低延遲的儲存中。系統會在 HSM 內擷取並解密已加密的金鑰，以便及時使用。純文字金鑰僅在完成密碼編譯操作所需的時間內保留在 HSM 記憶體中。然後在 HSM 中對其進行重新加密，並將加密的金鑰傳回至儲存體。純文字金鑰資料永遠不會離開 HSM；它永遠不會寫入持久性儲存。

## 中的彈性最佳實務 AWS KMS
<a name="customer-action"></a>

若要最佳化 AWS KMS 資源的彈性，請考慮下列策略。
+ 若要支援備份和災難復原策略，請考慮*多區域金鑰*，它們是在一個 AWS 區域 中建立的 KMS 金鑰，並僅複寫至您指定的區域。使用多區域金鑰，您可以在 AWS 區域 （同一分割區內） 之間移動加密的資源，而無須暴露純文字，並在需要時在其任何目的地區域中解密資源。相關的多區域金鑰是可相互操作的，因為它們共用相同的金鑰資料和金鑰 ID，但它們具有獨立的金鑰策略來實現高解析度存取控制。如需詳細資訊，請參閱 [AWS KMS中的多區域金鑰](multi-region-keys-overview.md)。
+ 若要保護多租戶服務中的金鑰 AWS KMS，請務必使用存取控制，包括[金鑰政策和](key-policies.md) [IAM 政策](iam-policies.md)。此外，您可以使用採用 技術的 AWS KMS *VPC 介面端點*，將請求傳送至 AWS PrivateLink。當您這麼做時，Amazon VPC 和 之間的所有通訊 AWS KMS 都會完全在 AWS 網路中，使用僅限您 VPC 的專用 AWS KMS 端點進行。您可以透過使用 [VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)建立額外授權層來進一步保護這些請求。如需詳細資訊，請參閱[透過 VPC 端點連接至 AWS KMS](kms-vpc-endpoint.md)。