本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 多區域金鑰的運作方式 首先在 AWS 區域 AWS KMS 支援的 中建立對稱或非對稱[多區域主索引鍵](multi-region-keys-overview.md#mrk-primary-key),例如美國東部 (維吉尼亞北部)。只有在建立金鑰時,您才會決定是單一區域金鑰還是多區域金鑰;之後就無法變更此屬性。與任何 KMS 金鑰一樣,您可以設定多區域金鑰的金鑰政策,並建立授予,以及新增分類和授權的別名和標籤。(這些是[獨立屬性](multi-region-keys-overview.md#mrk-sync-properties),並未與其他金鑰共用或同步。) 您可以在密碼編譯操作中使用多區域主要金鑰進行加密或簽署。 您可以在 AWS KMS 主控台中[建立多區域主金鑰](create-primary-keys.md),或使用 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) API,並將 `MultiRegion` 參數設定為 `true`。請注意,多區域金鑰具有開頭為 `mrk-` 的獨特金鑰 ID。您可以使用 `mrk-` 字首,以程式設計方式識別 MRK。 ![具有多區域主索引鍵標籤的索引鍵圖示,以及開頭為 mrk- 字首的索引鍵 ID 範例。](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/multi-region-primary-key.png) 如果您選擇,您可以將多區域主索引鍵[複寫](multi-region-keys-overview.md#replicate)到相同[AWS 分割區](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) AWS 區域 中的一個或多個不同,例如歐洲 (愛爾蘭)。當您這樣做時, AWS KMS 會在指定的區域中建立[複本金鑰](multi-region-keys-overview.md#mrk-replica-key),其金鑰 ID 和其他[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)與主金鑰相同。其結果是兩個*相關*多區域金鑰 (主要金鑰和複本金鑰) 可以互換使用。 您可以在 AWS KMS 主控台或使用 [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) API [建立多區域複本金鑰](multi-region-keys-replicate.md)。 ![美國東部的多區域主索引鍵和歐洲西部的複本索引鍵,並顯示 KMS ARNs。](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/multi-region-replica-key.png) 由此產生的[多區域複本金鑰](multi-region-keys-overview.md#mrk-replica-key)是功能齊全的 KMS 金鑰,具有與主要金鑰相同的[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)。在所有其他方面,它是獨立的 KMS 金鑰,具有自己的描述、金鑰政策、授予、別名和標籤。啟用或停用多區域金鑰不會影響相關的多區域金鑰。您可以在密碼編譯操作中獨立使用主要金鑰和複本金鑰,或協調其使用。例如,您可以使用美國東部 (維吉尼亞北部) 區域的主要金鑰來加密資料、將資料移至歐洲 (愛爾蘭) 區域,然後使用複本金鑰來解密資料。 相關的多區域金鑰具有相同的金鑰 ID。其金鑰 ARN (Amazon Resource Name) 僅在區域字段中不同。例如,多區域主要金鑰和複本金鑰可能具有下列範例金鑰 ARN。金鑰 ID (金鑰 ARN 中的最後一個元素) 是相同的。兩個金鑰都有多區域金鑰的獨特金鑰 ID,開頭為 **mrk-**。 ``` Primary key: arn:aws:kms:{{us-east-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:{{eu-west-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab ``` 具有相同的金鑰 ID 才能交互操作。加密時, 會將 KMS 金鑰的金鑰 ID AWS KMS 繫結至加密文字,以便只能使用該 KMS 金鑰或具有相同金鑰 ID 的 KMS 金鑰解密加密文字。這項功能也讓相關的多區域金鑰易於識別,並且可以更輕鬆地對其進行互換使用。例如,在應用程式中使用時,您可以透過其共用金鑰 ID 來引用相關的多區域金鑰。然後,如有必要,請指定區域或 ARN 來區分這些金鑰。 隨著您的資料需求變更,您可以將主索引鍵複寫到相同分割區 AWS 區域 中的其他 ,例如美國西部 (奧勒岡) 和亞太區域 (雪梨)。其結果是具有相同金鑰材料和金鑰 ID 的四個*相關*多區域金鑰,如下圖所示。您可以獨立管理金鑰。對於具有匯入金鑰材料的多區域金鑰,您必須負責個別將金鑰材料匯入每個相關金鑰。您可以獨立或以協調的方式使用這些金鑰。例如,您可以使用亞太區域 (雪梨) 中的複本金鑰來加密資料、將資料移至美國西部 (奧勒岡),然後使用美國西部 (奧勒岡) 的複本金鑰來解密資料。 ![多區域金鑰中的主要金鑰和複本金鑰](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/multi-region-keys.png) 多區域金鑰的其他考量包括下列各項。 *同步共用屬性* — 如果多區域金鑰的[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)變更, AWS KMS 會自動將變更從[主金鑰](multi-region-keys-overview.md#mrk-primary-key)同步到其所有[複本金鑰](multi-region-keys-overview.md#mrk-replica-key)。您無法請求或強制同步共用屬性。 會為您 AWS KMS 偵測和同步所有變更。不過,您可以使用 CloudTrail 日誌中的 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) 事件稽核同步。 例如,如果您在具有`AWS_KMS`原始伺服器的對稱多區域主金鑰上啟用自動金鑰輪換, 會將該設定 AWS KMS 複製到其所有複本金鑰。輪換金鑰材料時,所有相關多區域金鑰之間的輪換會同步,因此其仍然具有相同的當前金鑰材料,並存取所有舊版的金鑰材料。如果您建立新的複本金鑰,則該金鑰具有與所有相關多區域金鑰相同的當前金鑰材料,並可存取所有舊版金鑰材料。如需詳細資訊,請參閱[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)。 *變更主要金鑰* – 每組多區域金鑰必須只有一個主要金鑰。[主要金鑰](multi-region-keys-overview.md#mrk-primary-key)是唯一可以複寫的金鑰。它也是其複本金鑰共用屬性的來源。但是您可以將主要金鑰變更為複本,並將其中一個複本金鑰升級為主要金鑰。您可以這樣做,以便您可以從特定區域刪除多區域主要金鑰,或者在更接近專案管理員的區域找到主要金鑰。如需詳細資訊,請參閱[變更一組多區域金鑰中的主金鑰](multi-region-update.md)。 *刪除多區域金鑰* — 如同所有 KMS 金鑰,您必須先排程刪除多區域金鑰,才能將其 AWS KMS 刪除。當金鑰正在等待刪除時,您無法在任何密碼編譯操作中使用金鑰。不過,在刪除其所有複本金鑰之前, AWS KMS 不會刪除多區域主金鑰。如需詳細資訊,請參閱[Deleting multi-Region keys](deleting-keys.md#deleting-mrks)。