本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的多區域金鑰 AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS 支援*多區域金鑰*，這些金鑰 AWS KMS keys 位於不同的 AWS 區域 中，可以互換使用 – 就像您在多個區域中擁有相同的金鑰一樣。每組*相關的*多區域金鑰都有相同的金鑰材料和[金鑰 ID](concepts.md#key-id-key-id)，因此您可以加密一個 中的資料 AWS 區域 ，並在不同的 中解密資料， AWS 區域 而無需重新加密或進行跨區域呼叫 AWS KMS。

如同所有 KMS 金鑰，多區域金鑰永遠不會保持 AWS KMS 未加密狀態。您可以建立對稱或非對稱多區域金鑰以進行加密或簽署，或是建立 HMAC 多區域金鑰以產生和驗證 HMAC 標籤，或是建立[含有匯入金鑰資料或 AWS KMS 產生之金鑰資料的多區域金鑰](importing-keys.md)。您必須獨立管理每個多區域金鑰，包括建立別名和標籤、設定其金鑰政策和授予，以及選擇性地將其啟用和停用。您可以在所有可以使用單一區域金鑰執行的密碼編譯操作中使用多區域金鑰。

多區域金鑰是靈活且強大的解決方案，適用於許多常見的資料安全案例。

**災難復原 **  
在備份和復原架構中，多區域金鑰可讓您在不中斷的情況下處理加密的資料，即使發生 AWS 區域 中斷也一樣。備份區域中維護的資料可以在備份區域中解密，備份區域中新加密的資料可以在主要區域 (當該區域還原時) 中解密。

**全域資料管理**  
全球營運的企業需要全球分散式資料，這些資料可一致地跨 AWS 區域提供。您可以在資料所在的所有區域中建立多區域金鑰，然後將金鑰當作單一區域金鑰使用，以避免跨區域呼叫的延遲，或是在每個區域中不同金鑰下重新加密資料的成本。

**分散式簽署應用程式**  
需要跨區域簽章功能的應用程式可以使用多區域非對稱簽署金鑰，在不同 AWS 區域中一致且重複地產生相同的數位簽章。  
如果您將憑證鏈結與單一全域信任存放區 (針對單一根憑證授權機構 (CA)) 和根 CA 簽署的區域中繼 CA，則不需要多區域金鑰。不過，如果您的系統不支援中繼 CA (例如應用程式簽署)，則可以使用多區域金鑰來為區域認證提供一致性。

**跨越多個區域的主動-主動應用程式**  
某些工作負載和應用程式可以跨越主動-主動架構中的多個區域。對於這些應用程式，透過為針對可能跨區域邊界移動之資料的同時加密和解密操作提供相同的金鑰材料，多區域金鑰可以降低複雜性。

您可以搭配用戶端加密程式庫使用多區域金鑰，例如 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)、[AWS 資料庫加密 SDK](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) 和 [Amazon S3 用戶端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)。

[AWS 與 整合以進行靜態加密或數位簽章的大多數 服務 AWS KMS](https://aws.amazon.com/kms/features/)，目前會將多區域金鑰視為單一區域金鑰。例如，Amazon S3 跨區域複寫會解密並重新加密用於加密目的地區域中 KMS 金鑰下物件資料的資料金鑰，即使兩個區域中的 KMS 金鑰都是相關的多區域金鑰。請參閱服務特定的文件，以了解服務如何複寫加密的資料，以及是否以不同的方式處理多區域金鑰。

多區域金鑰不適用於全域。您建立多區域主要金鑰，然後將其複寫到您在 [AWS 分割區](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)內選取的區域中。然後，您可以獨立管理每個區域中的多區域金鑰。 AWS AWS KMS 永遠不會代表您自動將多區域金鑰建立或複寫到任何區域。 [AWS 受管金鑰](concepts.md#aws-managed-key)是 AWS 服務在您帳戶中為您建立的 KMS 金鑰，一律是單一區域金鑰。

在中國區域中，您可以使用多區域金鑰功能，在中國區域分割區 () 中複寫 KMS 金鑰`aws-cn`。例如，您可以將金鑰從中國 （北京） 區域複寫到中國 （寧夏） 區域，或反向複寫。透過將金鑰從一個中國區域複寫到另一個中國區域，您同意使用 AWS Key Management Service 目的地區域的 ，並遵守目的地區域的所有適用協議條款。您無法將金鑰從北京和寧夏區域複寫到中國區域分割區 AWS 以外的區域。同樣地，您無法將金鑰從中國區域分區以外的區域複寫到北京和寧夏區域。

您無法將現有的單一區域金鑰轉換為多區域金鑰。此設計可確保所有受現有單一區域金鑰保護的資料都維持相同的資料落地和資料主權屬性。

對於大多數資料安全需求，區域資源的區域隔離和容錯能力使標準 AWS KMS 單一區域金鑰成為最適合的解決方案。不過，當您需要跨多個區域加密或簽署用戶端應用程式中的資料時，多區域金鑰可能就是解決方案。



**區域**

支援的所有 AWS KMS 都支援多區域金鑰 AWS 區域 。

**定價和配額**

一組相關多區域金鑰中的每個金鑰都會計為一個 KMS 金鑰，用於定價和配額。[AWS KMS 配額](limits.md)會針對帳戶的每個區域個別計算。在每個區域中使用和管理多區域金鑰會計為該區域的配額。

**支援的 KMS 金鑰類型**

您可以建立以下類型的多區域 KMS 金鑰：
+ 對稱加密 KMS 金鑰
+ 非對稱 KMS 金鑰
+ HMAC KMS 金鑰
+ 包含匯入金鑰資料的 KMS 金鑰

您無法在自訂金鑰存放區建立多區域金鑰。

**進一步了解**
+ 若要了解如何控制對多區域 KMS 金鑰的存取，請參閱 [控制對多區域金鑰的存取](multi-region-keys-auth.md)。
+ 若要建立任何類型的多區域主要 KMS 金鑰，請參閱 [建立多區域主索引鍵](create-primary-keys.md)。
+ 若要建立多區域複本 KMS 金鑰，請參閱 [建立多區域複本金鑰](multi-region-keys-replicate.md)。
+ 若要更新主要區域，請參閱 [變更一組多區域金鑰中的主金鑰](multi-region-update.md)。
+ 若要識別和檢視多區域 KMS 金鑰，請參閱 [識別 HMAC KMS 金鑰](identify-key-types.md#hmac-view)。
+ 若要了解刪除多區域 KMS 金鑰的特殊考量，請參閱 [Deleting multi-Region keys](deleting-keys.md#deleting-mrks)。

## 術語與概念
<a name="multi-region-concepts"></a>

下列術語和概念與多區域金鑰搭配使用。

### 多區域金鑰
<a name="multi-Region-concept"></a>

*多區域金鑰*是在不同 AWS 區域中具有相同金鑰 ID 和金鑰材料 (以及其他[共用屬性](#mrk-replica-key)) 的一組 KMS 金鑰之一。每個多區域金鑰都是功能完善的 KMS 金鑰，可完全獨立於其相關的多區域金鑰之外使用。由於所有*相關的*多區域金鑰都具有相同的金鑰 ID 和金鑰材料，因此它們*可以互通*，也就是說，任何 中的任何相關多區域金鑰 AWS 區域 都可以解密任何其他相關多區域金鑰加密的加密文字。

您在建立 KMS 金鑰時會設定其多區域屬性。您無法在現有金鑰上變更多區域屬性。您無法將單一區域金鑰轉換為多區域金鑰，或將多區域金鑰轉換為單一區域金鑰。若要將現有的工作負載移至多區域案例，您必須重新加密資料，或使用新的多區域金鑰建立新的簽章。

多區域金鑰可以是[對稱或非對稱](symmetric-asymmetric.md)，而且可以使用 AWS KMS 金鑰材料或[匯入的金鑰材料](importing-keys.md)。您無法在[自訂金鑰存放區](key-store-overview.md#custom-key-store-overview)建立多區域金鑰。

在一組相關的多區域金鑰中，任何時候都只有一個[主要金鑰](#mrk-primary-key)。您可以在其他 AWS 區域建立該主要金鑰的[複本金鑰](#mrk-replica-key)。您也可以[更新主要區域](multi-region-update.md#update-primary-console)，它會將主要金鑰變更為複本金鑰，並將指定的複本金鑰變更為主要金鑰。不過，每個 只能維護一個主索引鍵或複本索引鍵 AWS 區域。所有區域必須在相同的 [AWS 分割區](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)中。

您可以在相同或不同的 AWS 區域中擁有多組相關的多區域金鑰。雖然相關的多區域金鑰可互通操作，但不相關的多區域金鑰無法互通操作。

### 主索引鍵
<a name="mrk-primary-key"></a>

多區域*主金鑰*是 KMS 金鑰，可以複寫到相同分割區 AWS 區域 中的其他 。每組多區域金鑰只有一個主要金鑰。

主要金鑰與複本金鑰有下列幾點不同之處：
+ 只有主要金鑰可以[複寫](multi-region-keys-replicate.md)。
+ 主要金鑰是其[複本金鑰](#mrk-replica-key)之[共用屬性](#mrk-replica-key)的來源，包括金鑰資料和金鑰 ID。
+ 您可以僅針對主要金鑰啟用和停用[自動金鑰輪換](rotate-keys.md)。
+ 您可以隨時[排程刪除主要金鑰](deleting-keys.md#deleting-mrks)。但在刪除其所有複本金鑰之前， AWS KMS 不會刪除主要金鑰。

不過，主要和複本金鑰在任何密碼編譯屬性中都沒有差異。您可以互換使用主要金鑰及其複本金鑰。

您不需要複寫主要金鑰。您可以像使用任何 KMS 金鑰一樣使用它，並在有用時對其進行複寫。不過，由於多區域金鑰與單一區域金鑰具有不同的安全屬性，建議您只在計劃複寫時建立多區域金鑰。

### 複本金鑰
<a name="mrk-replica-key"></a>

多區域*複本金鑰*是 KMS 金鑰，其[金鑰 ID](concepts.md#key-id-key-id) 和金鑰材料與其[主要金鑰](#mrk-primary-key)和相關複本金鑰相同，但存在於不同的 中 AWS 區域。

複本金鑰是功能完善的 KMS 金鑰，具有自己的金鑰政策、授予、別名、標籤和其他屬性。它不是主要金鑰或任何其他金鑰的指標複本。您可以使用複本金鑰，即使其主要金鑰和所有相關的複本金鑰已停用。您也可以將複本金鑰轉換為主要金鑰，將主要金鑰轉換為複本金鑰。建立後，複本金鑰僅依賴其主要金鑰進行[金鑰輪換](rotate-keys.md#multi-region-rotate)和[更新主要區域](multi-region-update.md)。

主要和複本金鑰在任何密碼編譯屬性中都沒有差異。您可以互換使用主要金鑰及其複本金鑰。透過主要金鑰或複本金鑰加密的資料可以透過相同的金鑰或任何相關的主要金鑰或複本金鑰進行解密。

### 複寫
<a name="replicate"></a>

您可以將多區域[主索引鍵](#mrk-primary-key)*複寫*到相同分割區 AWS 區域 中的不同 。當您這麼做時， 會在指定的區域中 AWS KMS 建立多區域[複本金鑰](#mrk-replica-key)，其[金鑰 ID](concepts.md#key-id-key-id) 和其他[共用屬性](#mrk-sync-properties)與其主金鑰相同。對於具有`AWS_KMS`原始伺服器的 KMS 金鑰， 會 AWS KMS 安全地跨區域界限傳輸金鑰材料，並將其與新的複本金鑰建立關聯，全部都在其中 AWS KMS。對於具有`EXTERNAL`原始伺服器的 KMS 金鑰，您必須匯入匯入主要區域金鑰的相同金鑰材料，以個別連接複本區域金鑰。

### 共用屬性
<a name="mrk-sync-properties"></a>

*共用屬性*是與其複本金鑰共用之多區域主要金鑰的屬性。 會 AWS KMS 建立具有與主要金鑰相同共用屬性值的複本金鑰。然後，它會定期將主要金鑰的共用屬性值同步至其複本金鑰。您無法在複本金鑰上設定這些屬性。

以下是多區域金鑰的共用屬性。
+ [金鑰 ID](concepts.md#key-id-key-id) – ([金鑰 ARN](concepts.md#key-id-key-ARN) 的 `Region` 元素有所不同。)
+ [金鑰材料](create-keys.md#key-origin) — 一組相關多區域金鑰中的主要和複本金鑰共用相同的金鑰材料。對於金鑰材料是由 AWS KMS (`AWS_KMS`原始伺服器） 產生的多區域金鑰， 會在複本建立時或透過自動或隨需輪換建立新的金鑰材料時， AWS KMS 安全地將所有金鑰材料從主要 傳輸到每個複本。對於具有匯入金鑰材料 (`EXTERNAL` 原始伺服器） 的多區域金鑰， 會從主金鑰 AWS KMS 同步金鑰材料識別符，但您必須將金鑰材料單獨匯入每個複本金鑰。
+ [金鑰資料來源](create-keys.md#key-origin)
+ [金鑰規格](create-keys.md#key-spec)和加密演算法
+ [金鑰用途](create-keys.md#key-usage)
+ [自動金鑰輪換](rotating-keys-enable.md) – 您可以僅針對主要金鑰啟用和停用自動金鑰輪換。使用共用金鑰材料的所有版本建立新的複本金鑰。如需詳細資訊，請參閱[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)。
+ 隨[需輪](rotating-keys-on-demand.md)換 — 您只能在主索引鍵上執行隨需輪換。對於金鑰材料由 AWS KMS (`AWS_KMS`原始伺服器） 產生的多區域金鑰， 會使用共用金鑰材料的所有版本 AWS KMS 建立複本金鑰。對於具有匯入金鑰材料 (`EXTERNAL` 原始伺服器） 的多區域金鑰， 會將金鑰材料 ID 和金鑰材料描述從主要金鑰 AWS KMS 傳播到複本金鑰，但不傳播金鑰材料。您必須個別將正確的金鑰材料匯入每個複本金鑰。如需詳細資訊，請參閱[Rotating multi-Region keys](rotate-keys.md#multi-region-rotate)。

您也可以將相關多區域金鑰的主要和複本指定視為共用屬性。當您[建立新的複本金鑰](#mrk-replica-key)或[更新主金鑰](multi-region-update.md#update-primary-console)時， 會將變更 AWS KMS 同步至所有相關多區域金鑰。完成這些變更後，所有相關的多區域金鑰都會準確地列出其主要金鑰和複本金鑰。

多區域金鑰的所有其他屬性都是*獨立的屬性*，包括金鑰描述、[金鑰政策](key-policies.md)、[授予](grants.md)、[啟用和停用的金鑰狀態](enabling-keys.md)、[別名](kms-alias.md)和[標籤](tagging-keys.md)。您可以在所有相關的多區域金鑰上為這些屬性設定相同的值，但是如果您變更獨立屬性的值，則 AWS KMS 不會將其同步。

您可以追蹤多區域金鑰之共用屬性的同步。在您的 AWS CloudTrail 日誌中，尋找 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) 事件。