View a markdown version of this page

Mereplikasi AWS Kriptografi Pembayaran Kriptografi - AWS Kriptografi Pembayaran
Manfaat replikasi Multi-Region kunciCara Multi-Region kerja replikasi kunciPertimbangan dan batasanMengaktifkan replikasi Multi-Region kunciMenonaktifkan replikasi kunci Multi-RegionPertimbangan keamananPraktik terbaikHarga

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mereplikasi AWS Kriptografi Pembayaran Kriptografi

AWS Kriptografi Pembayaran mendukung replikasi Multi-Region kunci, memungkinkan Anda untuk mendistribusikan materi dan metadata kunci dengan aman dari Kunci Kriptografi AWS Pembayaran yang diberikan ke satu atau lebih Wilayah AWS dalam partisi dan akun yang sama. AWS

Kunci sumber dikenal sebagai kunci Wilayah Primer (PRK) dan tetap menjadi sumber otoritatif untuk semua aktivitas manajemen kunci sementara kunci PRK dan Replica Region (RRK) dapat digunakan untuk operasi kriptografi masing-masing. Wilayah AWS

Manfaat replikasi Multi-Region kunci

Berikut ini menguraikan beberapa manfaat replikasi Multi-Region kunci.

  • Pengaturan yang lebih mudah untuk aplikasi yang sangat tersedia - Kriptografi AWS Pembayaran menangani distribusi kunci untuk Anda sehingga Anda dapat menggunakan kunci dalam beberapa Wilayah AWS tanpa perlu membuat salinan terpisah dari kunci yang diberikan.

  • Ketersediaan tinggi dan kunci latensi rendah - Dengan replikasi Multi-Region kunci, Anda dapat mengakses kunci Anda dalam beberapa Wilayah AWS sehingga sangat tersedia, menghasilkan latensi yang lebih rendah.

  • Daya tahan material utama - Kunci Wilayah Replika adalah replika kunci lengkap dan dapat digunakan secara independen dari kunci Wilayah Primer mereka dalam operasi kriptografi. RRK menyediakan replika yang tahan lama jika terjadi kehilangan data PRK yang dahsyat.

Cara Multi-Region kerja replikasi kunci

Ketika replikasi Multi-Region kunci diaktifkan, layanan Kriptografi AWS Pembayaran menggunakan mekanisme distribusi kunci aman untuk menyalin materi kunci dan metadata ke replika yang Anda tentukan. Wilayah AWS Perubahan pada metadata kunci Wilayah Utama, seperti atribut kunci, status, dan pemberdayaan, secara otomatis direplikasi ke kunci Wilayah Replika.

Pertimbangan dan batasan

Berikut ini adalah beberapa batasan dan pertimbangan replikasi Multi-Region utama.

  • Anda harus mengaktifkan fitur ini untuk kunci Kriptografi Pembayaran Wilayah AWS atau tertentu.

    • Jika fitur ini diaktifkan untuk Wilayah AWS, semua kunci Kriptografi AWS Pembayaran yang dibuat setelah pengaktifan akan direplikasi ke yang ditentukan. Wilayah AWS Kunci yang dibuat di Wilayah ini akan menjadi kunci Wilayah Utama. Kunci yang ada di Wilayah ini tidak akan direplikasi secara otomatis. Anda dapat mengaktifkan replikasi Multi-Region kunci untuk kunci yang ada Wilayah AWS di dalam level kunci.

    • Masing-masing Wilayah AWS dapat memiliki pengaturan replikasi Multi-Region kunci yang unik.

    • Pengaturan Multi-Region replikasi kunci lebih diutamakan daripada pengaturan replikasi Wilayah AWS Multi-Region kunci.

  • Kunci Replica Region tidak dapat dikonfigurasi untuk mereplikasi ke yang lain. Wilayah AWS

  • Multi-Region replikasi kunci tersedia untuk kunci Kriptografi Pembayaran simetris seperti Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES), dan Hash-based Message Authentication Code (HMAC).

  • Kunci Kriptografi Pembayaran Asimetris tidak mendukung replikasi Multi-Region kunci.

  • Kunci Replica Region adalah kunci read-only. Semua perubahan pada kunci Wilayah Utama akan diterapkan ke kunci Wilayah Replika.

  • Perubahan kunci Wilayah Primer pada akhirnya konsisten dengan kunci Wilayah Replika.

  • Kunci Kriptografi Pembayaran hanya dapat direplikasi dengan AWS partisi dan akun yang sama.

  • Jumlah kunci Wilayah Replika terhadap batas Kriptografi AWS Pembayaran Akun AWS level Anda.

  • Kunci Wilayah Utama dan kunci Wilayah Replika menggunakan pengenal kunci yang sama yang memungkinkan Anda mereferensikan kedua kunci dengan ARN yang sama dalam kebijakan IAM.

  • Anda harus memiliki CreateKey izin dalam replika Wilayah AWS agar replikasi berhasil.

Mengaktifkan replikasi Multi-Region kunci

Ada dua cara Anda dapat mengaktifkan replikasi Multi-Region kunci untuk kunci Kriptografi AWS Pembayaran.

  1. Wilayah AWS: replikasi Multi-Region kunci diterapkan ke semua kunci baru yang dibuat Wilayah AWS saat diaktifkan. Metode ini memberikan replikasi yang konsisten untuk semua kunci.

  2. Kunci Kriptografi AWS Pembayaran Khusus: Anda dapat mengelola replikasi Multi-Region kunci untuk kunci individual yang memungkinkan tingkat kontrol yang lebih terperinci.

Setelah replikasi Multi-Region kunci diaktifkan, kunci Kriptografi Pembayaran Anda akan mereplikasi ke yang Anda tentukan. Wilayah AWS

penting

Multi-Region replikasi kunci tidak dapat dijeda. Kunci Anda secara otomatis direplikasi ke yang Wilayah AWS Anda tentukan setelah replikasi diaktifkan. Multi-Region replikasi kunci dapat dinonaktifkan untuk kunci tertentu Wilayah AWS atau Kriptografi Pembayaran. Anda harus menghapus Wilayah AWS sebagai wilayah replikasi dari kunci Wilayah Utama untuk menghapus kunci Wilayah Replika.

Atau, Anda dapat memanggil perintah StopKeyUsageAPI atau stop-key-usageCLI di PRK Anda untuk menghentikan penggunaan PRK dan semua RRK terkait. Anda tidak akan dapat menggunakan kunci ini dalam operasi kriptografi. Menggunakan perintah StopKeyUsage API atau stop-key-usage CLI tidak akan menghentikan replikasi Multi-Region kunci yang sedang berlangsung yang diaktifkan untuk PRK Anda.

Anda dapat memeriksa pengaturan replikasi Multi-Region kunci untuk kunci Kriptografi AWS Pembayaran secara spesifik Wilayah AWS dengan memanggil perintah GetDefaultKeyReplicationRegions API atau CLIget-default-key-replication-regions. Kunci di Wilayah AWS tempat Anda memanggil tindakan atau perintah API ini akan menjadi PRK Anda.

Gunakan prosedur berikut untuk mengaktifkan replikasi Multi-Region kunci.

For Wilayah AWS

  • Gunakan perintah berikut untuk mengaktifkan replikasi Multi-Region kunci untuk yang Wilayah AWS Anda tentukan. Dalam contoh ini, replikasi Multi-Region kunci diaktifkan di US East (Ohio) dan US West (Oregon). Untuk menggunakan perintah ini, ganti perintah italicized placeholder text in the example dengan informasi Anda sendiri.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
catatan

Mengaktifkan replikasi Multi-Region kunci untuk tidak Wilayah AWS akan mengubah konfigurasi replikasi kunci Kriptografi AWS Pembayaran yang ada. Anda dapat mengaktifkan fitur ini untuk kunci yang ada di tingkat kunci. Hanya kunci yang dibuat setelah replikasi Multi-Region kunci diaktifkan untuk yang Wilayah AWS akan menggunakan pengaturan replikasi wilayah.

For specific AWS Payment Cryptography keys

  • Gunakan perintah berikut untuk mengaktifkan replikasi Multi-Region kunci untuk kunci Kriptografi Pembayaran tertentu. Dalam contoh ini, replikasi Multi-Region kunci diaktifkan di US East (Ohio). Untuk menggunakan perintah ini, ganti perintah italicized placeholder text in the example dengan informasi Anda sendiri.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Atau, Anda dapat membuat kunci Kriptografi Pembayaran baru dengan fitur ini diaktifkan dengan memasukkan replikasi Wilayah AWS dalam permintaan kunci buat Anda.

catatan

Pengaturan replikasi kunci lebih diutamakan daripada pengaturan replikasi. Wilayah AWS

Menonaktifkan replikasi kunci Multi-Region

Jika Anda ingin menonaktifkan replikasi Multi-Region kunci, Anda dapat memanggil perintah disable-default-key-replication atau remove-key-replication-regions CLI, tergantung pada Multi-Region bagaimana replikasi kunci diaktifkan. Anda harus menentukan ARN kunci dan Wilayah AWS untuk menonaktifkan replikasi Multi-Region kunci.

Pertimbangan-pertimbangan

Penghapusan kunci wilayah replikasi akhirnya konsisten.

Anda dapat memeriksa pengaturan replikasi Multi-Region kunci untuk kunci Kriptografi AWS Pembayaran secara spesifik Wilayah AWS dengan memanggil perintah GetDefaultKeyReplicationRegions API atau CLIget-default-key-replication-regions.

Gunakan prosedur berikut untuk menonaktifkan replikasi Multi-Region kunci.

For Wilayah AWS

  • Gunakan perintah berikut untuk menonaktifkan replikasi Multi-Region kunci untuk yang Wilayah AWS Anda tentukan. Dalam contoh ini, replikasi Multi-Region kunci dinonaktifkan di US East (Ohio). Untuk menggunakan perintah ini, ganti perintah italicized placeholder text in the example dengan informasi Anda sendiri.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Gunakan perintah berikut untuk menonaktifkan replikasi Multi-Region kunci untuk kunci Kriptografi Pembayaran tertentu. Dalam contoh ini, replikasi Multi-Region kunci dinonaktifkan di US East (Ohio). Untuk menggunakan perintah ini, ganti perintah italicized placeholder text in the example dengan informasi Anda sendiri.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Pertimbangan keamanan

Berikut ini adalah pertimbangan keamanan saat menggunakan replikasi Multi-Region kunci untuk kunci Kriptografi Pembayaran Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk AWS Kriptografi Pembayaran.

  • Batasi berbagi materi utama.

  • Ikuti prinsip izin hak istimewa paling sedikit saat membuat kebijakan IAM.

  • Anda tidak dapat membuat perubahan pada kunci Replica Region karena ini adalah kunci hanya-baca.

Praktik terbaik

Berikut ini adalah beberapa praktik terbaik saat menggunakan replikasi Multi-Region kunci dengan kunci Kriptografi AWS Pembayaran.

  • Pastikan aplikasi Anda terus berfungsi meskipun replikasi Multi-Region kunci ke yang Wilayah AWS ditentukan tidak langsung. Jika Anda perlu tahu kapan replikasi Multi-Region kunci selesai, Anda dapat memantau dengan tindakan GetKeyAPI. Anda dapat memantau peristiwa replikasi kunci dengan AWS CloudTrail.

  • Uji dan terapkan proses penerapan otomatis jika terjadi kegagalan dari satu Wilayah ke Wilayah lain Wilayah AWS .

Harga

Anda dikenakan biaya untuk kunci Wilayah Replika yang Anda buat dengan Kriptografi AWS Pembayaran. Kunci-kunci ini dikenakan biaya per Wilayah AWS. Untuk informasi harga Kriptografi Pembayaran terbaru, lihat halaman harga Kriptografi AWS Pembayaran.