多地域密钥管理（Multi-region key） 功能允许用户在多个地理区域安全地创建、管理和使用主地域密钥的副本密钥，以提高数据可用性、容错性和合规性。该功能支持在不同区域中的主密钥和副本密钥可相互替换使用。每组关联的多区域密钥都具有相同的密钥材料，因此能够实现无需重新加密或跨区域调用 KMS API 的情况下，在不同的区域进行加密/解密操作。

多区域密钥可拆分为两类管理对象：主地域密钥、副本密钥，一组多地域密钥中，主地域密钥仅有一个，可支持将其他副本密钥切换为主密钥，副本密钥可以有多个，但一组多地域密钥中的副本密钥在单个地域中仅可创建一个。

一组多地域密钥的主地域密钥和副本密钥会存在下列共享属性，这些共享属性可看作是是主地域密钥的属性，与其副本密钥共享，系统会定期将主地域密钥的共享属性值同步到其副本密钥中，以下是多区域密钥的共享属性：

• 密钥环名称和密钥名称（密钥环/密钥 TRN的区域元素不同）

• 密钥材料

• 密钥材料来源

• 密钥规范和加密算法

• 密钥用途

• 自动密钥轮换：用户只能在主密钥上启用和禁用自动密钥轮换。

使用流程

1.创建支持跨地域同步的主密钥

支持用户在 KMS 控制台中或使用 Open API - 创建密钥 创建多地域密钥

1. 控制台创建

第一步：在密钥环详情页内，点击「新建密钥」按钮
第二步：打开跨地域同步开关，输入密钥别名

注意：

• 支持跨地域同步的密钥的别名，默认增加 mrk- 前缀，不可修改

• 跨地域同步的功能仅可在创建密钥时开启，若未在创建时开启，则后续无法开启该功能

2. Open API 创建

在调用 创建密钥 API时，需保证 MultiRegion 参数的值为 true，同时 Key name 参数需增加 mrk- 前缀

2. 创建备份密钥

第一步：进入密钥详情页，点击「跨区域密钥同步」tab页，点击「创建备份密钥」按钮
第二步：选择要创建备份密钥的地域，并输入对备份密钥的描述信息，并点击确定，创建完成

注意：

1. 不支持选择主密钥地域/已有备份密钥的地域

2. 选择未开通服务的地域会创建失败，需在完成地域开通后点击刷新按钮重新创建

3. 切换主地域

前提条件：该密钥已创建备份密钥
第一步：进入密钥详情页，点击「跨区域密钥同步」tab页，点击「切换主地域」按钮
第二步：选择要切换为主地域的原备份地域，并点击确定，则完成了主地域的切换，原本的主地域变更为备份地域