Replikationsprozess für Schlüssel mit mehreren Regionen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Replikationsprozess für Schlüssel mit mehreren Regionen

AWS KMS verwendet einen regionsübergreifenden Replikationsmechanismus, um das Schlüsselmaterial in einem KMS Schlüssel von einem HSM HSM in einen anderen AWS-Region AWS-Region zu kopieren. Damit dieser Mechanismus funktioniert, muss es sich bei dem KMS Schlüssel, der repliziert wird, um einen Schlüssel mit mehreren Regionen handeln. Bei der Replikation eines KMS Schlüssels von einer Region HSMs in eine andere können die Regionen nicht direkt kommunizieren, da sie sich in isolierten Netzwerken befinden. Stattdessen werden die während der regionsübergreifenden Replikation ausgetauschten Nachrichten von einem Proxyservice übermittelt.

Bei der regionsübergreifenden Replikation AWS KMS HSM wird jede von einem generierte Nachricht mithilfe eines Replikationssignaturschlüssels kryptografisch signiert. Replikationssignaturschlüssel (RSKs) sind ECDSA Schlüssel auf der NIST P-384-Kurve. Jede Region besitzt mindestens eineRSK, und die öffentliche Komponente jeder Region RSK wird mit allen anderen Regionen in derselben AWS Partition gemeinsam genutzt.

Der regionsübergreifende Replikationsprozess zum Kopieren von Schlüsselmaterial von Region A nach Region B funktioniert folgendermassen:

  1. Der Wert HSM in Region B generiert einen kurzlebigen ECDH Schlüssel auf der NIST P-384-Kurve, den Replication Agreement Key B (). RAKB Die öffentliche Komponente von RAKB wird vom Proxydienst an eine HSM in Region A gesendet.

  2. Die Komponente HSM in Region A empfängt die öffentliche Komponente von RAKB und generiert dann einen weiteren kurzlebigen ECDH Schlüssel auf der NIST P-384-Kurve, den Replication Agreement Key A (). RAKA Der HSM führt das ECDH Schlüsselerstellungsschema RAKA und die öffentliche Komponente von aus und leitet aus der Ausgabe einen symmetrischen Schlüssel abRAKB, den Replication Wrapping Key (). RWK Der RWK wird verwendet, um das Schlüsselmaterial des multiregionalen Schlüssels zu verschlüsseln, der KMS repliziert wird.

  3. Die öffentliche Komponente von RAKA und das mit dem verschlüsselte Schlüsselmaterial RWK werden über den Proxydienst an die HSM in Region B gesendet.

  4. Der HSM in Region B empfängt die öffentliche Komponente von RAKA und das Schlüsselmaterial wird mit dem verschlüsseltRWK. Das HSM ergibt sich aus RWK der Ausführung des ECDH Schlüsseleinrichtungssystems RAKB und der öffentlichen Komponente vonRAKA.

  5. Die HSM in Region B verwenden dieRWK, um das Schlüsselmaterial aus Region A zu entschlüsseln.