Vorteile der Schlüsselreplikation Multi-Region Multi-Region So funktioniert die Schlüsselreplikation Einschränkungen und Überlegungen Aktivierung der Multi-Region Schlüsselreplikation Deaktivierung der Schlüsselreplikation Multi-Region Sicherheitsüberlegungen Best Practices Preisgestaltung

Kryptografie-Schlüssel für Zahlungen werden repliziert AWS

AWS Payment Cryptography unterstützt die Multi-Region Schlüsselreplikation, sodass Sie Schlüsselmaterial und Metadaten von einem beliebigen AWS Payment Cryptography Key sicher an einen oder mehrere AWS-Regionen innerhalb derselben AWS Partition und desselben Kontos verteilen können.

Der Quellschlüssel wird als primärer Regionsschlüssel (PRK) bezeichnet und bleibt die maßgebliche Quelle für alle Schlüsselverwaltungsaktivitäten, während sowohl der PRK- als auch der Replica Region Key (RRK) für kryptografische Operationen in ihren jeweiligen Ländern verwendet werden können. AWS-Regionen

Vorteile der Schlüsselreplikation Multi-Region

Im Folgenden werden einige Vorteile der Multi-Region Schlüsselreplikation beschrieben.

Einfachere Einrichtung für Anwendungen mit hoher Verfügbarkeit: AWS Payment Cryptography übernimmt die Schlüsselverteilung für Sie, sodass Sie einen Schlüssel mehrfach verwenden können, AWS-Regionen ohne entkoppelte Kopien eines bestimmten Schlüssels erstellen zu müssen.
Schlüssel mit hoher Verfügbarkeit und niedriger Latenz — Mit der Multi-Region Schlüsselreplikation können Sie mehrfach auf Ihre Schlüssel zugreifen, AWS-Regionen wodurch sie hochverfügbar sind, was zu einer geringeren Latenz führt.
Haltbarkeit von Schlüsselmaterialien — Bei den Regionsschlüsseln von Replica handelt es sich um vollständige Schlüsselreplikate, die unabhängig von ihrem primären Regionsschlüssel für kryptografische Operationen verwendet werden können. Ein RRK bietet ein langlebiges Replikat für den Fall eines katastrophalen Datenverlusts eines PRK.

Multi-Region So funktioniert die Schlüsselreplikation

Wenn die Multi-Region Schlüsselreplikation aktiviert ist, verwendet der AWS Payment Cryptography Service sichere Schlüsselverteilungsmechanismen, um Schlüsselmaterial und Metadaten in das von AWS-Regionen Ihnen angegebene Replikat zu kopieren. Änderungen an Schlüsselmetadaten für eine primäre Region, wie z. B. Schlüsselattribute, Status und Aktivierung, werden automatisch auf die Schlüssel der Replikatregion repliziert.

Einschränkungen und Überlegungen

Im Folgenden sind einige Multi-Region wichtige Einschränkungen und Überlegungen zur Replikation aufgeführt.

Sie müssen diese Funktion entweder für einen AWS-Region oder für bestimmte Schlüssel zur Zahlungskryptografie aktivieren.
- Wenn diese Funktion für eine aktiviert ist AWS-Region, werden alle nach der Aktivierung erstellten AWS Zahlungskryptografie-Schlüssel auf die angegebenen repliziert. AWS-Region In dieser Region erstellte Schlüssel werden zu primären Regionsschlüsseln. Bestehende Schlüssel in dieser Region werden nicht automatisch repliziert. Sie können die Multi-Region Schlüsselreplikation für bestehende Schlüssel innerhalb oder AWS-Region auf Schlüsselebene aktivieren.
- Jeder AWS-Region kann eigene Einstellungen für die Multi-Region Schlüsselreplikation haben.
- Die Multi-Region Replikationseinstellungen eines Schlüssels haben Vorrang vor den Einstellungen für die AWS-Region Multi-Region Schlüsselreplikation.
Ein Schlüssel für die Replikatregion kann nicht so konfiguriert werden, dass er auf einen anderen repliziert wird. AWS-Regionen
Multi-Region Die Schlüsselreplikation ist für symmetrische Zahlungskryptografie-Schlüssel wie Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES) und Hash-based Message Authentication Code (HMAC) verfügbar.
Schlüssel zur asymmetrischen Zahlungskryptografie unterstützen keine Schlüsselreplikation. Multi-Region
Der Schlüssel für die Replikatregion ist schreibgeschützt. Alle Änderungen am Schlüssel für die primäre Region werden auf die Schlüssel für die Replikatregion angewendet.
Die Änderungen an den Schlüsseln für die primäre Region stimmen letztendlich mit den Regionsschlüsseln der Replikatregion überein.
Kryptografie-Schlüssel für Zahlungen können nur mit derselben AWS Partition und demselben Konto repliziert werden.
Die Anzahl der replizierten Regionsschlüssel wird auf Ihr Limit für AWS-Konto AWS Zahlungskryptografie angerechnet.
Der Schlüssel für die primäre Region und der Schlüssel für die Replikatregion verwenden dieselbe Schlüssel-ID, sodass Sie in IAM-Richtlinien auf beide Schlüssel mit demselben ARN verweisen können.
Sie müssen über CreateKey Berechtigungen für das Replikat verfügen, damit die Replikation AWS-Region erfolgreich ist.

Aktivierung der Multi-Region Schlüsselreplikation

Es gibt zwei Möglichkeiten, die Multi-Region Schlüsselreplikation für AWS Payment Cryptography Keys zu aktivieren.

AWS-Region: Die Multi-Region Schlüsselreplikation wird auf alle neu erstellten Schlüssel angewendet, AWS-Region wenn sie aktiviert ist. Diese Methode ermöglicht eine konsistente Replikation für alle Schlüssel.
Spezifische kryptografische Schlüssel für AWS Zahlungen: Sie können die Multi-Region Schlüsselreplikation für einzelne Schlüssel verwalten und so eine detailliertere Kontrolle ermöglichen.

Sobald die Multi-Region Schlüsselreplikation aktiviert ist, werden Ihre Payment Cryptography Keys auf die von Ihnen angegebenen Werte repliziert. AWS-Regionen

Wichtig

Multi-Region Die Schlüsselreplikation kann nicht angehalten werden. Sobald die Replikation aktiviert ist, werden Ihre Schlüssel automatisch auf den von AWS-Regionen Ihnen angegebenen Wert repliziert. Multi-Region Die Schlüsselreplikation kann für einen bestimmten Schlüssel AWS-Region oder für Payment Cryptography deaktiviert werden. Sie müssen den Schlüssel AWS-Region als Replikationsregion aus dem Schlüssel für die primäre Region entfernen, um den Schlüssel für die Replikatregion zu löschen.

Alternativ können Sie den StopKeyUsageAPI- oder stop-key-usageCLI-Befehl auf Ihrem PRK aufrufen, um die Verwendung sowohl des PRK als auch aller zugehörigen RRKs zu beenden. Sie können diese Schlüssel nicht für kryptografische Operationen verwenden. Durch die Verwendung eines StopKeyUsage API- oder stop-key-usage CLI-Befehls wird die laufende Multi-Region Schlüsselreplikation, die für Ihr PRK aktiviert ist, nicht gestoppt.

Sie können die Multi-Region Schlüsselreplikationseinstellungen für AWS Payment Cryptography-Schlüssel in einem bestimmten Fall überprüfen, AWS-Region indem Sie den GetDefaultKeyReplicationRegions API- oder get-default-key-replication-regions CLI-Befehl aufrufen. Die Schlüssel in dem Bereich AWS-Region , in dem Sie diese API-Aktion oder diesen API-Befehl aufrufen, werden zu Ihrem PRK.

Verwenden Sie die folgenden Verfahren, um die Multi-Region Schlüsselreplikation zu aktivieren.

For AWS-Region

Verwenden Sie den folgenden Befehl, um die Multi-Region Schlüsselreplikation für einen von AWS-Region Ihnen angegebenen zu aktivieren. In diesem Beispiel ist die Multi-Region Schlüsselreplikation in USA Ost (Ohio) und USA West (Oregon) aktiviert. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.
```
aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
```

Anmerkung

Durch die Aktivierung der Multi-Region Schlüsselreplikation für eine AWS-Region wird die Replikationskonfiguration vorhandener AWS Payment Cryptography Keys nicht geändert. Sie können diese Funktion für vorhandene Schlüssel auf Schlüsselebene aktivieren. Nur Schlüssel, die nach der Aktivierung der Multi-Region Schlüsselreplikation für erstellt wurden, verwenden die regionalen Replikationseinstellungen. AWS-Region

For specific AWS Payment Cryptography keys

Verwenden Sie den folgenden Befehl, um die Multi-Region Schlüsselreplikation für bestimmte Payment Cryptography-Schlüssel zu aktivieren. In diesem Beispiel ist die Multi-Region Schlüsselreplikation in USA East (Ohio) aktiviert. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.
```
aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2
```

Alternativ können Sie einen neuen Payment Cryptography Key erstellen, bei dem diese Funktion aktiviert ist, indem Sie die Replikation AWS-Regionen in Ihre Anfrage zur Schlüsselerstellung aufnehmen.

Anmerkung

Die Einstellungen für die Schlüsselreplikation haben Vorrang vor der AWS-Region Replikationseinstellung.

Deaktivierung der Schlüsselreplikation Multi-Region

Wenn Sie die Multi-Region Schlüsselreplikation deaktivieren möchten, können Sie entweder die Befehle disable-default-key-replication oder die remove-key-replication-regions CLI aufrufen, je nachdem, wie die Multi-Region Schlüsselreplikation aktiviert ist. Sie müssen den ARN des Schlüssels angeben und die, AWS-Region um die Multi-Region Schlüsselreplikation zu deaktivieren.

Überlegungen

Das Löschen von Schlüsseln für die Replikationsregion ist letztendlich konsistent.

Verwenden Sie die folgenden Verfahren, um die Multi-Region Schlüsselreplikation zu deaktivieren.

Sicherheitsüberlegungen

Im Folgenden finden Sie Sicherheitsaspekte bei der Verwendung der Multi-Region Schlüsselreplikation für Ihre Payment Cryptography Keys. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für AWS Zahlungskryptografie.

Beschränken Sie die gemeinsame Nutzung von Schlüsselmaterialien.
Halten Sie sich bei der Erstellung von IAM-Richtlinien an das Prinzip der Berechtigungen mit den geringsten Rechten.
Sie können keine Änderungen am Schlüssel für die Replikatregion vornehmen, da es sich um einen schreibgeschützten Schlüssel handelt.

Best Practices

Im Folgenden finden Sie einige bewährte Methoden für die Verwendung der Multi-Region Schlüsselreplikation mit AWS Payment Cryptography-Schlüsseln.

Stellen Sie sicher, dass Ihre Anwendung auch dann weiterhin funktioniert, wenn die Multi-Region Schlüsselreplikation auf das angegebene Objekt nicht sofort AWS-Region erfolgt. Wenn Sie wissen möchten, wann die Multi-Region Schlüsselreplikation abgeschlossen ist, können Sie dies mithilfe der GetKeyAPI-Aktion überwachen. Sie können wichtige Replikationsereignisse mit überwachen AWS CloudTrail.
Testen und implementieren Sie automatisierte Bereitstellungsprozesse für den Fall eines Failovers von einer AWS-Region Region in eine andere.

Preisgestaltung

Ihnen werden replizierte Regionsschlüssel in Rechnung gestellt, die Sie mit AWS Payment Cryptography erstellen. Diese Schlüssel werden pro berechnet. AWS-Region Die neuesten Preisinformationen für Payment Cryptography finden Sie auf der Preisseite für AWS Payment Cryptography.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktivieren und Deaktivieren von -Schlüsseln

Löschen von -Schlüsseln