Creación de claves primarias de varias regiones - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de claves primarias de varias regiones

Puede crear una clave principal multirregional en la AWS KMS consola o mediante. AWS KMS API Puede crear la clave principal en cualquier Región de AWS lugar que AWS KMS admita claves multirregionales.

Para crear una clave principal multirregional, el director necesita los mismos permisos que necesita para crear cualquier KMS clave, incluido el CreateKey permiso kms: en una IAM política. El director también necesita el permiso iam: CreateServiceLinkedRole. Puede usar la clave de MultiRegionKeyType condición kms: para permitir o denegar el permiso para crear claves principales multirregionales.

nota

Al crear su clave principal multirregional, considere detenidamente los IAM usuarios y roles que seleccione para administrar y usar la clave. IAMlas políticas pueden dar permiso a otros IAM usuarios y roles para administrar la KMS clave.

IAMlas mejores prácticas desalientan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

Para crear una clave principal multirregional en la AWS KMS consola, utilice el mismo proceso que utilizaría para crear cualquier KMS clave. Seleccione una clave de varias regiones en Advanced options (Opciones avanzadas). Para obtener instrucciones completas, consulte Creación de una clave de KMS.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. Seleccione un tipo de clave simétrica o asimétrica. Las claves simétricas son las predeterminadas.

    Puede crear claves simétricas y asimétricas multirregionales, incluidas claves multirregionales HMACKMS, que son simétricas.

  6. Seleccione el uso de claves. Encrypt and decrypt (Cifrar y descifrar) es el valor predeterminado.

    Para obtener ayuda, consulte Creación de una clave de KMS, Crear una clave asimétrica KMS o Crear una HMAC KMS clave.

  7. Expanda Advanced options (Opciones avanzadas).

  8. En Origen del material clave, elija para AWS KMS generar el material clave que compartirán sus claves principal y réplica. KMS Si importa material de claves en las claves principal y de réplica, elija External (Import key material) Externo (material de claves importado).

  9. En Regionalidad, seleccione Clave de varias regiones.

    No puedes cambiar esta configuración después de crear la KMS clave.

  10. Escriba un alias para la clave principal.

    Los alias no son una propiedad compartida de claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas el mismo alias o alias diferentes. AWS KMS no sincroniza los alias de las claves multirregionales.

    nota

    Añadir, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave. KMS Para más detalles, consulte ABAC para AWS KMS y Utilice alias para controlar el acceso a las claves KMS.

  11. (Opcional) Escriba una descripción de la clave primaria.

    Las descripciones no son una propiedad compartida de las claves de varias regiones. Puedes dar a tu clave principal multirregional y a sus réplicas la misma descripción o descripciones diferentes. AWS KMS no sincroniza las descripciones clave de las claves multirregionales.

  12. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para asignar más de una etiqueta a la clave principal, elija Add tag (Agregar etiqueta).

    Las etiquetas no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas las mismas etiquetas o etiquetas diferentes. AWS KMS no sincroniza las etiquetas de las claves de varias regiones. Puede cambiar las etiquetas de las KMS teclas en cualquier momento.

    nota

    Etiquetar o desetiquetar una KMS clave puede permitir o denegar el permiso a la clave. KMS Para más detalles, consulte ABAC para AWS KMS y Utilice etiquetas para controlar el acceso a KMS las teclas.

  13. Seleccione los IAM usuarios y roles que pueden administrar la clave principal.

    Notas

    • Este paso inicia el proceso de creación de una política de claves para la clave principal. Las políticas de clave no son una propiedad compartida de las claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas la misma política clave o políticas clave diferentes. AWS KMS no sincroniza las políticas clave de las claves multirregionales. Puede cambiar la política de claves de una KMS clave en cualquier momento.

    • Al crear una clave principal multirregional, considere la posibilidad de utilizar la política de claves predeterminada generada por la consola. Si modificas esta política, la consola no proporcionará los pasos necesarios para seleccionar los administradores y usuarios clave al crear las réplicas de claves, ni añadirá las declaraciones de política correspondientes. Por lo tanto, tendrás que añadirlas manualmente.

    • La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración"Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  14. (Opcional) Para evitar que IAM los usuarios y roles seleccionados eliminen esta KMS clave, en la sección Eliminación de claves de la parte inferior de la página, desactive la casilla de verificación Permitir que los administradores de claves eliminen esta clave.

  15. Elija Next (Siguiente).

  16. Seleccione los IAM usuarios y roles que pueden usar la KMS clave para las operaciones criptográficas.

    Notas

    La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores "Allow use of the key" de la declaración y. "Allow attachment of persistent resources" La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  17. (Opcional) Puede permitir que otras personas Cuentas de AWS usen esta KMS clave para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS(Otras), elija Add another Cuenta de AWS(Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que los directores de las cuentas externas usen la KMS clave, los administradores de la cuenta externa deben crear IAM políticas que proporcionen estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  18. Elija Next (Siguiente).

  19. Revise las declaraciones de políticas clave para ver la clave. Para realizar cambios en la política clave, selecciona Editar.

  20. Elija Next (Siguiente).

  21. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  22. Seleccione Finalizar para crear la clave principal multirregional.

Para crear una clave principal multirregional, utilice la CreateKeyoperación. Utilice el parámetro MultiRegion con un valor de True.

Por ejemplo, el siguiente comando crea una clave principal multirregión en la persona que llama ( Región de AWS us-east-1). Acepta valores predeterminados para todas las demás propiedades, incluida la política de claves. Los valores predeterminados de las claves principales multirregionales son los mismos que los valores predeterminados de todas las demás KMS claves, incluida la política de claves predeterminada. Este procedimiento crea una clave de cifrado simétrica, la clave predeterminadaKMS.

La respuesta incluye el elemento MultiRegion y el elemento MultiRegionConfiguration con subelementos y valores típicos para una clave principal de varias regiones sin claves de réplica. La ID de clave de una clave de varias regiones siempre comienza con mrk-.

importante

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}