Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Funcionamiento de las claves de varias regiones
Comienza por crear una clave principal de varias regiones en simétrica o asimétrica en una Región de AWS que AWS KMS admita, tales como EE. UU. Este (Norte de Virginia). Usted decide si una clave es de una región o de varias regiones únicamente cuando la crea; no puede cambiar esta propiedad más adelante. Al igual que con cualquier clave KMS, debe establecer una política de clave para la clave de varias regiones, y se pueden crear concesiones y agregar alias y etiquetas para la categorización y autorización. (Estas son propiedades independientes que no están compartidas ni sincronizadas con otras claves). Puede utilizar la clave principal de varias regiones en operaciones criptográficas para el cifrado o la firma.
Puede crear una clave principal de varias regiones en la consola de AWS KMS o mediante la API CreateKey con el parámetro MultiRegion establecido en true. Observe que las claves de varias regiones tienen un ID de clave distintivo que comienza con mrk-. Puede utilizar el prefijo mrk- para identificar los MRK mediante programación.
Si lo prefiere, puede replicar la clave principal de varias regiones en una o más Regiones de AWS diferentes en la misma partición de AWS, como Europa (Irlanda). Cuando lo haga, AWS KMS cree una clave de réplica en la región especificada con el mismo ID de clave y otras propiedades compartidas como clave principal. Luego transporta de forma segura el material clave a través del límite de la región y lo asocia con la nueva clave KMS en la región de destino, todo dentro de AWS KMS. El resultado son dos claves de varias regiones relacionadas (una clave principal y una clave de réplica) que se pueden utilizar de forma intercambiable.
Puede crear una clave de réplica de varias regiones en la consola de AWS KMS o mediante la API ReplicateKey.
El resultado de la clave de réplica de varias regiones es una clave KMS completamente funcional con las mismas propiedades compartidas que la clave principal. En todos los demás aspectos, es una clave KMS independiente con su propia descripción, política de clave, concesiones, alias y etiquetas. La habilitación o deshabilitación de una clave de varias regiones no tiene ningún efecto en las claves de varias regiones relacionadas. Puede utilizar las claves principal y de réplica de forma independiente en operaciones criptográficas o coordinar su uso. Por ejemplo, puede cifrar datos con la clave principal en la región EE .UU. Este (Norte de Virginia), mover los datos a la región Europa (Irlanda) y usar la clave de réplica para descifrar los datos.
Las claves de varias regiones relacionadas tienen el mismo ID de clave. Sus ARN (nombres de recursos de Amazon) clave solo difieren en el campo Región. Por ejemplo, la clave principal de varias regiones y las claves de réplica pueden tener los siguientes ARN de clave de ejemplo. El ID de clave, que es el último elemento de la clave ARN, es idéntico. Ambas claves tienen el ID de clave distintivo de las claves de varias regiones, que comienza con mrk-.
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Se requiere tener el mismo ID de clave para lograr interoperabilidad. Al cifrar, AWS KMS enlaza el ID de clave de la clave KMS al texto cifrado para que el texto cifrado se pueda descifrar solo con esa clave KMS o con una clave KMS con el mismo ID de clave. Esta característica también facilita el reconocimiento de las claves de varias regiones relacionadas y facilita su uso de forma intercambiable. Por ejemplo, cuando se utilizan en una aplicación, puede hacer referencia a las claves de varias regiones relacionadas por su ID de clave compartida. A continuación, si es necesario, especifique la Región o ARN para distinguirlos.
A medida que cambian sus necesidades de datos, puede replicar la clave principal en otros Regiones de AWS en la misma partición, como EE. UU. Oeste (Oregón) y Asia-Pacífico (Sídney). El resultado son cuatro claves de varias regiones relacionadas con el mismo material de claves y los mismos ID de claves, tal y como se muestra en el siguiente diagrama. Administra las claves de forma independiente. Puede usarlas de forma independiente o coordinada. Por ejemplo, puede cifrar datos con la clave de réplica en Asia-Pacífico (Sídney), mover los datos a EE. UU. Oeste (Oregón) y descifrarlos con la clave de réplica en EE. UU. Oeste (Oregón).
Otras consideraciones para las claves de varias regiones son las siguientes.
Sincronización de propiedades compartidas: si una propiedad compartida de las claves de varias regiones cambia, AWS KMS sincroniza automáticamente el cambio desde la clave principal a todas sus claves de réplica. No puede solicitar ni forzar una sincronización de propiedades compartidas. AWS KMS detecta y sincroniza todos los cambios por usted. Sin embargo, puede auditar la sincronización mediante el evento SynchronizeMultiRegionKey en los registros de CloudTrail.
Por ejemplo, si habilita la rotación automática de claves en una clave principal simétrica de varias regiones, AWS KMS copia esa configuración a todas sus claves de réplica. Cuando se gira el material clave, la rotación se sincroniza entre todas las claves de varias regiones relacionadas, de modo que sigan teniendo el mismo material clave actual y acceso a todas las versiones anteriores del material clave. Si crea una nueva clave de réplica, tiene el mismo material de clave actual de todas las claves de varias regiones relacionadas y acceso a todas las versiones anteriores del material claves. Para obtener más información, consulte Rotating multi-Region keys.
Cambio de la clave principal: cada conjunto de claves de varias regiones debe tener exactamente una clave principal. La clave principal es la única clave que se puede replicar. También es el origen de las propiedades compartidas de sus claves de réplica. Sin embargo, puede cambiar la clave principal a una réplica y promover una de las claves de réplica a primaria. Puede hacerlo para eliminar una clave principal de varias regiones de una región determinada o ubicar la clave principal en una región más cercana a los administradores del proyecto. Para obtener más información, consulte Cambio de la clave principal en un conjunto de claves de varias regiones.
Eliminación de claves de varias regiones: al igual que todas las claves KMS, debe programar la eliminación de claves de varias regiones antes de que AWS KMS las borre. Mientras la clave está pendiente de eliminación, no puede utilizarla en ninguna operación criptográfica. Sin embargo, AWS KMS no eliminará una clave principal de varias regiones hasta que se eliminen todas sus claves de réplica. Para obtener más información, consulte Deleting multi-Region keys.
