Funcionamiento de las claves de varias regiones - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funcionamiento de las claves de varias regiones

Se empieza por crear una clave principal multirregional simétrica o asimétrica en una Región de AWS que AWS KMS sea compatible, como US East (Virginia del Norte). Usted decide si una clave es de una región o de varias regiones únicamente cuando la crea; no puede cambiar esta propiedad más adelante. Al igual que con cualquier KMS clave, se establece una política de claves para la clave multirregional y se pueden crear concesiones y añadir alias y etiquetas para la categorización y la autorización. (Estas son propiedades independientes que no están compartidas ni sincronizadas con otras claves). Puede utilizar la clave principal de varias regiones en operaciones criptográficas para el cifrado o la firma.

Puede crear una clave principal multirregional en la AWS KMS consola o utilizarla CreateKeyAPIcon el MultiRegion parámetro establecido en. true Observe que las claves de varias regiones tienen un ID de clave distintivo que comienza con mrk-. Puede usar el mrk- prefijo para MRKs identificarse mediante programación.

Multi-Region primary key icon with red key symbol and sample key ID format.

Si lo desea, puede replicar la clave principal multirregional en una o más unidades diferentes Regiones de AWS de la misma AWS partición, como Europa (Irlanda). Al hacerlo, AWS KMS crea una clave de réplica en la región especificada con el mismo ID de clave y otras propiedades compartidas que la clave principal. A continuación, transporta de forma segura el material clave a través de los límites de la región y lo asocia a la nueva KMS clave de la región de destino, dentro AWS KMS de ella. El resultado son dos claves de varias regiones relacionadas (una clave principal y una clave de réplica) que se pueden utilizar de forma intercambiable.

Puede crear una réplica de clave multirregional en la AWS KMS consola o mediante el. ReplicateKeyAPI

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

La clave de réplica multirregional resultante es una KMS clave totalmente funcional con las mismas propiedades compartidas que la clave principal. En todos los demás aspectos, es una KMS clave independiente con su propia descripción, política de claves, concesiones, alias y etiquetas. La habilitación o deshabilitación de una clave de varias regiones no tiene ningún efecto en las claves de varias regiones relacionadas. Puede utilizar las claves principal y de réplica de forma independiente en operaciones criptográficas o coordinar su uso. Por ejemplo, puede cifrar datos con la clave principal en la región EE .UU. Este (Norte de Virginia), mover los datos a la región Europa (Irlanda) y usar la clave de réplica para descifrar los datos.

Las claves de varias regiones relacionadas tienen el mismo ID de clave. Su clave ARNs (Amazon Resource Names) solo difiere en el campo Región. Por ejemplo, la clave principal multirregional y las claves de réplica pueden tener la siguiente clave ARNs de ejemplo. El identificador de clave (el último elemento de la claveARN) es idéntico. Ambas claves tienen el identificador de clave distintivo de las claves multirregionales, que comienza con mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Se requiere tener el mismo ID de clave para lograr interoperabilidad. Al cifrar, AWS KMS vincula el ID de clave de la KMS clave al texto cifrado para que el texto cifrado solo se pueda descifrar con esa KMS clave o con una KMS clave con el mismo ID de clave. Esta característica también facilita el reconocimiento de las claves de varias regiones relacionadas y facilita su uso de forma intercambiable. Por ejemplo, cuando se utilizan en una aplicación, puede hacer referencia a las claves de varias regiones relacionadas por su ID de clave compartida. A continuación, si es necesario, especifique la región o para distinguirla. ARN

A medida que cambien sus necesidades de datos, puede replicar la clave principal Regiones de AWS en otra de la misma partición, como EE. UU. oeste (Oregón) y Asia Pacífico (Sídney). El resultado son cuatro claves multirregionales relacionadas con el mismo material de clave y claveIDs, como se muestra en el siguiente diagrama. Administra las claves de forma independiente. Puede usarlas de forma independiente o coordinada. Por ejemplo, puede cifrar datos con la clave de réplica en Asia-Pacífico (Sídney), mover los datos a EE. UU. Oeste (Oregón) y descifrarlos con la clave de réplica en EE. UU. Oeste (Oregón).

Las claves principal y de réplica en una clave de varias regiones

Otras consideraciones para las claves de varias regiones son las siguientes.

Sincronización de propiedades compartidas: si una propiedad compartida de las claves multirregionales cambia, sincroniza AWS KMS automáticamente el cambio de la clave principal a todas sus claves de réplica. No puede solicitar ni forzar la sincronización de las propiedades compartidas. AWS KMS detecta y sincroniza todos los cambios por usted. Sin embargo, puede auditar la sincronización utilizando el SynchronizeMultiRegionKeyevento en los CloudTrail registros.

Por ejemplo, si habilita la rotación automática de claves en una clave principal simétrica multirregional, AWS KMS copia esa configuración en todas sus claves de réplica. Cuando se gira el material clave, la rotación se sincroniza entre todas las claves de varias regiones relacionadas, de modo que sigan teniendo el mismo material clave actual y acceso a todas las versiones anteriores del material clave. Si crea una nueva clave de réplica, tiene el mismo material de clave actual de todas las claves de varias regiones relacionadas y acceso a todas las versiones anteriores del material claves. Para obtener más información, consulte Rotating multi-Region keys.

Cambio de la clave principal: cada conjunto de claves de varias regiones debe tener exactamente una clave principal. La clave principal es la única clave que se puede replicar. También es el origen de las propiedades compartidas de sus claves de réplica. Sin embargo, puede cambiar la clave principal a una réplica y promover una de las claves de réplica a primaria. Puede hacerlo para eliminar una clave principal de varias regiones de una región determinada o ubicar la clave principal en una región más cercana a los administradores del proyecto. Para obtener más información, consulte Cambio de la clave principal en un conjunto de claves de varias regiones.

Eliminar claves multirregionales: como todas KMS las claves, debe programar la eliminación de claves multirregionales antes de eliminarlas. AWS KMS Mientras la clave está pendiente de eliminación, no puede utilizarla en ninguna operación criptográfica. Sin embargo, no AWS KMS eliminará una clave principal multirregional hasta que se eliminen todas sus claves de réplica. Para obtener más información, consulte Deleting multi-Region keys.