Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS admite claves multirregionales, que son AWS KMS keys diferentes Regiones de AWS y se pueden usar indistintamente, como si tuvieras la misma clave en varias regiones. Cada conjunto de claves multirregionales relacionadas tiene el mismo material de clave y el mismo identificador de clave, por lo que puede cifrar los datos en uno Región de AWS y descifrarlos en otro diferente Región de AWS sin necesidad de volver a cifrarlos ni de realizar llamadas entre regiones. AWS KMS
Como todas las claves de KMS, las claves multirregionales nunca se quedan sin cifrar. AWS KMS Puede crear claves de varias regiones simétricas o asimétricas para el cifrado o la firma, y crear claves de varias regiones HMAC para generar y verificar etiquetas HMAC, y crear claves de varias regiones con material de claves importado o material de claves que AWS KMS genera. Debe administrar cada clave de varias regiones de forma independiente, incluida la creación de alias y etiquetas, el establecimiento de sus políticas y concesiones clave, y la habilitación y deshabilitación selectivas. Puede utilizar claves de varias regiones en todas las operaciones criptográficas que puede realizar con claves de una sola región.
Las claves de varias regiones son una solución flexible y potente para muchos escenarios comunes de seguridad de datos.
- Recuperación ante desastres
-
En una arquitectura de copia de seguridad y recuperación, las claves multirregionales permiten procesar los datos cifrados sin interrupciones, incluso en caso de que se produzca una interrupción. Región de AWS Los datos mantenidos en las regiones de copia de seguridad se pueden descifrar en la región de copia de seguridad, y los datos recién cifrados en la región de copia de seguridad se pueden descifrar en la región principal cuando se restaura esa región.
- Administración de datos global
-
Las empresas que operan en todo el mundo necesitan datos distribuidos globalmente que estén disponibles de manera consistente en Regiones de AWS. Puede crear claves de varias regiones en todas las regiones donde residen los datos y, a continuación, utilizar las claves como si fueran una clave de una sola región sin la latencia de una llamada entre regiones o el costo de volver a cifrar datos bajo una clave diferente en cada región.
- Aplicaciones de firma distribuidas
-
Las aplicaciones que requieren capacidades de firma entre regiones pueden utilizar claves de firma asimétricas de varias regiones para generar firmas digitales idénticas de forma consistente y repetida en diferentes Regiones de AWS.
Si utiliza el encadenamiento de certificados con un único almacén de confianza global (para una única entidad emisora de certificados (CA) raíz y un intermediario regional CAs firmado por la entidad emisora de certificados raíz, no necesitará claves multirregionales. Sin embargo, si su sistema no admite las certificaciones intermedias CAs, como la firma de solicitudes, puede utilizar claves multirregionales para dar coherencia a las certificaciones regionales.
- Aplicaciones activa-activa que abarcan varias regiones
-
Algunas cargas de trabajo y aplicaciones pueden abarcar varias regiones en arquitecturas activa-activa. Para estas aplicaciones, las claves de varias regiones pueden reducir la complejidad al proporcionar el mismo material clave para operaciones simultáneas de cifrado y descifrado en datos que podrían estar moviéndose a través de los límites de la región.
Puede utilizar claves de varias regiones con bibliotecas de cifrado del cliente, como la AWS Encryption SDK, el SDK de cifrado de base de datos de AWS y el Cifrado del cliente de Amazon S3.
AWS Los servicios que se integran AWS KMS
Las claves de varias regiones no son globales. Cree una clave principal de varias regiones y, a continuación, replíquela en las regiones que seleccione dentro de una partición de AWS. Luego, administre la clave de varias regiones en cada región de forma independiente. Tampoco crea AWS ni AWS KMS replica automáticamente claves multirregionales en ninguna región en tu nombre. Claves administradas por AWS, las claves de KMS que AWS los servicios crean en su cuenta para usted, son siempre claves de una sola región.
En las regiones de China, puede utilizar la función clave multirregión para replicar las claves de KMS dentro de la partición de las regiones de China (aws-cn). Por ejemplo, puede replicar una clave de la región de China (Pekín) a la región de China (Ningxia) o viceversa. Al replicar una clave de una región de China a otra, aceptas usar la AWS Key Management Service de la región de destino y cumplir con todos los términos del acuerdo aplicables a la región de destino. No puede replicar una clave de las regiones de Beijing y Ningxia en una AWS región fuera de la partición de las regiones de China. Del mismo modo, no puede replicar una clave de una región fuera de la partición de las regiones de China en las regiones de Beijing y Ningxia.
No puede convertir una clave de región única existente en una clave de varias regiones. Este diseño garantiza que todos los datos protegidos con claves de una sola región existentes mantengan las mismas propiedades de residencia y soberanía de datos.
Para la mayoría de las necesidades de seguridad de los datos, el aislamiento regional y la tolerancia a errores de los recursos regionales hacen que las claves de una AWS KMS sola región estándar sean la solución más adecuada. Sin embargo, cuando necesite cifrar o firmar datos en aplicaciones del cliente en varias regiones, es posible que las claves de varias regiones sean la solución.
Regiones
Las claves multirregionales son compatibles con todos Regiones de AWS los soportes. AWS KMS
Precios y cuotas
Cada clave de un conjunto de claves de varias regiones relacionadas cuenta como una clave KMS para precios y cuotas. Las cuotas de AWS KMS se calculan por separado por cada región de una cuenta. El uso y la administración de las claves de varias regiones en cada Región cuenta para las cuotas de dicha Región.
Tipos de claves KMS compatibles
Puede crear los siguientes tipos de claves KMS para varias regiones:
-
Claves de KMS de cifrado simétrico
-
Claves de KMS asimétricas
-
Claves KMS HMAC
-
Claves KMS con material de claves importado
No puede crear claves de varias regiones en un almacén de claves personalizado.
Más información
-
Para obtener información sobre cómo controlar el acceso a las claves KMS de varias regiones, consulte Control del acceso a claves de varias regiones.
-
Para crear claves KMS principales de varias regiones de cualquier tipo, consulte Creación de claves primarias de varias regiones.
-
Para crear claves KMS de réplica de varias regiones, consulte Creación de claves de réplica de varias regiones.
-
Para. actualizar la región principal, consulte Cambio de la clave principal en un conjunto de claves de varias regiones.
-
Para identificar y ver las claves KMS de varias regiones, consulte Identificación de claves KMS HMAC.
-
Para conocer las consideraciones especiales a la hora de eliminar claves KMS de varias regiones, consulte Deleting multi-Region keys.
Terminología y conceptos
Los siguientes términos y conceptos se utilizan con claves de varias regiones.
Clave de varias regiones
Una clave de varias regiones es una de un conjunto de claves KMS con el mismo ID de clave y material de claves (y otras propiedades compartidas) en diferentes Regiones de AWS. Cada clave de varias regiones es una clave KMS que funciona completamente que se puede utilizar independientemente de sus claves de varias regiones relacionadas. Como todas las claves multirregionales relacionadas tienen el mismo identificador de clave y el mismo material de clave, son interoperables, es decir, cualquier clave multirregional relacionada de una de ellas Región de AWS puede descifrar el texto cifrado por cualquier otra clave multirregional relacionada.
Usted configura la propiedad de varias regiones de una clave KMS cuando la crea. No se puede cambiar esta propiedad de varias regiones en una clave existente. No se puede convertir una clave de región única en clave de varias regiones ni convertir una clave de varias regiones en una clave de región única. Para mover cargas de trabajo existentes a escenarios de varias regiones, debe volver a cifrar los datos o crear nuevas firmas con nuevas claves de varias regiones.
Una clave multirregional puede ser simétrica o asimétrica y puede utilizar material clave o material clave importado. AWS KMS No puede crear claves de varias regiones en un almacén de claves personalizado.
En un conjunto de claves de varias regiones relacionadas, hay exactamente una clave principal en cualquier momento. Puede crear claves de réplica de esa clave principal en otras Regiones de AWS. También puede actualizar la región principal, que cambia la clave principal a una clave de réplica y cambia una clave de réplica especificada a la clave principal. Sin embargo, solo puede mantener una clave principal o una clave de réplica en cada una. Región de AWS Todas las regiones deben estar en la misma partición de AWS.
Puede tener varios conjuntos de claves de varias regiones relacionadas en la misma o diferentes Regiones de AWS. Aunque las claves de varias regiones relacionadas son interoperables, las claves de varias regiones no relacionadas no son interoperables.
Clave principal
Una clave principal multirregional es una clave de KMS que se puede replicar Regiones de AWS en otra de la misma partición. Cada conjunto de claves de varias regiones tiene una sola clave principal.
Una clave principal difiere de una clave de réplica en las siguientes formas:
-
Solo se puede replicar una clave principal.
-
La clave principal es el origen de propiedades compartidas de su claves de réplica, incluido el material de la clave y el ID de la clave.
-
Puede habilitar y desactivar la rotación automática de claves solo en una clave principal.
-
Puede programar la eliminación de una clave principal en cualquier momento. Sin embargo, no AWS KMS eliminará una clave principal hasta que se eliminen todas sus claves de réplica.
Sin embargo, las claves primarias y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable.
No es necesario replicar una clave principal. Puede usarla como lo haría con cualquier clave KMS y replicarla cuando sea útil. Sin embargo, dado que las claves de varias regiones tienen propiedades de seguridad diferentes a las claves de una sola región, se recomienda crear una clave de varias regiones solo cuando planee replicarla.
Clave de réplica
Una clave de réplica de varias regiones es una clave KMS que tiene el mismo ID de clave y material de claves que su clave principal y las claves de réplica relacionadas, pero existe en una Región de AWS diferente.
Una clave de réplica es una clave KMS completamente funcional con su propia política de clave, concesiones, alias, etiquetas y otras propiedades. No es una copia ni un puntero a la clave principal ni a ninguna otra clave. Puede utilizar una clave de réplica incluso si su clave principal y todas las claves de réplica relacionadas están deshabilitadas. También puede convertir una clave de réplica en una clave principal y una clave principal en una clave de réplica. Una vez creada, una clave de réplica se basa en su clave principal solo para la rotación de claves y la actualización de la región principal.
Las claves principales y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable. Los datos cifrados por una clave principal o de réplica se pueden descifrar con la misma clave o mediante cualquier clave principal o de réplica relacionada.
Replicación
Puede replicar una clave principal multirregional Región de AWS en otra diferente de la misma partición. Al hacerlo, AWS KMS crea una clave de réplica multirregional en la región especificada con el mismo ID de clave y otras propiedades compartidas que su clave principal. Luego transporta de forma segura el material clave a través del límite de la región y lo asocia con la nueva clave de réplica, todo dentro de AWS KMS.
Propiedades compartidas
Las propiedades compartidas son propiedades de una clave principal multirregional que se comparten con sus claves de réplica. AWS KMS crea las claves de réplica con los mismos valores de propiedad compartidos que los de la clave principal. A continuación, sincroniza periódicamente los valores de propiedad compartida de la clave principal con sus claves de réplica. No puede establecer estas propiedades en una clave de réplica.
Las siguientes son las propiedades compartidas de claves de varias regiones.
-
ID de clave: (el elemento de la
Regiondel ARN de clave difiere). -
Especificación de clave y algoritmos de cifrado
-
Rotación automática de claves: solo puede habilitar y desactivar la rotación automática de claves en la clave principal. Las nuevas claves de réplica se crean con todas las versiones del material de claves compartido. Para obtener más información, consulte Rotating multi-Region keys.
-
Rotación bajo demanda: solo puede realizar la rotación bajo demanda en la clave principal. Las nuevas claves de réplica se crean con todas las versiones del material de claves compartido. Para obtener más información, consulte Rotating multi-Region keys.
También puede pensar en las designaciones primarias y de réplica de claves de varias regiones relacionadas como propiedades compartidas. Al crear nuevas claves de réplica o actualizar la clave principal, AWS KMS sincroniza el cambio con todas las claves multirregionales relacionadas. Cuando se completan estos cambios, todas las claves de varias regiones relacionadas muestran su clave principal y las claves de réplica con precisión.
Todas las demás propiedades de las claves de varias regiones sonpropiedades independientes, incluida la descripción, la política de claves, las concesiones, los estados clave habilitados y deshabilitados, los alias y las etiquetas. Puede establecer los mismos valores para estas propiedades en todas las claves de varias regiones relacionadas, pero si cambia el valor de una propiedad independiente, AWS KMS no lo sincroniza.
Puede realizar un seguimiento de la sincronización de las propiedades compartidas de las claves de varias regiones. Busca el evento en tu AWS CloudTrail registro. SynchronizeMultiRegionKey
