Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Claves de varias regiones en AWS KMS
AWS KMS es compatible con claves de varias regiones, que son AWS KMS keysen diferentes Regiones de AWS que se pueden usar de forma intercambiable, como si usted tuviera la misma clave en varias regiones. Cada conjunto de claves de varias regiones relacionadas tiene el mismo material de claves e ID de clave, por lo que puede cifrar datos en una Región de AWS y descifrarlos en otra Región de AWS sin volver a cifrar ni realizar una llamada entre regiones a AWS KMS.
Al igual que todas las claves KMS, las claves de varias regiones nunca salen de AWS KMS sin cifrar. Puede crear claves de varias regiones simétricas o asimétricas para el cifrado o la firma, y crear claves de varias regiones HMAC para generar y verificar etiquetas HMAC, y crear claves de varias regiones con material de claves importado o material de claves que AWS KMS genera. Debe administrar cada clave de varias regiones de forma independiente, incluida la creación de alias y etiquetas, el establecimiento de sus políticas y concesiones clave, y la habilitación y deshabilitación selectivas. Puede utilizar claves de varias regiones en todas las operaciones criptográficas que puede realizar con claves de una sola región.
Las claves de varias regiones son una solución flexible y potente para muchos escenarios comunes de seguridad de datos.
- Recuperación de desastres
-
En una arquitectura de copia de seguridad y recuperación, las claves de varias regiones le permiten procesar datos cifrados sin interrupción, incluso en caso de que se produzca una interrupción de Región de AWS. Los datos mantenidos en las regiones de copia de seguridad se pueden descifrar en la región de copia de seguridad, y los datos recién cifrados en la región de copia de seguridad se pueden descifrar en la región principal cuando se restaura esa región.
- Administración de datos global
-
Las empresas que operan en todo el mundo necesitan datos distribuidos globalmente que estén disponibles de manera consistente en Regiones de AWS. Puede crear claves de varias regiones en todas las regiones donde residen los datos y, a continuación, utilizar las claves como si fueran una clave de una sola región sin la latencia de una llamada entre regiones o el costo de volver a cifrar datos bajo una clave diferente en cada región.
- Aplicaciones de firma distribuidas
-
Las aplicaciones que requieren capacidades de firma entre regiones pueden utilizar claves de firma asimétricas de varias regiones para generar firmas digitales idénticas de forma consistente y repetida en diferentes Regiones de AWS.
Si utiliza el encadenamiento de certificado con un único almacén de confianza global (para una entidad de certificado [CA] de raíz única y las CA intermedias regionales firmadas por la CA raíz) no necesita claves de varias regiones. Sin embargo, si el sistema no admite CA intermedias, como la firma de aplicaciones, puede usar claves de varias regiones para dar coherencia a las certificaciones regionales.
- Aplicaciones activa-activa que abarcan varias regiones
-
Algunas cargas de trabajo y aplicaciones pueden abarcar varias regiones en arquitecturas activa-activa. Para estas aplicaciones, las claves de varias regiones pueden reducir la complejidad al proporcionar el mismo material clave para operaciones simultáneas de cifrado y descifrado en datos que podrían estar moviéndose a través de los límites de la región.
Puede utilizar claves de varias regiones con bibliotecas de cifrado del cliente, como la AWS Encryption SDK, el SDK de cifrado de base de datos de AWS y el Cifrado del cliente de Amazon S3.
Los servicios de AWS que se integran con AWS KMS
Las claves de varias regiones no son globales. Cree una clave principal de varias regiones y, a continuación, replíquela en las regiones que seleccione dentro de una partición de AWS. Luego, administre la clave de varias regiones en cada región de forma independiente. Ni AWS ni AWS KMS crean o replican automáticamente claves de varias regiones en ninguna región en su nombre. Claves administradas por AWS, las claves KMS que los servicios de AWS crean en su cuenta para usted, son siempre claves de una sola región.
No puede convertir una clave de región única existente en una clave de varias regiones. Este diseño garantiza que todos los datos protegidos con claves de una sola región existentes mantengan las mismas propiedades de residencia y soberanía de datos.
Para la mayoría de las necesidades de seguridad de datos, el aislamiento regional y la tolerancia a fallas de los recursos regionales hacen que las claves de una sola región AWS KMS estándar sean la mejor solución. Sin embargo, cuando necesite cifrar o firmar datos en aplicaciones del cliente en varias regiones, es posible que las claves de varias regiones sean la solución.
Regiones
Las claves de varias regiones son compatibles en todas las Regiones de AWS que AWS KMS admite a excepción de China (Pekín) y China (Ningxia).
Precios y cuotas
Cada clave de un conjunto de claves de varias regiones relacionadas cuenta como una clave KMS para precios y cuotas. Las cuotas de AWS KMS se calculan por separado por cada región de una cuenta. El uso y la administración de las claves de varias regiones en cada Región cuenta para las cuotas de dicha Región.
Tipos de claves KMS compatibles
Puede crear los siguientes tipos de claves KMS para varias regiones:
-
Claves de KMS de cifrado simétrico
-
Claves de KMS asimétricas
-
Claves KMS HMAC
-
Claves KMS con material de claves importado
No puede crear claves de varias regiones en un almacén de claves personalizado.
Más información
-
Para obtener información sobre cómo controlar el acceso a las claves KMS de varias regiones, consulte Control del acceso a claves de varias regiones.
-
Para crear claves KMS principales de varias regiones de cualquier tipo, consulte Creación de claves primarias de varias regiones.
-
Para crear claves KMS de réplica de varias regiones, consulte Creación de claves de réplica de varias regiones.
-
Para. actualizar la región principal, consulte Cambio de la clave principal en un conjunto de claves de varias regiones.
-
Para identificar y ver las claves KMS de varias regiones, consulte Identificación de claves KMS HMAC.
-
Para conocer las consideraciones especiales a la hora de eliminar claves KMS de varias regiones, consulte Deleting multi-Region keys.
Terminología y conceptos
Los siguientes términos y conceptos se utilizan con claves de varias regiones.
Clave de varias regiones
Una clave de varias regiones es una de un conjunto de claves KMS con el mismo ID de clave y material de claves (y otras propiedades compartidas) en diferentes Regiones de AWS. Cada clave de varias regiones es una clave KMS que funciona completamente que se puede utilizar independientemente de sus claves de varias regiones relacionadas. Ya que todas las claves de varias regiones relacionadas tienen el mismo ID de clave y el mismo material de claves, son interoperables, es decir, cualquier clave de varias regiones relacionada en cualquier Región de AWS puede descifrar el texto cifrado por cualquier otra clave de varias regiones relacionada.
Usted configura la propiedad de varias regiones de una clave KMS cuando la crea. No se puede cambiar esta propiedad de varias regiones en una clave existente. No se puede convertir una clave de región única en clave de varias regiones ni convertir una clave de varias regiones en una clave de región única. Para mover cargas de trabajo existentes a escenarios de varias regiones, debe volver a cifrar los datos o crear nuevas firmas con nuevas claves de varias regiones.
Una clave de varias regiones puede ser simétrica o asimétrica y puede usar material de claves de AWS KMS o material de claves importado. No puede crear claves de varias regiones en un almacén de claves personalizado.
En un conjunto de claves de varias regiones relacionadas, hay exactamente una clave principal en cualquier momento. Puede crear claves de réplica de esa clave principal en otrasRegiones de AWS. También puede actualizar la región principal, que cambia la clave principal a una clave de réplica y cambia una clave de réplica especificada a la clave principal. Sin embargo, solo puede mantener una clave principal o clave de réplica en cada Región de AWS. Todas las regiones deben estar en la misma partición de AWS.
Puede tener varios conjuntos de claves de varias regiones relacionadas en la misma o diferentes Regiones de AWS. Aunque las claves de varias regiones relacionadas son interoperables, las claves de varias regiones no relacionadas no son interoperables.
Clave principal
Una clave principal para varias regiones es una clave KMS que se puede replicar en otras Regiones de AWS en la misma partición. Cada conjunto de claves de varias regiones tiene una sola clave principal.
Una clave principal difiere de una clave de réplica en las siguientes formas:
-
Solo se puede replicar una clave principal.
-
La clave principal es el origen de propiedades compartidas de su claves de réplica, incluido el material de la clave y el ID de la clave.
-
Puede habilitar y desactivar la rotación automática de claves solo en una clave principal.
-
Puede programar la eliminación de una clave principal en cualquier momento. Pero AWS KMS no eliminará una clave principal hasta que se eliminen todas sus claves de réplica.
Sin embargo, las claves primarias y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable.
No es necesario replicar una clave principal. Puede usarla como lo haría con cualquier clave KMS y replicarla cuando sea útil. Sin embargo, dado que las claves de varias regiones tienen propiedades de seguridad diferentes a las claves de una sola región, se recomienda crear una clave de varias regiones solo cuando planee replicarla.
Clave de réplica
Una clave de réplica de varias regiones es una clave KMS que tiene el mismo ID de clave y material de claves que su clave principal y las claves de réplica relacionadas, pero existe en una Región de AWS diferente.
Una clave de réplica es una clave KMS completamente funcional con su propia política de clave, concesiones, alias, etiquetas y otras propiedades. No es una copia ni un puntero a la clave principal ni a ninguna otra clave. Puede utilizar una clave de réplica incluso si su clave principal y todas las claves de réplica relacionadas están deshabilitadas. También puede convertir una clave de réplica en una clave principal y una clave principal en una clave de réplica. Una vez creada, una clave de réplica se basa en su clave principal solo para la rotación de claves y la actualización de la región principal.
Las claves principales y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable. Los datos cifrados por una clave principal o de réplica se pueden descifrar con la misma clave o mediante cualquier clave principal o de réplica relacionada.
Replicación
Puede replicar una clave principal de varias regiones en una Región de AWS diferente en la misma partición. Cuando hace esto, AWS KMS crea una clave de réplica de varias regiones en la región especificada con el mismo ID de clave y otras propiedades compartidas con la clave principal. Luego transporta de forma segura el material clave a través del límite de la región y lo asocia con la nueva clave de réplica, todo dentro de AWS KMS.
Propiedades compartidas
Las propiedades compartidas son propiedades de una clave principal de varias regiones que se comparten con sus claves de réplica. AWS KMS crea las claves de réplica con los mismos valores de propiedad compartida que los de la clave principal. A continuación, sincroniza periódicamente los valores de propiedad compartida de la clave principal con sus claves de réplica. No puede establecer estas propiedades en una clave de réplica.
Las siguientes son las propiedades compartidas de claves de varias regiones.
-
ID de clave: (el elemento de la
Regiondel ARN de clave difiere). -
Especificación de clave y algoritmos de cifrado
-
Rotación automática de claves: solo puede habilitar y desactivar la rotación automática de claves en la clave principal. Las nuevas claves de réplica se crean con todas las versiones del material de claves compartido. Para obtener más información, consulte Rotating multi-Region keys.
-
Rotación bajo demanda: solo puede realizar la rotación bajo demanda en la clave principal. Las nuevas claves de réplica se crean con todas las versiones del material de claves compartido. Para obtener más información, consulte Rotating multi-Region keys.
También puede pensar en las designaciones primarias y de réplica de claves de varias regiones relacionadas como propiedades compartidas. Cuando cree nuevas claves de réplica o actualice la clave principal, AWS KMS sincroniza el cambio con todas las claves de varias regiones relacionadas. Cuando se completan estos cambios, todas las claves de varias regiones relacionadas muestran su clave principal y las claves de réplica con precisión.
Todas las demás propiedades de las claves de varias regiones sonpropiedades independientes, incluida la descripción, la política de claves, las concesiones, los estados clave habilitados y deshabilitados, los alias y las etiquetas. Puede establecer los mismos valores para estas propiedades en todas las claves de varias regiones relacionadas, pero si cambia el valor de una propiedad independiente, AWS KMS no lo sincroniza.
Puede realizar un seguimiento de la sincronización de las propiedades compartidas de las claves de varias regiones. En su registro de AWS CloudTrail, busque el evento SynchronizeMultiRegionKey.
