Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cambio de la clave principal en un conjunto de claves de varias regiones
Cada conjunto de claves de varias regiones relacionadas debe contar con una clave principal. Pero puede cambiar la clave principal. Esta acción, conocida como actualización de la región principal, convierte la clave principal actual en una clave de réplica y convierte una de las claves de réplica relacionadas en la clave principal. Puede hacerlo si necesita eliminar la clave principal actual mientras mantiene las claves de réplica, o para ubicar la clave principal en la misma región que los administradores de claves.
Puede seleccionar cualquier clave de réplica relacionada para que sea la nueva clave principal. Tanto la clave principal como la clave de réplica deben estar en el estado clave Enabled Cuando se inicia la operación.
- El estado clave de
Updating -
Incluso después de completar la operación
UpdatePrimaryRegion, es posible que el proceso de actualización de la región principal siga en curso durante unos segundos más. Durante este tiempo, las claves principales antiguas y nuevas tienen un estado de clave transitoria de Updating (Actualizando). Mientras que el estado de clave esUpdating, puede usar las claves en operaciones criptográficas, pero no puede replicar la nueva clave principal ni realizar determinadas operaciones de administración, como habilitar o desactivar estas claves. Algunas operaciones como DescribeKey podrían mostrar tanto las claves principales antiguas como nuevas a modo de réplicas. El estado de claveEnabledse restaura cuando se haya completado la actualización.Para obtener información acerca del efecto del estado de clave
Updating, consulte Estados de clave de de las claves AWS KMS. - Funcionamiento
-
Suponga que tiene una clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) y una réplica de claves en Europa (Irlanda) (eu-west-1). Puede utilizar la función de actualización para cambiar la clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) a una clave de réplica y cambiar la clave de réplica en Europa (Irlanda) (eu-west-1) a la clave principal.
Cuando se completa el proceso de actualización, la clave de varias regiones en la región Europa (Irlanda) (eu-west-1) es una clave principal de varias regiones y la clave en la región EE. UU. Este (Norte de Virginia) (us-east-1) es su clave de réplica. Si hay otras claves de réplica relacionadas, se convierten en réplicas de la nueva clave principal. La próxima vez que AWS KMS sincroniza las propiedades compartidas de las claves de varias regiones, obtendrá las propiedades compartidas de la nueva clave principal y deberá copiarlos en sus claves de réplica, incluida la clave principal anterior.
La operación de actualización no modifica el ARN de clave de ninguna clave de varias regiones. Tampoco afecta a las propiedades compartidas, como el material clave, ni a las propiedades independientes, como la política de claves. Sin embargo, es posible que desee actualice la política de claves de la nueva clave principal. Por ejemplo, podría ser necesario agregar kms:ReplicateKey para las entidades principales de confianza a la nueva clave principal y eliminarla de la nueva clave de réplica.
Actualización de la región principal
Puede convertir una clave de réplica en una clave principal, lo que cambia la clave principal anterior en una réplica. Para actualizar la Región primaria, necesita el permiso kms:UpdatePrimaryRegion en ambas regiones.
Puede actualizar la región principal en la consola de AWS KMS o mediante la operación UpdatePrimaryRegion.
Puede actualizar la clave principal en el consola de AWS KMS. Comience con la página de detalles de clave de la clave principal actual.
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Seleccione el alias o el ID de clave de la clave principal de varias regiones. Esto abre la página de detalles de clave de la clave principal.
Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna Regionality (Regionalidad) de la tabla.
-
Elija la pestaña Regionality (Regionalidad).
-
En la sección Primary key (Clave principal), seleccione Change primary Region (Cambiar de región principal).
-
Elija la región de la nueva clave principal. Solo puede elegir una región del menú.
El menú Change primary Regions (Cambiar las regiones principales) incluye solo Regiones que tienen una clave de varias regiones relacionada. Es posible que no tenga permiso para actualizar la región principal en todas las regiones del menú.
-
Seleccione Change primary Region (Cambiar región principal).
Para cambiar la clave principal de un conjunto de claves de varias regiones relacionadas, utilice la operación UpdatePrimaryRegion.
Use el parámetro KeyId para identificar la clave principal actual. Use el parámetro PrimaryRegion para indicar la Región de AWS de la nueva clave principal. Si la clave principal aún no tiene una réplica en la nueva región principal, se produce un error en la operación.
En el ejemplo siguiente se cambia la clave principal de la clave de varias regiones en la región us-west-2 a su réplica en la región eu-west-1. El parámetro KeyId identifica la clave principal actual en la región us-west-2. El parámetro PrimaryRegion especifica la Región de AWS de la nueva clave principal, eu-west-1.
$aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1
Cuando se realiza correctamente, esta operación no devuelve ningún resultado; solo el código de estado HTTP. Para ver el efecto, llame a la operación DescribeKey en cualquiera de las claves de varias regiones. Es posible que desee esperar hasta que el estado de la clave vuelva a Enabled. Mientras que el estado de clave es Updating (Actualizando), los valores de la clave aún pueden estar en flujo.
Por ejemplo, la siguiente llamada DescribeKey obtiene los detalles acerca de la clave de varias regiones en la región eu-west-1. La salida muestra que la clave de varias regiones de la región eu-west-1 es ahora la clave principal. La clave de varias regiones relacionada (mismo ID de clave) en la región us-west-2 es ahora una clave de réplica.
$aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }
