View a markdown version of this page

Replicación de claves de criptografía AWS de pago - AWS Criptografía de pagos
Ventajas de la replicación de claves Multi-RegionCómo funciona la replicación de Multi-Region clavesLimitaciones y consideracionesHabilitar Multi-Region la replicación de clavesDeshabilitar Multi-Region la replicación de clavesConsideraciones de seguridadPrácticas recomendadasPrecios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Replicación de claves de criptografía AWS de pago

AWS La criptografía de pago admite la replicación de Multi-Region claves, lo que le permite distribuir de forma segura el material clave y los metadatos de cualquier clave de criptografía de AWS pago determinada a una o más de las Regiones de AWS mismas AWS particiones y cuentas.

La clave de origen se conoce como clave de región principal (PRK) y sigue siendo la fuente autorizada para todas las actividades de administración de claves, mientras que tanto la clave PRK como la clave de región de réplica (RRK) se pueden utilizar para las operaciones criptográficas respectivas. Regiones de AWS

Ventajas de la replicación de claves Multi-Region

A continuación, se describen algunos de los beneficios de la replicación de Multi-Region claves.

  • Configuración más sencilla para aplicaciones de alta disponibilidad: la criptografía de AWS pagos se encarga de la distribución de claves para que pueda utilizar una clave en varias unidades Regiones de AWS sin necesidad de crear copias disociadas de una clave determinada.

  • Claves de alta disponibilidad y baja latencia: con Multi-Region la replicación de claves, puede acceder a sus claves en varias, Regiones de AWS lo que hace que tengan una alta disponibilidad, lo que reduce la latencia.

  • Durabilidad del material clave: las claves de región de réplica son réplicas de claves completas y se pueden utilizar independientemente de su clave de región principal en las operaciones criptográficas. Una RRK proporciona una réplica duradera en caso de una pérdida de datos catastrófica de una PRK.

Cómo funciona la replicación de Multi-Region claves

Cuando la replicación de Multi-Region claves está habilitada, el servicio de criptografía de AWS pagos utiliza mecanismos seguros de distribución de claves para copiar el material clave y los metadatos a la réplica Regiones de AWS que especifique. Los cambios en los metadatos clave de una región principal, como los atributos clave, el estado y la habilitación, se replican automáticamente en las claves de la región de la réplica.

Limitaciones y consideraciones

A continuación, se indican algunas limitaciones y Multi-Region consideraciones clave sobre la replicación.

  • Debe habilitar esta función para una Región de AWS o varias claves de criptografía de pago específicas.

    • Si esta función está habilitada para una Región de AWS, todas las claves de criptografía de AWS pagos creadas después de la activación se replicarán en las especificadas. Región de AWS Las claves creadas en esta región se convertirán en claves de la región principal. Las claves existentes en esta región no se replicarán automáticamente. Puede habilitar la replicación de Multi-Region claves para las claves existentes dentro de un Región de AWS nivel de clave.

    • Cada uno Región de AWS puede tener una configuración de replicación de Multi-Region claves única.

    • La configuración de Multi-Region replicación de una clave tiene prioridad sobre la configuración de replicación de Región de AWS Multi-Region claves.

  • No se puede configurar una clave de región de réplica para que se replique en otra Regiones de AWS.

  • Multi-Region La replicación de claves está disponible para claves de criptografía de pagos simétricas, como el estándar de cifrado triple de datos (3DES), el estándar de cifrado avanzado (AES) y el código de autenticación de Hash-based mensajes (HMAC).

  • Las claves de criptografía de pago asimétricas no admiten la replicación de claves. Multi-Region

  • Las claves de región de réplica son claves de solo lectura. Todos los cambios en la clave de región principal se aplicarán a las claves de región de réplica.

  • En última instancia, los cambios en la clave de región principal son coherentes con las claves de región de la réplica.

  • Las claves de criptografía de pago solo se pueden replicar con la misma AWS partición y cuenta.

  • Las claves de Réplica Region cuentan para el límite de criptografía Cuenta de AWS de AWS pagos de su nivel.

  • La clave de región principal y la clave de región de réplica utilizan el mismo identificador de clave, lo que le permite hacer referencia a ambas claves mediante el mismo ARN en las políticas de IAM.

  • Debe tener CreateKey permisos en la réplica Región de AWS para que la replicación se realice correctamente.

Habilitar Multi-Region la replicación de claves

Hay dos formas de habilitar la replicación de Multi-Region claves para las claves de criptografía de AWS pagos.

  1. Región de AWS: Multi-Region la replicación de claves se aplica a todas las claves nuevas que se creen en ella Región de AWS cuando está habilitada. Este método proporciona una replicación uniforme para todas las claves.

  2. Claves AWS de criptografía de pago específicas: puede gestionar Multi-Region la replicación de claves individuales, lo que permite un nivel de control más detallado.

Una vez habilitada la replicación de Multi-Region claves, sus claves de criptografía de pago se replicarán según Regiones de AWS lo que especifique.

importante

Multi-Region la replicación de claves no se puede pausar. Las claves se replican automáticamente según Regiones de AWS lo especificado una vez que se habilita la replicación. Multi-Region la replicación de claves se puede deshabilitar para una clave de criptografía específica Región de AWS o de pago. Debe eliminar la Región de AWS como región de replicación de la clave de región principal para eliminar la clave de región de réplica.

Como alternativa, puede llamar al comando StopKeyUsageAPI o stop-key-usageCLI de su PRK para detener el uso tanto de la PRK como de todas las RRK asociadas. No podrás usar estas claves en operaciones criptográficas. El uso de un comando StopKeyUsage API o stop-key-usage CLI no detendrá la replicación de Multi-Region claves en curso habilitada para su PRK.

Puede comprobar la configuración de replicación de Multi-Region claves para las claves de criptografía de AWS pago en un lugar específico Región de AWS llamando al comando GetDefaultKeyReplicationRegions API o get-default-key-replication-regions CLI. Las claves Región de AWS donde llames a esta acción o comando de la API se convertirán en tu PRK.

Utilice los siguientes procedimientos para habilitar la replicación de Multi-Region claves.

For Región de AWS

  • Utilice el siguiente comando para habilitar la replicación de Multi-Region claves para una clave Región de AWS que especifique. En este ejemplo, la replicación de Multi-Region claves está habilitada en EE. UU. Este (Ohio) y EE. UU. Oeste (Oregón). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
nota

Si se habilita la replicación de Multi-Region claves para un, no Región de AWS se cambiará la configuración de replicación de ninguna de las claves de criptografía de AWS pagos existentes. Puede activar esta función para las claves existentes a nivel de clave. Solo las claves creadas después Multi-Region de activar la replicación de claves Región de AWS utilizarán la configuración de replicación regional.

For specific AWS Payment Cryptography keys

  • Utilice el siguiente comando para habilitar la replicación de Multi-Region claves de criptografía de pago específicas. En este ejemplo, la replicación de Multi-Region claves está habilitada en el este de EE. UU. (Ohio). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Como alternativa, puede crear una nueva clave de criptografía de pagos con esta función habilitada e incluir la replicación Regiones de AWS en su solicitud de creación de clave.

nota

La configuración de replicación de claves tiene prioridad sobre la configuración de Región de AWS replicación.

Deshabilitar Multi-Region la replicación de claves

Si desea deshabilitar la replicación de Multi-Region claves, puede llamar a los comandos disable-default-key-replication o a los comandos remove-key-replication-regions CLI, según cómo esté habilitada la replicación de Multi-Region claves. Deberá especificar el ARN de la clave y deshabilitar la replicación Región de AWS de Multi-Region claves.

Consideraciones

En última instancia, las eliminaciones de claves de la región de replicación son consistentes.

Puede comprobar la configuración de replicación de Multi-Region claves para las claves de criptografía de AWS pago en un lugar específico Región de AWS llamando al comando GetDefaultKeyReplicationRegions API o get-default-key-replication-regions CLI.

Utilice los siguientes procedimientos para deshabilitar la replicación de Multi-Region claves.

For Región de AWS

  • Utilice el siguiente comando para deshabilitar la replicación de Multi-Region claves de una clave Región de AWS que especifique. En este ejemplo, la replicación de Multi-Region claves está deshabilitada en el este de EE. UU. (Ohio). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Use el siguiente comando para deshabilitar la replicación de Multi-Region claves para una clave de criptografía de pagos específica. En este ejemplo, la replicación de Multi-Region claves está deshabilitada en el este de EE. UU. (Ohio). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Consideraciones de seguridad

Las siguientes son consideraciones de seguridad a la hora de utilizar la replicación de Multi-Region claves para las claves de criptografía de pagos. Para obtener más información, consulte Prácticas recomendadas de seguridad para la criptografía AWS de pagos.

  • Limite el intercambio de materiales clave.

  • Siga el principio de permisos con privilegios mínimos al crear políticas de IAM.

  • No puede realizar cambios en la clave de región de réplica, ya que es una clave de solo lectura.

Prácticas recomendadas

Las siguientes son algunas de las mejores prácticas a la hora de utilizar la replicación de Multi-Region claves con claves de criptografía AWS de pagos.

  • Asegúrese de que su aplicación siga funcionando incluso si la replicación de la Multi-Region clave especificada no Región de AWS es inmediata. Si necesita saber cuándo se ha completado la replicación de Multi-Region claves, puede monitorizarla con la acción de la GetKeyAPI. Puede supervisar los eventos de replicación de claves con AWS CloudTrail.

  • Pruebe e implemente procesos de implementación automatizados en caso de conmutación por error de una región Región de AWS a otra.

Precios

Se le cobrará por las réplicas de claves de región que cree con AWS Payment Cryptography. Estas claves se cobran por. Región de AWS Para obtener la información más reciente sobre los precios de la criptografía de pagos, consulta la página de precios AWS de la criptografía de pagos.