Fonctionnement des clés multi-région - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement des clés multi-région

Vous commencez par créer une clé primaire multirégionale symétrique ou asymétrique dans une clé AWS KMS compatible, telle Région AWS que USA East (Virginie du Nord). Vous décidez si une clé est à région unique ou multi-région uniquement lorsque vous la créez ; vous ne pouvez pas modifier cette propriété ultérieurement. Comme pour toute KMS clé, vous définissez une politique clé pour la clé multirégionale, et vous pouvez créer des autorisations et ajouter des alias et des balises pour la catégorisation et l'autorisation. (Ce sont des propriétés indépendantes qui ne sont pas partagées ou synchronisées avec d'autres clés.) Vous pouvez utiliser votre clé principale multi-région dans les opérations de chiffrement pour le chiffrement ou la signature.

Vous pouvez créer une clé primaire multirégionale dans la AWS KMS console ou en utilisant CreateKeyAPIle MultiRegion paramètre défini sur. true Notez que les clés multi-région ont un ID de clé distinctif qui commence par mrk-. Vous pouvez utiliser le mrk- préfixe pour vous identifier MRKs par programmation.

Multi-Region primary key icon with red key symbol and sample key ID format.

Si vous le souhaitez, vous pouvez répliquer la clé primaire multirégionale dans une ou plusieurs Régions AWS autres clés de la même AWS partition, par exemple en Europe (Irlande). Lorsque vous le faites, AWS KMS crée une réplique de clé dans la région spécifiée avec le même identifiant de clé et les autres propriétés partagées que la clé primaire. Il transporte ensuite en toute sécurité le matériel clé à travers les limites de la région et l'associe à la nouvelle KMS clé de la région de destination, le tout à l'intérieur AWS KMS. Le résultat donne deux clés multi-région associées : une clé principale et une clé de réplica, pouvant être utilisées de manière interchangeable.

Vous pouvez créer une réplique de clé multirégionale dans la AWS KMS console ou à l'aide du ReplicateKeyAPI.

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

La clé de réplique multirégionale qui en résulte est une KMS clé entièrement fonctionnelle avec les mêmes propriétés partagées que la clé primaire. À tous les autres égards, il s'agit d'une KMS clé indépendante dotée de sa propre description, de sa propre politique clé, de ses autorisations, de ses alias et de ses propres balises. L'activation ou la désactivation d'une clé multi-région n'a aucun effet sur les clés multi-région associées. Vous pouvez utiliser les clés principales et de réplica indépendamment dans les opérations cryptographiques ou coordonner leur utilisation. Par exemple, vous pouvez chiffrer des données avec la clé principale dans la région USA Est (Virginie du Nord), déplacer les données vers la région UE (Irlande) et utiliser la clé de réplica pour déchiffrer les données.

Les clés multi-région associées ont le même ID de clé. Leur clé ARNs (Amazon Resource Names) ne diffère que dans le champ Région. Par exemple, la clé primaire multirégionale et les clés de réplique peuvent avoir l'exemple de clé ARNs suivant. L'identifiant de la clé, le dernier élément de la cléARN, est identique. Les deux clés ont l'identifiant de clé distinctif des clés multirégionales, qui commence par mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Le même ID de clé est requis pour l'interopérabilité. Lors du chiffrement, AWS KMS lie l'identifiant de la clé au KMS texte chiffré afin que le texte chiffré ne puisse être déchiffré qu'avec cette KMS clé ou avec une clé ayant le même identifiant de clé. KMS Cette fonction facilite également la reconnaissance des clés multi-région associées ainsi que leur utilisation interchangeable. Par exemple, lorsque vous les utilisez dans une application, vous pouvez faire référence aux clés multi-région associées par leur ID de clé partagé. Ensuite, si nécessaire, spécifiez la région ou ARN distinguez-les.

À mesure que vos besoins en matière de données évoluent, vous pouvez répliquer la clé primaire vers d'autres Régions AWS utilisateurs de la même partition, par exemple dans l'ouest des États-Unis (Oregon) et dans la région Asie-Pacifique (Sydney). Le résultat est quatre clés multirégionales associées avec le même matériau clé et la même cléIDs, comme indiqué dans le schéma suivant. Vous gérez les clés indépendamment. Vous pouvez les utiliser indépendamment ou de manière coordonnée. Par exemple, vous pouvez chiffrer des données avec la clé de réplica dans la région Asie-Pacifique (Sydney), déplacer les données vers la région USA Ouest (Oregon) et les déchiffrer avec la clé de réplica dans la région USA Ouest (Oregon).

Les clés principales et de réplica dans une clé multi-région

Voici d'autres considérations pour les clés multi-région.

Synchronisation des propriétés partagées : si une propriété partagée des clés multirégionales change, la modification est AWS KMS automatiquement synchronisée entre la clé primaire et toutes ses clés répliquées. Vous ne pouvez pas demander ou forcer la synchronisation des propriétés partagées. AWS KMS détecte et synchronise toutes les modifications pour vous. Vous pouvez toutefois auditer la synchronisation en utilisant l'SynchronizeMultiRegionKeyévénement dans CloudTrail les journaux.

Par exemple, si vous activez la rotation automatique des clés sur une clé primaire multirégionale symétrique, AWS KMS copie ce paramètre sur toutes ses clés répliques. Lorsque les éléments de clé sont soumis à une rotation, la rotation est synchronisée entre toutes les clés multi-région associées, de sorte qu'elles continuent d'avoir les mêmes éléments de clé actuels et d'accéder à toutes les versions plus anciennes des éléments de clé. Si vous créez une nouvelle clé de réplica, elle dispose des mêmes éléments de clé actuels que toutes les clés multi-région associées et de l'accès à toutes les versions précédentes des éléments de clé. Pour plus de détails, consultez Rotating multi-Region keys.

Modification de la clé principale — Chaque ensemble de clés multi-région doit avoir exactement une clé principale. La clé principale est la seule clé qui peut être répliquée. C'est également la source des propriétés partagées de ses clés de réplica. Toutefois, vous pouvez transformerr la clé principale en un réplica et transformer l'une des clés de réplica en clé principale. Vous pouvez procéder ainsi afin de supprimer une clé principale multi-région d'une région particulière ou de placer la clé principale dans une région plus proche des administrateurs de projet. Pour plus de détails, consultez Modifier la clé primaire dans un ensemble de clés multirégionales.

Suppression des clés multirégionales — Comme toutes les KMS clés, vous devez planifier la suppression des clés multirégionales avant de les AWS KMS supprimer. Lorsque la clé est en attente de suppression, vous ne pouvez pas l'utiliser dans une opération de chiffrement. Toutefois, une clé primaire multirégionale ne AWS KMS sera pas supprimée tant que toutes ses clés répliquées ne seront pas supprimées. Pour de plus amples informations, veuillez consulter Deleting multi-Region keys.