Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création de répliques de clés multirégionales
Vous pouvez créer une [réplique de clé multirégionale](multi-region-keys-overview.md#mrk-primary-key) dans la AWS KMS console, en utilisant l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)opération ou en utilisant un [AWS::KMS::ReplicaKey CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html). Vous ne pouvez pas utiliser [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)cette opération pour créer une clé de réplique.
Vous pouvez utiliser ces procédures pour répliquer n'importe quelle clé principale multi-région, y compris une [clé KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks), une [clé KMS asymétrique](symmetric-asymmetric.md) ou une [clé KMS HMAC](hmac.md).
Lorsque cette opération est terminée, la nouvelle clé de réplica a un [état de clé](key-state.md) de `Creating`. Cet état clé devient `Enabled` (ou `PendingImport` si vous créez une clé multirégionale avec du [matériel clé importé](importing-keys.md)) après quelques secondes lorsque le processus de création de la nouvelle clé de réplique est terminé. Alors que l'état de la clé est `Creating`, vous pouvez gérer la clé, mais vous ne pouvez pas encore l'utiliser dans les opérations cryptographiques. Si vous créez et utilisez la clé de réplique par programmation, réessayez `KMSInvalidStateException` ou appelez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)pour vérifier sa `KeyState` valeur avant de l'utiliser.
Si vous supprimez par erreur une clé de réplica, vous pouvez utiliser cette procédure pour la recréer. Si vous répliquez la même clé primaire dans la même région, la nouvelle clé de réplica que vous allez créer aura les mêmes [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) que la clé de réplica d'origine.
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Pour utiliser un AWS CloudFormation modèle afin de créer une réplique de clé, reportez-vous [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)au *guide de l'AWS CloudFormation utilisateur*.
## Étape 1 : Choisissez les régions de réplication
Vous choisissez généralement de répliquer une clé multirégionale dans un fichier en Région AWS fonction de votre modèle commercial et des exigences réglementaires. Par exemple, vous pouvez répliquer une clé dans les régions où vous conservez vos ressources. Ou, pour vous conformer à une exigence de reprise après sinistre, vous pouvez répliquer une clé dans des régions géographiquement éloignées.
Les AWS KMS exigences relatives aux régions de réplication sont les suivantes. Si la région que vous choisissez n'est pas conforme à ces exigences, les tentatives de réplication d'une clé échouent.
+ **Une clé multi-région associée par région** — Vous ne pouvez pas créer de clé de réplica dans la même région que sa clé principale ou dans la même région qu'un autre réplica de la clé principale.
Si vous essayez de répliquer une clé primaire dans une région qui possède déjà un réplica de cette clé, la tentative échouera. Si la clé de réplica actuelle dans la région affiche l'[état de clé `PendingDeletion`](key-state.md), vous pouvez [annuler la suppression de la clé de réplica](deleting-keys-scheduling-key-deletion.md) ou attendre que la clé de réplica soit supprimée.
+ **Plusieurs clés multi-région non associées dans la même région** — Vous pouvez avoir plusieurs clés multi-région non associées dans la même région. Vous pouvez par exemple avoir deux clés principales multi-région dans la région `us-east-1`. Chacune des clés principales peut avoir une clé de réplica dans la région `us-west-2`.
+ **Régions dans la même partition** — La région de clé de réplica doit être dans la même [partition AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) que la région de clé principale.
+ **La région doit être activée** — Si une région est [désactivée par défaut](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), vous ne pouvez pas créer de ressources dans cette région tant qu'elle n'est pas activée pour votre Compte AWS.
## Étape 2 : Création de répliques de clés
**Note**
Lorsque vous créez des clés de réplique, prenez bien en compte les utilisateurs et les rôles IAM que vous sélectionnez pour administrer et utiliser la clé de réplique. Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles l'autorisation de gérer la clé KMS.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Bonnes pratiques de sécurité dans IAM) dans le *Guide de l'utilisateur IAM*.
### Utilisation de la AWS KMS console
Dans la AWS KMS console, vous pouvez créer une ou plusieurs répliques d'une clé primaire multirégionale au cours de la même opération.
Cette procédure est similaire à la création d'une clé KMS standard à région unique dans la console. Toutefois, comme une clé de réplica est basée sur la clé principale, vous ne sélectionnez pas de valeurs pour les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties), telles que les spécifications (symétrique ou asymétrique), l'utilisation ou l'origine de la clé.
Vous spécifiez des propriétés qui ne sont pas partagées, notamment un alias, des balises, une description et une politique de clé. Par commodité, la console affiche les valeurs de propriété actuelles de la clé principale, mais vous pouvez les modifier. Même si vous conservez les valeurs de la clé primaire, ces valeurs AWS KMS ne sont pas synchronisées.
**Important**
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.
1. Sélectionnez l'ID de clé ou l'alias d'une [clé principale multi-région](multi-region-keys-overview.md#mrk-primary-key). Cela ouvre la page des détails de clé pour la clé KMS.
Pour identifier une clé principale multi-région, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne **Regionality (Régionalité)** dans la table.
1. Cliquez sur l'onglet **Regionality (Régionalité)**.
1. Dans la section **Related multi-Region keys (Clés multi-région associées)**, choisissez **Create new replica keys (Créer de nouvelles clés de réplica)**.
La section **Related multi-Region keys (Clés multi-région associées)** affiche la région de la clé principale et de ses clés de réplica. Vous pouvez utiliser cet affichage pour vous aider à choisir la région pour votre nouvelle clé de réplica.
1. Sélectionnez une ou plusieurs Régions AWS. Cette procédure crée une clé de réplica dans chacune des régions que vous sélectionnez.
Le menu inclut uniquement les régions situées dans la même AWS partition que la clé primaire. Les régions qui ont déjà une clé multi-région associée sont affichées, mais ne peuvent pas être sélectionnées. Vous n'êtes peut-être pas autorisé à répliquer une clé dans toutes les régions du menu.
Lorsque vous avez terminé de choisir les régions, fermez le menu. Les régions que vous avez choisies s'affichent. Pour annuler la réplication dans une région, cliquez sur le **X** en regard du nom de la région.
1. Saisissez un [alias](kms-alias.md) pour la clé de réplica.
La console affiche l'un des alias actuels de la clé principale, mais vous pouvez le modifier. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas le même alias ou des alias différents. Les alias ne sont pas une [propriété partagée](multi-region-keys-overview.md#mrk-sync-properties) des clés multirégionales. AWS KMS ne synchronise pas les alias des clés multirégionales.
L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des alias pour contrôler l'accès aux clés KMS](alias-authorization.md).
1. (Facultatif) Saisissez une description de la clé de réplica.
La console affiche la description actuelle de la clé principale, mais vous pouvez la modifier. Les descriptions ne sont pas une propriété partagée des clés multi-région. Vous pouvez donner à votre clé primaire multirégionale et à ses répliques la même description ou des descriptions différentes. AWS KMS ne synchronise pas les descriptions des clés multirégionales.
1. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour affecter plus d'une balise à la clé de réplica, sélectionnez **Add tag (Ajouter une balise)**.
La console affiche les balises actuellement attachées à la clé principale, mais vous pouvez les modifier. Les balises ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé primaire multirégionale et à ses répliques les mêmes balises ou des balises différentes. AWS KMS ne synchronise pas les balises des clés multirégionales.
L'étiquetage ou le désétiquetage d'une clé KMS permet d'accorder ou refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des balises pour contrôler l'accès aux clés KMS](tag-authorization.md).
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé de réplica.
**Remarques**
Si vous avez modifié la politique de clé par défaut lors de la création de votre clé primaire multirégionale, la console ne vous demandera pas de sélectionner des administrateurs ou des utilisateurs clés (étapes 11 à 15) lors de la création de la réplique de clés. Dans ce cas, vous devrez ajouter manuellement les autorisations nécessaires pour les administrateurs et utilisateurs clés à la politique clé en sélectionnant **Modifier** à l'étape **Modifier la politique clé** (étape 17).
Cette étape démarre le processus de création d'une [politique de clé](key-policies.md) pour la clé de réplica. La console affiche la politique de clé actuelle de la clé principale, mais vous pouvez la modifier. Les politiques de clé ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas la même politique de clé ou des politiques de clé différentes. AWS KMS ne synchronise pas les politiques de clé. Vous pouvez modifier la politique de clé d'une clé KMS à tout moment.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction`"Allow access for Key Administrators"`. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section **Key deletion (Suppression de la clé)** en bas de la page, décochez la case **Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé)**.
1. Choisissez **Suivant**.
1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé KMS pour les [opérations crytographiques](kms-cryptography.md#cryptographic-operations).
**Remarque**
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration `"Allow use of the key"` et`"Allow attachment of persistent resources"`. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
1. (Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette clé KMS pour des opérations cryptographiques. Pour cela, dans la section **Autres Comptes AWS** en bas de la page, sélectionnez **Ajouter un autre Compte AWS** et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
**Note**
Pour autoriser les principaux des comptes externes à utiliser la clé KMS, les administrateurs du compte externe doivent créer des politiques IAM qui fournissent ces autorisations. Pour de plus amples informations, veuillez consulter [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md).
1. Choisissez **Suivant**.
1. Passez en revue les principales déclarations de politique pour la clé. Pour modifier la politique clé, sélectionnez **Modifier**.
1. Choisissez **Suivant**.
1. Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
1. Choisissez **Terminer** pour créer la clé de réplique multirégionale.
### Utilisation de l' AWS KMS API
Pour créer une clé de réplique multirégionale, utilisez l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)opération. Vous ne pouvez pas utiliser [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)cette opération pour créer une clé de réplique. Cette opération crée une clé de réplica à la fois. La région que vous spécifiez doit respecter les [exigences de région](#replica-region) pour les clés de réplica.
Lorsque vous utilisez l'opération `ReplicateKey`, vous ne spécifiez aucune valeur pour les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) des clés multi-région. Les valeurs des propriétés partagées sont copiées à partir de la clé principale et leur synchronisation est maintenue. Toutefois, vous pouvez spécifier des valeurs pour les propriétés qui ne sont pas partagées. Sinon, AWS KMS applique les valeurs par défaut standard pour les clés KMS, et non les valeurs de la clé primaire.
**Note**
Si vous ne spécifiez pas de valeurs pour le `Description``KeyPolicy`, ou `Tags` les paramètres, AWS KMS crée la clé de réplique avec une description sous forme de chaîne vide, la [politique de clé par défaut](key-policy-default.md) et aucune balise.
N'incluez pas d'informations confidentielles ou sensibles dans les champs `Description` ou `Tags`. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Par exemple, la commande suivante crée une clé de réplica multi-région dans la région Asie-Pacifique (Sydney) (ap-southeast-2). Cette clé de réplica est modélisée sur la clé principale de la région USA Est (Virginie du Nord) (us-east-1), qui est identifiée par la valeur du paramètre `KeyId`. Cet exemple accepte les valeurs par défaut pour toutes les autres propriétés, y compris la politique de clé.
La réponse décrit la nouvelle clé de réplica. Elle inclut des champs pour les propriétés partagées, tels que `KeyId`, `KeySpec`, `KeyUsage`, et l'origine des éléments de clé (`Origin`). Elle inclut également des propriétés indépendantes de la clé principale, telles que la `Description`, la politique de clé (`ReplicaKeyPolicy`), et les balises (`ReplicaTags`).
La réponse inclut également l'ARN de clé et la région de la clé principale et toutes ses clés de réplica, y compris celle qui vient d'être créée dans la région ap-southeast-2. Dans cet exemple, l'élément `ReplicaKey` montre que cette clé principale a déjà été répliquée dans la région UE (Irlande) (eu-west-1).
```
$ aws kms replicate-key \
--key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--replica-region ap-southeast-2
{
"ReplicaKeyMetadata": {
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "REPLICA",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "ap-southeast-2"
},
{
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
}
]
},
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1607472987.918,
"Description": "",
"Enabled": true,
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
},
"ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",...,
"ReplicaTags": []
}
```