Processus de réplication pour clés multi-régions - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Processus de réplication pour clés multi-régions

AWS KMS utilise un mécanisme de réplication entre régions pour copier le contenu clé d'une KMS clé d'un HSM dans un Région AWS vers un HSM dans un autre Région AWS. Pour que ce mécanisme fonctionne, la KMS clé répliquée doit être une clé multirégionale. Lors de la réplication d'une KMS clé d'une région à une autre, HSMs les régions ne peuvent pas communiquer directement, car elles se trouvent dans des réseaux isolés. Au lieu de cela, les messages échangés pendant la réplication entre régions sont délivrés par un service proxy.

Lors de la réplication entre régions, chaque message généré par un AWS KMS HSM est signé cryptographiquement à l'aide d'une clé de signature de réplication. Les clés de signature de réplication (RSKs) sont ECDSA des clés situées sur la courbe NIST P-384. Chaque région en possède au moins uneRSK, et la composante publique de chacune RSK est partagée avec toutes les autres régions de la même AWS partition.

Le processus de réplication entre régions pour copier les éléments de clé de la région A à la région B fonctionne comme suit :

  1. HSMDans la région B, une ECDH clé éphémère est générée sur la courbe NIST P-384, la clé d'accord de réplication B (). RAKB Le composant public de RAKB est envoyé à un HSM dans la région A par le service proxy.

  2. La HSM région A reçoit la composante publique de RAKB puis génère une autre ECDH clé éphémère sur la courbe NIST P-384, la clé d'accord de réplication A (). RAKA HSMExécute le schéma d'établissement des ECDH clés RAKA et le composant public deRAKB, et en déduit une clé symétrique à partir de la sortie, la clé d'encapsulation de réplication (RWK). Le RWK est utilisé pour chiffrer le contenu clé de la clé multirégionale qui est KMS répliquée.

  3. Le composant public RAKA et le matériel clé crypté avec le RWK sont envoyés HSM à la région B via le service proxy.

  4. La HSM région B reçoit le composant public RAKA et le matériel clé chiffré à l'aide duRWK. Cela HSM se fait RWK en exécutant le système d'établissement ECDH clé RAKB et la composante publique deRAKA.

  5. HSMDans la région B, utilisez le RWK pour déchiffrer le contenu clé de la région A.