Avantages de la réplication Multi-Region des clés Comment fonctionne Multi-Region la réplication des clés Limites et considérations Activation de Multi-Region la réplication des clés Désactivation de la réplication Multi-Region des clés Considérations sur la sécurité Bonnes pratiques Tarification

Réplication des clés AWS de chiffrement des paiements

AWS La cryptographie des paiements prend en charge la réplication des Multi-Region clés, ce qui vous permet de distribuer en toute sécurité le matériel clé et les métadonnées d'une clé de chiffrement de AWS paiement donnée vers une ou plusieurs personnes Régions AWS au sein de la même AWS partition et du même compte.

La clé source est connue sous le nom de clé de région primaire (PRK) et reste la source officielle pour toutes les activités de gestion des clés, tandis que les clés PRK et les clés de région de réplication (RRK) peuvent être utilisées pour les opérations cryptographiques dans leurs domaines respectifs. Régions AWS

Avantages de la réplication Multi-Region des clés

Voici quelques avantages de la réplication des Multi-Region clés.

Configuration simplifiée pour les applications à haute disponibilité - AWS Payment Cryptography gère la distribution des clés pour vous afin que vous puissiez utiliser une clé en plusieurs fois Régions AWS sans avoir à créer de copies découplées d'une clé donnée.
Clés à haute disponibilité et à faible latence - Grâce à la réplication des Multi-Region clés, vous pouvez accéder à vos clés de manière multiple, Régions AWS ce qui les rend hautement disponibles, ce qui réduit le temps de latence.
Durabilité du matériau clé - Les clés de région de réplique sont des répliques complètes de clés et peuvent être utilisées indépendamment de leur clé de région principale dans les opérations cryptographiques. Un RRK fournit une réplique durable en cas de perte de données catastrophique d'un PRK.

Comment fonctionne Multi-Region la réplication des clés

Lorsque la réplication des Multi-Region clés est activée, le service de cryptographie des AWS paiements utilise des mécanismes de distribution de clés sécurisés pour copier les informations clés et les métadonnées vers la réplique Régions AWS que vous spécifiez. Les modifications apportées aux métadonnées clés d'une région principale, telles que les attributs clés, l'état et l'activation, sont automatiquement répliquées sur les clés de la région de réplication.

Limites et considérations

Voici certaines des Multi-Region principales limites et considérations relatives à la réplication.

Vous devez activer cette fonctionnalité pour une clé de cryptographie de paiement Région AWS ou pour des clés spécifiques.
- Si cette fonctionnalité est activée pour un Région AWS, toutes les clés de chiffrement des AWS paiements créées après l'activation seront répliquées à la valeur spécifiée. Région AWS Les clés créées dans cette région deviendront des clés de région principale. Les clés existantes dans cette région ne seront pas automatiquement répliquées. Vous pouvez activer la réplication Multi-Region des clés pour les clés existantes au niveau de la clé ou Région AWS au niveau de celle-ci.
- Chacun Région AWS peut avoir des paramètres de réplication Multi-Region clés uniques.
- Les paramètres de Multi-Region réplication d'une clé ont priorité sur les paramètres de réplication de la Région AWS Multi-Region clé.
Une clé de région de réplication ne peut pas être configurée pour être répliquée vers une autre Régions AWS.
Multi-Region la réplication de clés est disponible pour les clés de cryptographie de paiement symétriques telles que Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES) et Hash-based Message Authentication Code (HMAC).
Les clés de cryptographie de paiement asymétriques ne prennent pas en charge la réplication des Multi-Region clés.
Les clés Replica Region sont des clés en lecture seule. Toutes les modifications apportées à la clé de région principale seront appliquées aux clés de région de réplication.
Les modifications des clés de région principale sont finalement cohérentes avec les clés de région de réplication.
Les clés de chiffrement des paiements ne peuvent être répliquées qu'avec la même AWS partition et le même compte.
Le nombre de clés de la région de réplication est pris en compte dans la limite AWS de cryptographie des paiements de votre Compte AWS niveau.
La clé de région principale et la clé de région de réplication utilisent le même identifiant de clé, ce qui vous permet de référencer les deux clés par le même ARN dans les politiques IAM.
Pour que la réplication réussisse, vous devez disposer Région AWS d'CreateKeyautorisations sur le réplica.

Activation de Multi-Region la réplication des clés

Vous pouvez activer la réplication des clés pour les Multi-Region clés de cryptographie des AWS paiements de deux manières.

Région AWS: Multi-Region la réplication des clés est appliquée à toutes les nouvelles clés créées Région AWS lorsqu'elle est activée. Cette méthode assure une réplication cohérente pour toutes les clés.
Clés AWS de cryptographie de paiement spécifiques : vous pouvez gérer la réplication des Multi-Region clés pour des clés individuelles, ce qui permet un niveau de contrôle plus précis.

Une fois la réplication des Multi-Region clés activée, vos clés de chiffrement des paiements seront répliquées selon Régions AWS vos spécifications.

Important

Multi-Region la réplication des clés ne peut pas être interrompue. Vos clés sont automatiquement répliquées vers celles Régions AWS que vous spécifiez une fois la réplication activée. Multi-Region la réplication des clés peut être désactivée pour une clé spécifique Région AWS ou pour les clés de cryptographie des paiements. Vous devez supprimer la clé de région principale en Région AWS tant que région de réplication pour supprimer la clé de région de réplication.

Vous pouvez également appeler la commande StopKeyUsageAPI ou stop-key-usageCLI sur votre PRK pour arrêter l'utilisation du PRK et de tous les RRK associés. Vous ne pourrez pas utiliser ces clés dans des opérations cryptographiques. L'utilisation de l'StopKeyUsageAPI ou de la commande stop-key-usage CLI n'arrêtera pas la réplication de Multi-Region clé en cours activée pour votre PRK.

Vous pouvez vérifier les paramètres de réplication des Multi-Region clés pour les clés de chiffrement des AWS paiements dans un domaine spécifique en Région AWS appelant l'GetDefaultKeyReplicationRegionsAPI ou la commande get-default-key-replication-regions CLI. Les touches à l' Région AWS endroit où vous appelez cette action ou commande d'API deviendront votre PRK.

Utilisez les procédures suivantes pour activer la réplication Multi-Region des clés.

For Région AWS

Utilisez la commande suivante pour activer la réplication Multi-Region des clés pour un Région AWS que vous spécifiez. Dans cet exemple, la réplication des Multi-Region clés est activée dans l'est des États-Unis (Ohio) et dans l'ouest des États-Unis (Oregon). Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.
```
aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
```

Note

L'activation de la réplication des Multi-Region clés pour et ne Région AWS modifiera pas la configuration de réplication des clés de cryptographie de AWS paiement existantes. Vous pouvez activer cette fonctionnalité pour les clés existantes au niveau des clés. Seules les clés créées après l'activation de la réplication des Multi-Region clés sont utilisées pour et Région AWS utiliseront les paramètres de réplication des régions.

For specific AWS Payment Cryptography keys

Utilisez la commande suivante pour activer la réplication de Multi-Region clés pour des clés de chiffrement de paiement spécifiques. Dans cet exemple, la réplication des Multi-Region clés est activée dans l'est des États-Unis (Ohio). Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.
```
aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2
```

Vous pouvez également créer une nouvelle clé de chiffrement des paiements en activant cette fonctionnalité en incluant la réplication Régions AWS dans votre demande de création de clé.

Note

Les principaux paramètres de réplication ont priorité sur le paramètre de Région AWS réplication.

Désactivation de la réplication Multi-Region des clés

Si vous souhaitez désactiver la réplication des Multi-Region clés, vous pouvez appeler les commandes disable-default-key-replication ou les commandes remove-key-replication-regions CLI, selon le mode d'activation de la réplication des Multi-Region clés. Vous devez spécifier l'ARN de la clé et le Région AWS pour désactiver la réplication de la Multi-Region clé.

Considérations

Les suppressions de clés de région de réplication sont finalement cohérentes.

Utilisez les procédures suivantes pour désactiver la réplication Multi-Region des clés.

Considérations sur la sécurité

Les considérations de sécurité suivantes sont à prendre en compte lors de l'utilisation de la réplication de Multi-Region clés pour vos clés de cryptographie de paiement. Pour de plus amples informations, veuillez consulter Bonnes pratiques de sécurité pour la cryptographie des AWS paiements.

Limitez le partage de documents clés.
Respectez le principe du moindre privilège lors de la création de politiques IAM.
Vous ne pouvez pas modifier la clé Replica Region car il s'agit d'une clé en lecture seule.

Bonnes pratiques

Voici quelques bonnes pratiques relatives à l'utilisation de la réplication de Multi-Region clés avec des clés AWS de cryptographie de paiement.

Assurez-vous que votre application continue de fonctionner même si la réplication de la Multi-Region clé vers la valeur spécifiée n' Région AWS est pas immédiate. Si vous avez besoin de savoir quand la réplication des Multi-Region clés est terminée, vous pouvez effectuer un suivi à l'aide de l'action GetKeyAPI. Vous pouvez surveiller les principaux événements de réplication avec AWS CloudTrail.
Testez et mettez en œuvre des processus de déploiement automatisés en cas de basculement d'une région Région AWS à l'autre.

Tarification

Les répliques de clés de région que vous créez à l'aide de AWS Payment Cryptography vous sont facturées. Ces clés sont facturées par Région AWS. Pour obtenir les dernières informations sur les tarifs de la cryptographie des paiements, consultez la page de tarification AWS de la cryptographie des paiements.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Activation et désactivation de clés

Suppression de clés