Creazione di chiavi primarie multiregionali - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di chiavi primarie multiregionali

Puoi creare una chiave primaria multiregionale nella AWS KMS console o utilizzando l' AWS KMS API. È possibile creare la chiave primaria Regione AWS ovunque AWS KMS supporti le chiavi multiregionali.

Per creare una chiave primaria multiregionale, il principale necessita delle stesse autorizzazioni di cui ha bisogno per creare qualsiasi chiave KMS, inclusa l'CreateKeyautorizzazione kms: in una policy IAM. Il preside necessita anche dell'autorizzazione iam:. CreateServiceLinkedRole Puoi usare la chiave kms: MultiRegionKeyType condition per consentire o negare l'autorizzazione alla creazione di chiavi primarie multiregionali.

Nota

Quando crei la tua chiave primaria multiregionale, considera attentamente gli utenti e i ruoli IAM che scegli per amministrare e utilizzare la chiave. Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per gestire la chiave KMS.

Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

Per creare una chiave primaria multiregionale nella AWS KMS console, utilizza lo stesso processo che utilizzeresti per creare qualsiasi chiave KMS. Seleziona una chiave multiregione in Opzioni avanzate. Per istruzioni complete, consulta Creare una chiave KMS.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Selezionare un tipo di chiave simmetrico o asimmetrico. Le chiavi simmetriche sono le chiavi di default.

    È possibile creare chiavi simmetriche e asimmetriche multi-regione, incluse le chiavi KMS HMAC multi-regione, che sono simmetriche.

  6. Seleziona l'utilizzo della chiave. Encrypt and decrypt (Crittografa e decrittografa) è l'utilizzo di default.

    Per assistenza, consulta le sezioni Creare una chiave KMS, Creazione di una chiave KMS asimmetrica o Creazione di una chiave KMS HMAC.

  7. Espandere Advanced options (Opzioni avanzate).

  8. In Origine del materiale chiave, per AWS KMS generare il materiale chiave che condivideranno le chiavi principali e di replica, scegli KMS. Se importi il materiale della chiave nelle chiavi primarie e di replica, scegli External (Import key material) (Esterna (Importa materiale della chiave)).

  9. In Regionalità, scegli la chiave multiregionale.

    Non è possibile modificare questa impostazione dopo aver creato la chiave KMS.

  10. Digita un alias per la chiave primaria.

    Gli alias non sono una proprietà condivisa delle chiavi multiregione. Puoi assegnare alla tua chiave primaria multiregionale e alle sue repliche lo stesso alias o alias diversi. AWS KMS non sincronizza gli alias delle chiavi multiregionali.

    Nota

    L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa gli alias per controllare l'accesso alle chiavi KMS.

  11. (Facoltativo) Digita una descrizione della chiave primaria.

    Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche la stessa descrizione o descrizioni diverse. AWS KMS non sincronizza le descrizioni dei tasti delle chiavi multiregionali.

  12. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per assegnare più di un tag alla chiave primaria, scegli Aggiungi tag.

    I tag non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregione. Puoi modificare i tag nelle chiaviKMS in qualsiasi momento.

    Nota

    L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa i tag per controllare l'accesso alle chiavi KMS.

  13. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave primaria.

    Note

    • Questo passaggio avvia il processo di creazione di una policy chiave per la chiave primaria. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregionale e alle relative repliche la stessa politica chiave o politiche chiave diverse. AWS KMS non sincronizza le politiche chiave delle chiavi multiregionali. È possibile modificare la policy chiave di una chiave KMS in qualsiasi momento.

    • Quando crei una chiave primaria multiregionale, prendi in considerazione l'utilizzo della politica di chiave predefinita generata dalla console. Se modifichi questa politica, la console non fornirà i passaggi per selezionare gli amministratori e gli utenti chiave durante la creazione delle chiavi di replica, né aggiungerà le dichiarazioni politiche corrispondenti. Di conseguenza, dovrai aggiungerle manualmente.

    • La AWS KMS console aggiunge gli amministratori chiave alla policy chiave sotto l'identificatore "Allow access for Key Administrators" dell'istruzione. La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  14. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione Eliminazione chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave.

  15. Scegli Next (Successivo).

  16. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per operazioni di crittografia.

    Note

    La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli "Allow use of the key" identificatori di dichiarazione e. "Allow attachment of persistent resources" La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  17. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  18. Scegli Next (Successivo).

  19. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona Modifica.

  20. Scegli Next (Successivo).

  21. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  22. Scegli Fine per creare la chiave primaria multiregionale.

Per creare una chiave primaria multiregionale, usa l'CreateKeyoperazione. Usa il parametro MultiRegion con valore True.

Ad esempio, il comando seguente crea una chiave primaria multiregionale in quella del chiamante ( Regione AWS us-east-1). Accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave. I valori predefiniti per le chiavi primarie multiregione sono gli stessi dei valori predefiniti per tutte le altre chiavi KMS, inclusa la proprietà policy chiave predefinita. Questa procedura crea una chiave di crittografia simmetrica, la chiave KMS di default.

La risposta include l'elemento MultiRegion e l'elemento MultiRegionConfiguration con sottoelementi e valori tipici per una chiave primaria multiregione senza chiavi di replica. L'ID chiave di una chiave multiregione inizia sempre con mrk-.

Importante

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}