Creazione di chiavi primarie multiregione - AWS Key Management Service
Creazione di chiavi primarie multiregione (console)Creazione di chiavi primarie multiregione (API AWS KMS)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di chiavi primarie multiregione

È possibile creare chiavi primarie multiregione nella console AWS KMS o tramite l'API AWS KMS. È possibile creare la chiave primaria in qualsiasi Regione AWS dove AWS KMS supporta le chiavi multiregione.

Per creare una chiave primaria multiregionale, il principale necessita delle stesse autorizzazioni di cui ha bisogno per creare qualsiasi chiave KMS, inclusa l'CreateKeyautorizzazione kms: in una policy IAM. Il preside necessita anche dell'autorizzazione iam:. CreateServiceLinkedRole Puoi usare la chiave kms: MultiRegionKeyType condition per consentire o negare l'autorizzazione alla creazione di chiavi primarie multiregionali.

Queste istruzioni creano una chiave primaria multiregione con materiale chiave generato da AWS KMS. Per creare una chiave primaria multiregione con materiale chiave importato, consulta Creazione di una chiave primaria con materiale chiave importato.

Creazione di chiavi primarie multiregione (console)

Per creare una chiave primaria multiregione nella console AWS KMS, utilizza la stessa procedura che utilizzeresti per creare qualsiasi chiave KMS. Seleziona una chiave multiregione in Opzioni avanzate. Per istruzioni complete, consulta Creazione di chiavi.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Selezionare un tipo di chiave simmetrico o asimmetrico. Le chiavi simmetriche sono le chiavi di default.

    È possibile creare chiavi simmetriche e asimmetriche multi-regione, incluse le chiavi KMS HMAC multi-regione, che sono simmetriche.

  6. Seleziona l'utilizzo della chiave. Encrypt and decrypt (Crittografa e decrittografa) è l'utilizzo di default.

    Per assistenza, consulta le sezioni Creazione di chiavi, Creazione di chiavi KMS asimmetriche o Creazione di chiavi KMS HMAC.

  7. Espandere Advanced options (Opzioni avanzate).

  8. Alla voce Origine del materiale chiave, per far sì che AWS KMS generi il materiale chiave che le chiavi primarie e di replica condivideranno, scegli KMS. Se importi il materiale della chiave nelle chiavi primarie e di replica, scegli External (Import key material) (Esterna (Importa materiale della chiave)).

  9. Alla voce Replica multiregione, scegli Consenti la replica di questa chiave in altre Regioni.

    Non è possibile modificare questa impostazione dopo aver creato la chiave KMS.

  10. Digita un alias per la chiave primaria.

    Gli alias non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi alias o alias diversi. AWS KMS non sincronizza gli alias delle chiavi multiregione.

    Nota

    L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Utilizzo degli alias per controllare l'accesso alle chiavi KMS.

  11. (Facoltativo) Digita una descrizione della chiave primaria.

    Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche le stesse descrizioni o descrizioni diverse. AWS KMS non sincronizza le descrizioni delle chiavi multiregione.

  12. (Facoltativo) Digitare una tag di chiave e un valore di tag facoltativo. Per assegnare più di un tag alla chiave primaria, scegli Aggiungi tag.

    I tag non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregione. Puoi modificare i tag nelle chiaviKMS in qualsiasi momento.

    Nota

    L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Utilizzo dei tag per controllare l'accesso alle chiavi KMS.

  13. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave primaria.

    Nota

    Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per gestire la chiave KMS.

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

    Questo passaggio avvia il processo di creazione di una policy chiave per la chiave primaria. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche le stesse policy chiave o policy chiave diverse. AWS KMS non sincronizza le policy chiave delle chiavi multiregione. È possibile modificare la policy chiave di una chiave KMS in qualsiasi momento.

  14. Completa la procedura per la creazione della policy delle chiavi, inclusa la selezione degli utenti della chiave. Dopo aver revisionato la policy chiave, seleziona Fine per creare la chiave KMS.

Mostra piùMostra meno

Creazione di chiavi primarie multiregione (API AWS KMS)

Per creare una chiave primaria multiregionale, utilizzare l'CreateKeyoperazione. Usa il parametro MultiRegion con valore True.

Ad esempio, il seguente comando crea una chiave primaria multiregione nellaRegione AWS del chiamante (us-east-1). Accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave. I valori predefiniti per le chiavi primarie multiregione sono gli stessi dei valori predefiniti per tutte le altre chiavi KMS, inclusa la proprietà policy chiave predefinita. Questa procedura crea una chiave di crittografia simmetrica, la chiave KMS di default.

La risposta include l'elemento MultiRegion e l'elemento MultiRegionConfiguration con sottoelementi e valori tipici per una chiave primaria multiregione senza chiavi di replica. L'ID chiave di una chiave multiregione inizia sempre con mrk-.

Importante

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
Mostra piùMostra meno