Come funzionano le chiavi multi-regione

Si inizia creando una chiave primaria multiregionale simmetrica o asimmetrica in un sistema che supporti, ad esempio Stati Uniti orientali (Virginia settentrionale). Regione AWS AWS KMS È possibile decidere se una chiave è di regione singola o multi-regione solo al momento della creazione. Non è possibile modificare questa proprietà in un secondo momento. Come per qualsiasi KMS chiave, si imposta una politica chiave per la chiave multiregionale e si possono creare concessioni e aggiungere alias e tag per la categorizzazione e l'autorizzazione. (Queste sono proprietà indipendenti che non sono condiviei o sincronizzate con altre chiavi.) È possibile utilizzare la chiave primaria multi-regione nelle operazioni di crittografia per la crittografia o la firma.

È possibile creare una chiave primaria multiregionale nella AWS KMS console o utilizzando il CreateKeyAPIparametro impostato su. MultiRegion true Si noti che le chiavi multi-regione hanno un ID chiave distintivo che inizia con mrk-. È possibile utilizzare il mrk- prefisso per l'identificazione MRKs a livello di codice.

Multi-Region primary key icon with red key symbol and sample key ID format.

Se lo desideri, puoi replicare la chiave primaria multiregionale in una o più diverse Regioni AWS nella stessa AWS partizione, ad esempio Europa (Irlanda). Quando lo fai, AWS KMS crea una chiave di replica nella regione specificata con lo stesso ID di chiave e altre proprietà condivise della chiave primaria. Quindi trasporta in modo sicuro il materiale chiave attraverso il confine della regione e lo associa alla nuova KMS chiave nella regione di destinazione, il tutto all'interno. AWS KMS Il risultato è due chiavi multi-regione correlate, una chiave primaria e una chiave di replica, che possono essere utilizzate in modo intercambiabile.

È possibile creare una chiave di replica multiregionale nella console o utilizzando. AWS KMS ReplicateKeyAPI

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

La chiave di replica multiregionale risultante è una chiave completamente funzionale con le stesse proprietà condivise della KMS chiave primaria. Sotto tutti gli altri aspetti, è una KMS chiave indipendente con una descrizione, una politica chiave, concessioni, alias e tag propri. L'attivazione o la disattivazione di una chiave multi-regione non ha alcun effetto sulle chiavi multi-regione. È possibile utilizzare le chiavi primarie e di replica in modo indipendente nelle operazioni di crittografia o coordinarne l'utilizzo. Ad esempio, è possibile crittografare i dati con la chiave primaria nella regione Stati Uniti orientali (Virginia settentrionale), spostare i dati nella regione Europa (Irlanda) e utilizzare la chiave di replica per decrittare i dati.

Le chiavi multi-regione correlate hanno lo stesso ID chiave. La loro chiave ARNs (Amazon Resource Names) differisce solo nel campo Regione. Ad esempio, la chiave primaria multiregionale e le chiavi di replica potrebbero avere la seguente chiave di esempio. ARNs L'ID della chiave, l'ultimo elemento della chiave, è ARN identico. Entrambe le chiavi hanno l'ID chiave distintivo delle chiavi multiregionali, che inizia con mrk-.


Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Per l'interoperabilità è necessario disporre dello stesso ID chiave. Durante la crittografia, AWS KMS associa l'ID della KMS chiave al testo cifrato in modo che il testo cifrato possa essere decrittografato solo con quella KMS chiave o con una chiave con lo stesso ID di chiave. KMS Questa caratteristica rende anche facili da riconoscere le chiavi multi-regione correlate e rende più facile utilizzarle in modo intercambiabile. Ad esempio, quando le si utilizzano in un'applicazione, è possibile fare riferimento alle chiavi multi-regione correlate tramite il relativo ID chiave condivisa. Quindi, se necessario, specifica la regione o distinguila. ARN

Man mano che le esigenze relative ai dati cambiano, puoi replicare la chiave primaria su altre Regioni AWS chiavi della stessa partizione, ad esempio Stati Uniti occidentali (Oregon) e Asia Pacifico (Sydney). Il risultato sono quattro chiavi multiregionali correlate con lo stesso materiale chiave e la stessa chiaveIDs, come illustrato nel diagramma seguente. Gestisci le chiavi in modo indipendente. Puoi usarle indipendentemente o in modo coordinato. Ad esempio, è possibile crittografare i dati con la chiave di replica in Asia Pacifico (Sydney), spostare i dati in Stati Uniti occidentali (Oregon) e decrittarli con la chiave di replica in Stati Uniti occidentali (Oregon).

Le chiavi primarie e di replica in una chiave multi-regione

Altre considerazioni per le chiavi multi-regione includono le seguenti.

Sincronizzazione delle proprietà condivise: se una proprietà condivisa delle chiavi multiregionali cambia, sincronizza AWS KMS automaticamente la modifica dalla chiave primaria a tutte le relative chiavi di replica. Non è possibile richiedere o forzare una sincronizzazione delle proprietà condivise. AWS KMS rileva e sincronizza tutte le modifiche per te. Tuttavia, è possibile controllare la sincronizzazione utilizzando l'SynchronizeMultiRegionKeyevento nei registri. CloudTrail

Ad esempio, se abiliti la rotazione automatica delle chiavi su una chiave primaria simmetrica multiregionale, AWS KMS copia tale impostazione su tutte le relative chiavi di replica. Quando il materiale chiave viene ruotato, la rotazione viene sincronizzata tra tutte le chiavi multi-regione correlate, in modo che continuino ad avere lo stesso materiale chiave corrente e ad accedere a tutte le versioni precedenti del materiale chiave. Se si crea una nuova chiave di replica, la chiave contiene lo stesso materiale corrente di tutte le chiavi multi-regione correlate e l'accesso a tutte le versioni precedenti del materiale chiave. Per dettagli, consulta Rotating multi-Region keys.

Modifica della chiave primaria — Ogni set di chiavi multi-regione deve avere esattamente una chiave primaria. La chiave primaria è l'unica chiave che può essere replicata. È anche la fonte delle proprietà condivise delle chiavi di replica. Tuttavia, è possibile modificare la chiave primaria in una replica e promuovere una delle chiavi di replica in primaria. È possibile eseguire questa operazione in modo da poter eliminare una chiave primaria per più aree da una determinata regione o individuare la chiave primaria in una regione più vicina agli amministratori di progetto. Per informazioni dettagliate, consultare Cambia la chiave primaria in un set di chiavi multiregionali.

Eliminazione delle chiavi multiregionali: come tutte le KMS chiavi, è necessario pianificare l'eliminazione delle chiavi multiregionali prima di eliminarle. AWS KMS Mentre la chiave è in attesa di eliminazione, non è possibile utilizzarla in nessuna operazione di crittografia. Tuttavia, non AWS KMS eliminerà una chiave primaria multiregionale finché non verranno eliminate tutte le relative chiavi di replica. Per informazioni dettagliate, consultare Deleting multi-Region keys.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Considerazioni sulla protezione per le chiavi multi-regione

Materiale della chiave importato