Considerazioni sulla protezione per le chiavi multi-regione Come funzionano le chiavi multi-regione Concetti

Chiavi multiregionali in ingresso AWS KMS

AWS KMS supporta chiavi multiregionali, che sono disponibili AWS KMS keys in diverse Regioni AWS regioni e possono essere utilizzate in modo intercambiabile, come se si avesse la stessa chiave in più regioni. Ogni set di chiavi multiregionali correlate ha lo stesso materiale chiave e lo stesso ID di chiave, quindi puoi crittografare i dati in una Regione AWS e decrittografarli in un'altra Regione AWS senza doverli crittografare nuovamente o effettuare una chiamata interregionale a. AWS KMS

Come tutte le chiavi KMS, le chiavi multiregionali non escono mai non crittografate. AWS KMS È possibile creare chiavi multiregione simmetriche o asimmetriche per la crittografia o la firma, creare chiavi multiregione HMAC per generare e verificare tag HMAC e creare chiavi multiregione con materiale chiave importato o materiale chiave generato. AWS KMS È necessario gestire ogni chiave multi-regione in modo indipendente, inclusa la creazione di alias e tag, l'impostazione delle policy chiave e delle concessioni e l'abilitazione e la disabilitazione selettiva. È possibile utilizzare chiavi multi-regione in tutte le operazioni di crittografia che è possibile eseguire con le chiavi di singola regione.

Le chiavi multi-regione sono una soluzione flessibile e potente per molti scenari comuni di sicurezza dei dati.

Ripristino di emergenza

In un'architettura di backup e ripristino, le chiavi multiregionali consentono di elaborare i dati crittografati senza interruzioni anche in caso di interruzione. Regione AWS I dati mantenuti nelle regioni di backup possono essere decrittati nella regione di backup e i dati appena crittografati nella regione di backup possono essere decrittati nella regione principale quando tale regione viene ripristinata.

Gestione globale dei dati

Le aziende che operano a livello globale necessitano di dati distribuiti a livello globale e che siano disponibili in modo coerente in Regioni AWS. È possibile creare chiavi multi-regione in tutte le aree geografiche in cui risiedono i dati, quindi utilizzare le chiavi come se fossero una chiave singola regione senza la latenza di una chiamata tra regioni diverse o il costo di una nuova crittografia dei dati sotto una chiave diversa in ogni regione.

Applicazioni per la firma distribuita

Le applicazioni che richiedono funzionalità di firma tra regioni diverse possono utilizzare chiavi di firma asimmetriche multi-regione per generare firme digitali identiche in modo coerente e ripetuto in diverse Regioni AWS.

Se utilizzi il concatenamento dei certificati con un unico archivio attendibile globale (per una singola autorità di certificazione radice (CA) e CA intermedia regionali firmate dalla CA principale, non sono necessarie chiavi multi-regione. Tuttavia, se il sistema non supporta CA intermedie, ad esempio la firma delle applicazioni, è possibile utilizzare le chiavi multi-regione per garantire coerenza alle certificazioni internazionali.

Applicazioni in modalità attivo-attivo che si estendono su più regioni

Alcuni carichi di lavoro e applicazioni possono estendersi su più regioni in architetture di modalità attivo-attivo. Per queste applicazioni, le chiavi multi-regione possono ridurre la complessità fornendo lo stesso materiale chiave per le operazioni simultanee di crittografia e decrittografia sui dati che potrebbero essere spostati oltre i confini della regione.

È possibile utilizzare chiavi multi-regione con file crittografati lato client, ad esempio AWS Encryption SDK, il Client di crittografia DynamoDB, e file crittografato lato client Amazon S3. Per un esempio di utilizzo di chiavi multiregionali con le tabelle globali di Amazon DynamoDB e il DynamoDB Encryption Client, consulta Encrypt Global Data Client con chiavi multiregionali nel Security Blog. AWS KMS AWS

AWS i servizi che si integrano con AWS KMS la crittografia a riposo o le firme digitali attualmente trattano le chiavi multiregione come se fossero chiavi a regione singola. Potrebbero riavvolgere o crittografare i dati spostati tra le regioni. Ad esempio, la replica tra regioni di Amazon S3 decritta e crittografa nuovamente i dati sotto una chiave KMS nell'area di destinazione, anche durante la replica di oggetti protetti da una chiave multi-regione.

Le chiavi multi-regione non sono globali. Creare una chiave primaria multi-regione e quindi replicarla in Regioni selezionate all'interno di una partizione AWS. Puoi quindi gestire la chiave multi-regione in ogni regione in modo indipendente. Né crea AWS né AWS KMS replica automaticamente chiavi multiregionali in alcuna regione per conto dell'utente. Chiavi gestite da AWS, le chiavi KMS che AWS i servizi creano per te nel tuo account sono sempre chiavi per regione singola.

Non è possibile convertire una chiave di regione singola esistente in una chiave multi-regione. Questo design garantisce che tutti i dati protetti con le chiavi esistenti di regione singola mantengano le stesse proprietà di residenza e sovranità dei dati.

Per la maggior parte delle esigenze di sicurezza dei dati, l'isolamento regionale e la tolleranza agli errori delle risorse regionali rendono le chiavi standard per AWS KMS regione singola la soluzione più adatta. Tuttavia, quando è necessario crittografare o firmare i dati in applicazioni lato client in più regioni, è possibile che le chiavi multi-regione siano la soluzione.

Regioni

Le chiavi multiregionali sono supportate in tutti i paesi Regioni AWS AWS KMS supportati ad eccezione di Cina (Pechino) e Cina (Ningxia).

Prezzi e quote

Ogni chiave di un set di chiavi multi-regione viene conteggiata come una chiave KMS per i prezzi e le quote. Le quote di AWS KMS sono calcolate separatamente per ogni regione di un account. L'utilizzo e la gestione delle chiavi multi-regione in ogni regione conteggiano per le quote per quella regione.

Tipi di chiavi KMS supportati

È possibile creare i seguenti tipi di chiavi KMS multiregione:

Chiavi KMS di crittografia simmetrica
Chiavi KMS asimmetriche
Chiavi KMS HMAC
Chiavi KMS con materiale della chiave importato

Non è possibile creare chiavi multi-regione in un archivio delle chiavi personalizzate.

Argomenti

Considerazioni sulla protezione per le chiavi multi-regione

Usa una chiave AWS KMS multiregionale solo quando ne hai bisogno. Le chiavi multi-regione offrono una soluzione flessibile e scalabile per carichi di lavoro che spostano dati crittografati tra Regioni AWS o hanno bisogno di un accesso tra regioni. Considera una chiave multi-regione se hai bisogno di condividere, spostare o eseguire il backup di dati protetti tra regioni o creare firme digitali identiche di applicazioni che operano in diverse regioni.

Tuttavia, il processo di creazione di una chiave multi-regione sposta il materiale chiave su limiti Regione AWS all'interno di AWS KMS. Il testo cifrato generato da una chiave multi-regione può potenzialmente essere decrittato da più chiavi correlate in più posizioni geografiche. I servizi e le risorse isolate a livello regionale offrono vantaggi significativi. Ogni Regione AWS è isolata e indipendente dalle altre regioni. Le regioni forniscono la tolleranza ai guasti, la stabilità e la resilienza e possono anche ridurre la latenza. Consentono di creare risorse ridondanti che restano disponibili e non influenzate da un'interruzione in un'altra regione. Inoltre AWS KMS, assicurano che ogni testo cifrato possa essere decrittografato con una sola chiave.

Le chiavi multi-regione sollevano anche nuove considerazioni sulla sicurezza:

Il controllo dell'accesso e l'applicazione della policy di sicurezza dei dati è più complesso con le chiavi multi-regione. È necessario assicurarsi che la policy sia controllata in modo coerente sulla chiave in più aree isolate. E devi usare la policy per applicare i limiti, invece di fare affidamento su chiavi separate.

Ad esempio, è necessario impostare le condizioni di policy sui dati per impedire ai team del ciclo paghe di una regione di leggere i dati del ciclo paghe per una regione diversa. Inoltre, è necessario utilizzare il controllo di accesso per impedire uno scenario in cui una chiave multi-regione in una regione protegge i dati di un tenant e una chiave multi-regione correlata in un'altra regione protegge i dati di un tenant diverso.
Anche la verifica delle chiavi in tutte le regioni è più complesso. Con le chiavi multi-regione, è necessario esaminare e riconciliare le attività di verifica in più regioni per ottenere una comprensione completa delle attività chiave sui dati protetti.
La conformità ai requisiti di residenza dei dati può essere più complessa. Con le regioni isolate, è possibile garantire la residenza dei dati e la conformità alla sovranità dei dati. Le chiavi KMS in una determinata regione possono decrittare i dati sensibili solo in tale regione. I dati crittografati in una regione possono rimanere completamente protetti e inaccessibili in qualsiasi altra regione.

Per verificare la residenza e la sovranità dei dati con chiavi multiregionali, è necessario implementare politiche di accesso e compilare eventi in più regioni. AWS CloudTrail

Per semplificare la gestione del controllo degli accessi sulle chiavi multiregionali, l'autorizzazione a replicare una chiave multiregionale (kms:ReplicateKey) è separata dall'autorizzazione standard per la creazione di chiavi (kms:). CreateKey Inoltre, AWS KMS supporta diverse condizioni politiche per le chiavi multiregionalikms:MultiRegion, tra cui la possibilità di consentire o negare l'autorizzazione a creare, utilizzare o gestire chiavi multiregionali e la limitazione delle regioni in cui è possibile kms:ReplicaRegion replicare una chiave multiregionale. Per informazioni dettagliate, vedi Controllo dell'accesso alle chiavi multi-regione.

Come funzionano le chiavi multi-regione

Si inizia creando una chiave primaria multiregionale simmetrica o asimmetrica in un sistema che supporti, ad esempio Stati Uniti orientali (Virginia settentrionale). Regione AWS AWS KMS È possibile decidere se una chiave è di regione singola o multi-regione solo al momento della creazione. Non è possibile modificare questa proprietà in un secondo momento. Come per qualsiasi chiave KMS, è possibile impostare una policy delle chiavi per la chiave multi-regione ed è possibile creare concessioni e aggiungere alias e tag per la categorizzazione e l'autorizzazione. (Queste sono proprietà indipendenti che non sono condiviei o sincronizzate con altre chiavi.) È possibile utilizzare la chiave primaria multi-regione nelle operazioni di crittografia per la crittografia o la firma.

È possibile creare una chiave primaria multiregionale nella AWS KMS console o utilizzando l'API con il parametro impostato su. CreateKeyMultiRegiontrue Si noti che le chiavi multi-regione hanno un ID chiave distintivo che inizia con mrk-. Puoi utilizzare il prefisso mrk- per identificare gli MRK a livello di programmazione.

Se lo desideri, puoi replicare la chiave primaria multiregionale in una o più diverse Regioni AWS nella stessa AWS partizione, ad esempio Europa (Irlanda). Quando lo fai, AWS KMS crea una chiave di replica nella regione specificata con lo stesso ID di chiave e altre proprietà condivise della chiave primaria. Trasporta in modo sicuro il materiale chiave attraverso il confine della regione e lo associa alla nuova chiave KMS nella regione di destinazione, il tutto all'interno di AWS KMS. Il risultato è due chiavi multi-regione correlate, una chiave primaria e una chiave di replica, che possono essere utilizzate in modo intercambiabile.

È possibile creare una chiave di replica multiregionale nella AWS KMS console o utilizzando l'API. ReplicateKey

La risultante chiave di replica multi-regione è una chiave KMS completamente funzionale con le stesse proprietà condivise come chiave primaria. Per tutti gli altri aspetti, si tratta di una chiave KMS indipendente con descrizione, policy delle chiavi, concessioni, alias e tag propri. L'attivazione o la disattivazione di una chiave multi-regione non ha alcun effetto sulle chiavi multi-regione. È possibile utilizzare le chiavi primarie e di replica in modo indipendente nelle operazioni di crittografia o coordinarne l'utilizzo. Ad esempio, è possibile crittografare i dati con la chiave primaria nella regione Stati Uniti orientali (Virginia settentrionale), spostare i dati nella regione Europa (Irlanda) e utilizzare la chiave di replica per decrittare i dati.

Le chiavi multi-regione correlate hanno lo stesso ID chiave. I loro ARN della chiave (nomi delle risorse Amazon) differiscono solo nel campo Regione. Ad esempio, la chiave primaria multi-regione e le chiavi di replica potrebbero avere i seguenti di esempi di ARN della chiave. L'ID chiave, l'ultimo elemento nell'ARN della chiave, è identico. Entrambe le chiavi hanno l'ID chiave distintivo delle chiavi multi-regione, che inizia con mrk-.


Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Per l'interoperabilità è necessario disporre dello stesso ID chiave. Durante la crittografia, AWS KMS associa l'ID della chiave KMS al testo cifrato in modo che il testo cifrato possa essere decrittografato solo con quella chiave KMS o con una chiave KMS con lo stesso ID di chiave. Questa caratteristica rende anche facili da riconoscere le chiavi multi-regione correlate e rende più facile utilizzarle in modo intercambiabile. Ad esempio, quando le si utilizzano in un'applicazione, è possibile fare riferimento alle chiavi multi-regione correlate tramite il relativo ID chiave condivisa. Quindi, se necessario, specificare la regione o l'ARN per distinguerli.

Man mano che le esigenze relative ai dati cambiano, puoi replicare la chiave primaria su altre Regioni AWS chiavi della stessa partizione, ad esempio Stati Uniti occidentali (Oregon) e Asia Pacifico (Sydney). Il risultato è quattro chiavi multi-regione correlate con lo stesso materiale della chiave e gli stessi ID chiave, come illustrato nel diagramma seguente. Gestisci le chiavi in modo indipendente. Puoi usarle indipendentemente o in modo coordinato. Ad esempio, è possibile crittografare i dati con la chiave di replica in Asia Pacifico (Sydney), spostare i dati in Stati Uniti occidentali (Oregon) e decrittarli con la chiave di replica in Stati Uniti occidentali (Oregon).

Le chiavi primarie e di replica in una chiave multi-regione

Altre considerazioni per le chiavi multi-regione includono le seguenti.

Sincronizzazione delle proprietà condivise: se una proprietà condivisa delle chiavi multiregionali cambia, sincronizza AWS KMS automaticamente la modifica dalla chiave primaria a tutte le relative chiavi di replica. Non è possibile richiedere o forzare una sincronizzazione delle proprietà condivise. AWS KMS rileva e sincronizza tutte le modifiche per te. Tuttavia, è possibile controllare la sincronizzazione utilizzando l'SynchronizeMultiRegionKeyevento nei registri. CloudTrail

Ad esempio, se abiliti la rotazione automatica delle chiavi su una chiave primaria simmetrica multiregionale, AWS KMS copia tale impostazione su tutte le relative chiavi di replica. Quando il materiale chiave viene ruotato, la rotazione viene sincronizzata tra tutte le chiavi multi-regione correlate, in modo che continuino ad avere lo stesso materiale chiave corrente e ad accedere a tutte le versioni precedenti del materiale chiave. Se si crea una nuova chiave di replica, la chiave contiene lo stesso materiale corrente di tutte le chiavi multi-regione correlate e l'accesso a tutte le versioni precedenti del materiale chiave. Per dettagli, consulta Rotazione di chiavi multiregione.

Modifica della chiave primaria — Ogni set di chiavi multi-regione deve avere esattamente una chiave primaria. La chiave primaria è l'unica chiave che può essere replicata. È anche la fonte delle proprietà condivise delle chiavi di replica. Tuttavia, è possibile modificare la chiave primaria in una replica e promuovere una delle chiavi di replica in primaria. È possibile eseguire questa operazione in modo da poter eliminare una chiave primaria per più aree da una determinata regione o individuare la chiave primaria in una regione più vicina agli amministratori di progetto. Per informazioni dettagliate, vedi Aggiornamento della Regione principale.

Eliminazione delle chiavi multiregionali: come tutte le chiavi KMS, è necessario pianificare l'eliminazione delle chiavi multiregionali prima di eliminarle. AWS KMS Mentre la chiave è in attesa di eliminazione, non è possibile utilizzarla in nessuna operazione di crittografia. Tuttavia, non AWS KMS eliminerà una chiave primaria multiregionale finché non verranno eliminate tutte le relative chiavi di replica. Per informazioni dettagliate, vedi Eliminazione di chiavi multiregione.

Concetti

I termini e i concetti seguenti sono utilizzati con le chiavi multi-regione.

Chiave multi-regione

Una chiave multi-regione è una di un set di chiavi KMS con lo stesso ID chiave e materiale chiave (e altre proprietà condivise) in diversi Regioni AWS. Ogni chiave multi-regione è una chiave KMS completamente funzionante che può essere utilizzata indipendentemente dalle relative chiavi multi-regione correlate. Poiché tutte le chiavi multiregionali correlate hanno lo stesso ID di chiave e lo stesso materiale chiave, sono interoperabili, ovvero qualsiasi chiave multiregionale correlata in qualsiasi area Regione AWS può decrittografare il testo cifrato crittografato da qualsiasi altra chiave multiregionale correlata.

Puoi impostare la proprietà multi-regione di una chiave KMS al momento della sua creazione. Non è possibile modificare la proprietà multi-Regione su una chiave esistente. Non è possibile convertire una chiave a Regione singola in chiave multi-Regione o convertire una chiave multi-Regione in una chiave a Regione singola. Per spostare i carichi di lavoro esistenti in scenari multi-Regione, è necessario crittografare nuovamente i dati o creare nuove firme con nuove chiavi multi-Regione.

Una chiave multiregionale può essere simmetrica o asimmetrica e può utilizzare materiale chiave o materiale chiave importato. AWS KMS Non è possibile creare chiavi multi-regione in un archivio delle chiavi personalizzate.

In una serie di chiavi multi-regione correlate, c'è esattamente una chiave primaria in qualsiasi momento. È possibile creare chiavi di replica di quella chiave primaria in altri Regioni AWS. È possibile anche aggiornare l'area principale, che modifica la chiave primaria in una chiave di replica e modifica una chiave di replica specificata nella chiave primaria. Tuttavia, è possibile mantenere una sola chiave primaria o chiave di replica per ciascuna. Regione AWS Tutte le regioni devono trovarsi nella stessa partizione AWS.

È possibile avere più set di chiavi multi-regione correlate nello stesso o in un diverso Regioni AWS. Sebbene le chiavi multi-regione correlate siano interoperabili, le chiavi multi-regione non correlate non sono interoperabili.

Chiave primaria

Una chiave primaria multiregionale è una chiave KMS che può essere replicata in altre Regioni AWS nella stessa partizione. Ogni set di chiavi multi-regione ha una sola chiave primaria.

Una chiave primaria differisce da una chiave di replica nei seguenti modi:

Solo una chiave primaria può essere replicata.
La chiave primaria è la fonte per le proprietà condivise delle sue chiavi di replica, incluso il materiale della chiave e l'ID chiave.
Puoi abilitare e disabilitare la rotazione automatica delle chiavi solo su una chiave primaria.
È possibile pianificare l'eliminazione di una chiave primaria in qualsiasi momento. Ma non AWS KMS eliminerà una chiave primaria finché non verranno eliminate tutte le relative chiavi di replica.

Tuttavia, le chiavi primarie e di replica non differiscono in alcuna proprietà crittografica. È possibile utilizzare una chiave primaria e le relative chiavi di replica in modo intercambiabile.

Non è necessario replicare una chiave primaria. È possibile utilizzarlo come qualsiasi chiave KMS e replicarlo se e quando è utile. Tuttavia, poiché le chiavi multi-regione dispongono di proprietà di protezione diverse dalle chiavi di regione singola, si consiglia di creare una chiave multi-regione solo quando si prevede di replicarla.

Chiave di replica

Una chiave di replica multi-regione è una chiave KMS che ha lo stesso ID chiave e materiale della chiave come sua chiave primaria e chiavi di replica correlate, ma esiste in una Regione AWS diversa.

Una chiave di replica è una chiave KMS completamente funzionale con policy di chiave, privilegi, alias, tag e altre proprietà. Non è una copia o un puntatore alla chiave primaria o a qualsiasi altra chiave. È possibile utilizzare una chiave di replica anche se la chiave primaria e tutte le chiavi di replica correlate sono disabilitate. È inoltre possibile convertire una chiave di replica in una chiave primaria e una chiave primaria in una chiave di replica. Una volta creata, una chiave di replica si basa sulla sua chiave primaria solo per rotazione delle chiavi e aggiornamento della regione primaria.

Le chiavi primarie e di replica non differiscono nelle proprietà crittografiche. È possibile utilizzare una chiave primaria e le relative chiavi di replica in modo intercambiabile. I dati crittografati da una chiave primaria o di replica possono essere decrittati dalla stessa chiave o da qualsiasi chiave primaria o di replica correlata.

Replica

È possibile replicare una chiave primaria multiregionale in un'altra Regione AWS nella stessa partizione. Quando lo fai, AWS KMS crea una chiave di replica multiregionale nella regione specificata con lo stesso ID di chiave e altre proprietà condivise della chiave primaria. Quindi trasporta in modo sicuro il materiale chiave attraverso il confine della regione e lo associa alla nuova chiave di replica, il tutto all'interno di AWS KMS.

Proprietà condivise

Le proprietà condivise sono proprietà di una chiave primaria multiregionale condivise con le relative chiavi di replica. AWS KMS crea le chiavi di replica con gli stessi valori di proprietà condivisi di quelli della chiave primaria. Quindi, sincronizza periodicamente i valori delle proprietà condivise della chiave primaria con le relative chiavi di replica. Non è possibile impostare queste proprietà su una chiave di replica.

Di seguito sono riportate le proprietà condivise delle chiavi multi-regione.

ID chiave — (L'elemento Region del ARN della chiave differisce.)
Materiale della chiave
Origine del materiale della chiave
Specifica della chiave e algoritmi di crittografia
Utilizzo delle chiavi
Rotazione automatica delle chiavi, è possibile abilitare e disabilitare la rotazione automatica delle chiavi solo sulla chiave primaria. Le nuove chiavi di replica vengono create con tutte le versioni del materiale della chiave condivisa. Per informazioni dettagliate, vedi Rotazione di chiavi multiregione.
Rotazione su richiesta: è possibile eseguire la rotazione su richiesta solo sulla chiave primaria. Le nuove chiavi di replica vengono create con tutte le versioni del materiale della chiave condivisa. Per informazioni dettagliate, vedi Rotazione di chiavi multiregione.

È inoltre possibile considerare le designazioni primarie e di replica delle chiavi multi-regione correlate come proprietà condivise. Quando si creano nuove chiavi di replica o si aggiorna la chiave primaria, AWS KMS sincronizza la modifica con tutte le chiavi multiregionali correlate. Una volta completate queste modifiche, tutte le chiavi multi-regione elencano in modo accurato la chiave primaria e le chiavi di replica.

Tutte le altre proprietà delle chiavi multi-regione sono proprietà indipendenti, compresa la descrizione, la policy delle chiavi, le concessioni, gli stati chiave abilitati e disabilitati, gli alias, e i tag. Puoi impostare gli stessi valori per queste proprietà su tutte le chiavi multi-regione correlate, ma se si modifica il valore di una proprietà indipendente, AWS KMS non lo sincronizza.

È possibile tenere traccia della sincronizzazione delle proprietà condivise delle chiavi multi-regione. Nel tuo AWS CloudTrail registro, cerca l'evento. SynchronizeMultiRegionKey

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione delle chiavi HMAC

Controllo dell'accesso