Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Creazione di chiavi di replica multiregionali

PDF
RSS
Modalità Focus
Creazione di chiavi di replica multiregionali - AWS Key Management Service
Passaggio 1: Scegli le regioni di replicaPassaggio 2: Creare chiavi di replica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

È possibile creare una chiave di replica multiregionale nella AWS KMS console, utilizzando l'ReplicateKeyoperazione o utilizzando un modello. AWS::KMS::ReplicaKey AWS CloudFormation Non è possibile utilizzare l'CreateKeyoperazione per creare una chiave di replica.

È possibile utilizzare queste procedure per replicare qualsiasi chiave primaria multi-regione, incluse le chiavi KMS di crittografia simmetrica, le chiavi KMS asimmetriche e le chiavi KMS HMAC.

Al termine di questa operazione, la nuova chiave di replica presenta uno stato chiave Creating. Lo stato della chiave cambia in Enabled (o PendingImport se si crea una chiave multiregionale con materiale chiave importato) dopo alcuni secondi, quando il processo di creazione della nuova chiave di replica è completo. Quando lo stato della chiave è Creating, puoi visualizzare e gestire la chiave, ma non utilizzarla per operazioni di crittografia. Se state creando e utilizzando la chiave di replica a livello di codice, riprovate KMSInvalidStateException o richiamate DescribeKeyper verificarne il valore prima di utilizzarla. KeyState

Se si elimina accidentalmente una chiave di replica, è possibile utilizzare questa procedura per ricrearla. Se si replica la stessa chiave primaria nella stessa regione, la nuova chiave di replica creata avrà le stesse proprietà condivise della chiave di replica originale.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Per utilizzare un AWS CloudFormation modello per creare una chiave di replica, consulta AWS::KMS::ReplicaKeyla Guida per l'AWS CloudFormation utente.

Passaggio 1: Scegli le regioni di replica

In genere si sceglie di replicare una chiave multiregionale in una in Regione AWS base al modello di business e ai requisiti normativi. Ad esempio, puoi replicare una chiave nelle Regioni in cui conservi le tue risorse. In alternativa, per soddisfare i requisiti di ripristino di emergenza, è possibile replicare una chiave in Regioni geograficamente distanti.

Di seguito sono riportati i AWS KMS requisiti per le regioni di replica. Se la Regione scelta non è conforme a questi requisiti, i tentativi di replicare una chiave hanno esito negativo.

  • Una chiave multiregione correlata per Regione: non è possibile creare una chiave di replica nella stessa Regione della chiave primaria o nella stessa Regione di un'altra replica della chiave primaria.

    Se si prova a replicare una chiave primaria in una regione che ha già una replica di quella chiave primaria, il tentativo avrà esito negativo. Se la chiave di replica corrente nella regione si trova nello stato delle chiavi PendingDeletion, è possibile annullare l'eliminazione della chiave di replica oppure attendere fino a quando la chiave di replica non viene eliminata.

  • Più chiavi multiregione non correlate nella stessa Regione — È possibile avere più chiavi multiregione non correlate nella stessa Regione. Ad esempio, è possibile avere due chiavi primarie multiregione nella Regione us-east-1. Ciascuna delle chiavi primarie può avere una chiave di replica nella Regione us-west-2.

  • Regioni nella stessa partizione — La Regione della chiave di replica deve trovarsi nella stessa partizione AWS della Regione della chiave primaria.

  • La Regione deve essere abilitata — Se una regione è disabilitata per impostazione predefinita, non è possibile creare alcuna risorsa in tale Regione finché non viene abilitata per il tuo Account AWS.

Passaggio 2: Creare chiavi di replica

Nota

Quando crei le chiavi di replica, considera attentamente gli utenti e i ruoli IAM che scegli per amministrare e utilizzare la chiave di replica. Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per gestire la chiave KMS.

Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

Nella AWS KMS console, è possibile creare una o più repliche di una chiave primaria multiregionale con la stessa operazione.

Questa procedura è simile alla creazione di una chiave KMS standard per singola Regione nella console. Tuttavia, poiché una chiave di replica è basata sulla chiave primaria, non è possibile selezionare i valori per le proprietà condivise, ad esempio la specifica della chiave (simmetrica o asimmetrica), l'utilizzo della chiave o l'origine della chiave.

È possibile specificare proprietà non condivise, tra cui un alias, tag, una descrizione e una policy chiave. Per comodità, la console visualizza i valori delle proprietà correnti della chiave primaria, ma è possibile modificarli. Anche se si mantengono i valori della chiave primaria, questi valori AWS KMS non vengono mantenuti sincronizzati.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Seleziona l'alias o l'ID chiave di una chiave primaria multiregione. In questo modo si apre la pagina dei dettagli delle chiavi per la chiave KMS.

    Per identificare una chiave primaria multiregione, utilizza l'icona dello strumento nell'angolo in alto a destra per aggiungere la colonna Regionalità nella tabella.

  5. Seleziona la tab Regionalità.

  6. Nella sezione Chiavi multiregione correlate, scegli Crea nuove chiavi di replica.

    Le chiavi multiregione correlate mostrano la Regione della chiave primaria e le relative chiavi di replica. È possibile utilizzare questa visualizzazione per scegliere la Regione per la nuova chiave di replica.

  7. Scegli una o più Regioni AWS. Questa procedura crea una chiave di replica in ciascuna delle Regioni selezionate.

    Il menu include solo le regioni nella stessa AWS partizione della chiave primaria. Le Regioni che dispongono già di una chiave multiregione correlata vengono visualizzate, ma non sono selezionabili. È possibile che non si disponga dell'autorizzazione per replicare una chiave in tutte le Regioni del menu.

    Quando hai finito di scegliere Regioni, chiudi il menu. Vengono visualizzate le Regioni selezionate. Per annullare la replica in una Regione, scegli la casella di controllo X accanto al nome della Regione.

  8. Digita un alias per la chiave di replica.

    La console visualizza uno degli alias correnti della chiave primaria, ma è possibile modificarlo. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi alias o alias diversi. Gli alias non sono una proprietà condivisa delle chiavi multiregionali. AWS KMS non sincronizza gli alias delle chiavi multiregionali.

    L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa gli alias per controllare l'accesso alle chiavi KMS.

  9. (Facoltativo) Digita una descrizione della chiave di replica.

    La console visualizza la descrizione corrente della chiave primaria, ma è possibile modificarla. Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche la stessa descrizione o descrizioni diverse. AWS KMS non sincronizza le descrizioni dei tasti delle chiavi multiregionali.

  10. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per assegnare più di un tag alla chiave di replica, scegli Aggiungi tag.

    Nella console vengono visualizzati i tag attualmente collegati alla chiave primaria, ma è possibile modificarli. I tag non sono una proprietà condivisa delle chiavi multiRegione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregionali.

    L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa i tag per controllare l'accesso alle chiavi KMS.

  11. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave di replica.

    Note

    • Se hai modificato la politica delle chiavi predefinita durante la creazione della chiave primaria multiregionale, la console non ti chiederà di selezionare gli amministratori o gli utenti chiave (passaggi 11-15) durante la creazione della chiave di replica. In questo caso, dovrai aggiungere manualmente le autorizzazioni necessarie per gli amministratori e gli utenti principali alla politica chiave selezionando Modifica nel passaggio Modifica la politica chiave (Passaggio 17).

    • Questo passaggio avvia il processo di creazione di una policy chiave per la chiave di replica. Nella console vengono visualizzate le policy chiave correnti della chiave primaria, ma è possibile modificarle. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche le stesse policy chiave o policy chiave diverse. AWS KMS non sincronizza le policy chiave. È possibile modificare la policy chiave delle chiavi KMS in qualsiasi momento.

    • La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. "Allow access for Key Administrators" La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  12. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione Eliminazione chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave.

  13. Scegli Next (Successivo).

  14. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per operazioni di crittografia.

    Nota

    La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli "Allow use of the key" identificatori di dichiarazione e. "Allow attachment of persistent resources" La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  15. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  16. Scegli Next (Successivo).

  17. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona Modifica.

  18. Scegli Next (Successivo).

  19. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  20. Scegli Fine per creare la chiave di replica multiregionale.

Nella AWS KMS console, è possibile creare una o più repliche di una chiave primaria multiregionale con la stessa operazione.

Questa procedura è simile alla creazione di una chiave KMS standard per singola Regione nella console. Tuttavia, poiché una chiave di replica è basata sulla chiave primaria, non è possibile selezionare i valori per le proprietà condivise, ad esempio la specifica della chiave (simmetrica o asimmetrica), l'utilizzo della chiave o l'origine della chiave.

È possibile specificare proprietà non condivise, tra cui un alias, tag, una descrizione e una policy chiave. Per comodità, la console visualizza i valori delle proprietà correnti della chiave primaria, ma è possibile modificarli. Anche se si mantengono i valori della chiave primaria, questi valori AWS KMS non vengono mantenuti sincronizzati.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Seleziona l'alias o l'ID chiave di una chiave primaria multiregione. In questo modo si apre la pagina dei dettagli delle chiavi per la chiave KMS.

    Per identificare una chiave primaria multiregione, utilizza l'icona dello strumento nell'angolo in alto a destra per aggiungere la colonna Regionalità nella tabella.

  5. Seleziona la tab Regionalità.

  6. Nella sezione Chiavi multiregione correlate, scegli Crea nuove chiavi di replica.

    Le chiavi multiregione correlate mostrano la Regione della chiave primaria e le relative chiavi di replica. È possibile utilizzare questa visualizzazione per scegliere la Regione per la nuova chiave di replica.

  7. Scegli una o più Regioni AWS. Questa procedura crea una chiave di replica in ciascuna delle Regioni selezionate.

    Il menu include solo le regioni nella stessa AWS partizione della chiave primaria. Le Regioni che dispongono già di una chiave multiregione correlata vengono visualizzate, ma non sono selezionabili. È possibile che non si disponga dell'autorizzazione per replicare una chiave in tutte le Regioni del menu.

    Quando hai finito di scegliere Regioni, chiudi il menu. Vengono visualizzate le Regioni selezionate. Per annullare la replica in una Regione, scegli la casella di controllo X accanto al nome della Regione.

  8. Digita un alias per la chiave di replica.

    La console visualizza uno degli alias correnti della chiave primaria, ma è possibile modificarlo. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi alias o alias diversi. Gli alias non sono una proprietà condivisa delle chiavi multiregionali. AWS KMS non sincronizza gli alias delle chiavi multiregionali.

    L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa gli alias per controllare l'accesso alle chiavi KMS.

  9. (Facoltativo) Digita una descrizione della chiave di replica.

    La console visualizza la descrizione corrente della chiave primaria, ma è possibile modificarla. Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche la stessa descrizione o descrizioni diverse. AWS KMS non sincronizza le descrizioni dei tasti delle chiavi multiregionali.

  10. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per assegnare più di un tag alla chiave di replica, scegli Aggiungi tag.

    Nella console vengono visualizzati i tag attualmente collegati alla chiave primaria, ma è possibile modificarli. I tag non sono una proprietà condivisa delle chiavi multiRegione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregionali.

    L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa i tag per controllare l'accesso alle chiavi KMS.

  11. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave di replica.

    Note

    • Se hai modificato la politica delle chiavi predefinita durante la creazione della chiave primaria multiregionale, la console non ti chiederà di selezionare gli amministratori o gli utenti chiave (passaggi 11-15) durante la creazione della chiave di replica. In questo caso, dovrai aggiungere manualmente le autorizzazioni necessarie per gli amministratori e gli utenti principali alla politica chiave selezionando Modifica nel passaggio Modifica la politica chiave (Passaggio 17).

    • Questo passaggio avvia il processo di creazione di una policy chiave per la chiave di replica. Nella console vengono visualizzate le policy chiave correnti della chiave primaria, ma è possibile modificarle. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche le stesse policy chiave o policy chiave diverse. AWS KMS non sincronizza le policy chiave. È possibile modificare la policy chiave delle chiavi KMS in qualsiasi momento.

    • La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. "Allow access for Key Administrators" La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  12. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione Eliminazione chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave.

  13. Scegli Next (Successivo).

  14. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per operazioni di crittografia.

    Nota

    La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli "Allow use of the key" identificatori di dichiarazione e. "Allow attachment of persistent resources" La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  15. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  16. Scegli Next (Successivo).

  17. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona Modifica.

  18. Scegli Next (Successivo).

  19. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  20. Scegli Fine per creare la chiave di replica multiregionale.

Per creare una chiave di replica multiregionale, utilizzare l'ReplicateKeyoperazione. Non è possibile utilizzare l'CreateKeyoperazione per creare una chiave di replica. Questa operazione crea una chiave di replica per volta. La regione specificata deve essere conforme ai Requisiti per le Regioni per le chiavi di replica.

Quando si utilizza l'operazione ReplicateKey, non specificare valori per le proprietà condivise delle chiavi multiregione. I valori delle proprietà condivise vengono copiati dalla chiave primaria e mantenuti sincronizzati. Tuttavia, è possibile specificare valori per proprietà non condivise. Altrimenti, AWS KMS applica i valori predefiniti standard per le chiavi KMS, non i valori della chiave primaria.

Nota

Se non specifichi valori per i Tags parametriDescription, oKeyPolicy, AWS KMS crea la chiave di replica con una descrizione di stringa vuota, la politica di chiave predefinita e nessun tag.

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Ad esempio, il seguente comando crea una chiave di replica multiregione nella Regione Asia Pacifico (Sydney) (ap-southeast-2). Questa chiave di replica è modellata sulla chiave primaria nella Regione Stati Uniti orientali (Virginia settentrionale) (us-east-1), identificata dal valore del parametro KeyId. Questo esempio accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave.

La risposta descrive la nuova chiave di replica. Include i campi per le proprietà condivise, ad esempio KeyId, KeySpec, KeyUsage e l'origine del materiale chiave (Origin). Include anche proprietà indipendenti dalla chiave primaria, come la Description, la policy chiave (ReplicaKeyPolicy), e i tag (ReplicaTags).

La risposta include anche l'ARN chiave e la Regione della chiave primaria e tutte le relative chiavi di replica, inclusa quella appena creata nella Regione ap-southeast-2. In questo esempio, l'elemento ReplicaKey mostra che questa chiave primaria è già stata replicata nella Regione Europa (Irlanda) (eu-west-1).

$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}

Per creare una chiave di replica multiregionale, utilizzare l'ReplicateKeyoperazione. Non è possibile utilizzare l'CreateKeyoperazione per creare una chiave di replica. Questa operazione crea una chiave di replica per volta. La regione specificata deve essere conforme ai Requisiti per le Regioni per le chiavi di replica.

Quando si utilizza l'operazione ReplicateKey, non specificare valori per le proprietà condivise delle chiavi multiregione. I valori delle proprietà condivise vengono copiati dalla chiave primaria e mantenuti sincronizzati. Tuttavia, è possibile specificare valori per proprietà non condivise. Altrimenti, AWS KMS applica i valori predefiniti standard per le chiavi KMS, non i valori della chiave primaria.

Nota

Se non specifichi valori per i Tags parametriDescription, oKeyPolicy, AWS KMS crea la chiave di replica con una descrizione di stringa vuota, la politica di chiave predefinita e nessun tag.

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Ad esempio, il seguente comando crea una chiave di replica multiregione nella Regione Asia Pacifico (Sydney) (ap-southeast-2). Questa chiave di replica è modellata sulla chiave primaria nella Regione Stati Uniti orientali (Virginia settentrionale) (us-east-1), identificata dal valore del parametro KeyId. Questo esempio accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave.

La risposta descrive la nuova chiave di replica. Include i campi per le proprietà condivise, ad esempio KeyId, KeySpec, KeyUsage e l'origine del materiale chiave (Origin). Include anche proprietà indipendenti dalla chiave primaria, come la Description, la policy chiave (ReplicaKeyPolicy), e i tag (ReplicaTags).

La risposta include anche l'ARN chiave e la Regione della chiave primaria e tutte le relative chiavi di replica, inclusa quella appena creata nella Regione ap-southeast-2. In questo esempio, l'elemento ReplicaKey mostra che questa chiave primaria è già stata replicata nella Regione Europa (Irlanda) (eu-west-1).

$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.