View a markdown version of this page

Replica delle chiavi AWS di crittografia dei pagamenti - AWS Crittografia dei pagamenti
Vantaggi della replica delle chiavi Multi-RegionMulti-Region Come funziona la replica delle chiaviConsiderazioni e limitazioniAbilitare la replica delle chiavi Multi-RegionDisabilitazione della replica delle chiavi Multi-RegionConsiderazioni relative alla sicurezzaBest practicePrezzi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Replica delle chiavi AWS di crittografia dei pagamenti

AWS Payment Cryptography supporta Multi-Region la replica delle chiavi, che consente di distribuire in modo sicuro il materiale chiave e i metadati da una determinata chiave di crittografia dei AWS pagamenti a una o più Regioni AWS all'interno della stessa partizione e dello stesso account. AWS

La chiave di origine è nota come chiave della regione primaria (PRK) e rimane la fonte autorevole per tutte le attività di gestione delle chiavi, mentre sia la chiave PRK che la chiave RRK (Replica Region) possono essere utilizzate per le rispettive operazioni crittografiche. Regioni AWS

Vantaggi della replica delle chiavi Multi-Region

Di seguito vengono descritti alcuni vantaggi della replica delle Multi-Region chiavi.

  • Configurazione più semplice per applicazioni ad alta disponibilità: AWS Payment Cryptography gestisce la distribuzione delle chiavi al posto tuo, in modo da poter utilizzare una chiave multipla Regioni AWS senza dover creare copie disaccoppiate di una determinata chiave.

  • Chiavi ad alta disponibilità e bassa latenza: con Multi-Region la replica delle chiavi, è possibile accedere alle chiavi in più chiavi, Regioni AWS rendendole altamente disponibili, con conseguente riduzione della latenza.

  • Durabilità dei materiali chiave: le chiavi Replica Region sono repliche di chiavi complete e possono essere utilizzate indipendentemente dalla chiave della regione primaria nelle operazioni crittografiche. Un RRK fornisce una replica durevole in caso di perdita di dati catastrofica di una PRK.

Multi-Region Come funziona la replica delle chiavi

Quando Multi-Region la replica delle chiavi è abilitata, il servizio AWS Payment Cryptography utilizza meccanismi sicuri di distribuzione delle chiavi per copiare il materiale chiave e i metadati nella replica specificata. Regioni AWS Le modifiche ai metadati di una chiave della regione primaria, come gli attributi chiave, lo stato e l'attivazione, vengono replicate automaticamente nelle chiavi della regione di replica.

Considerazioni e limitazioni

Di seguito sono riportate alcune limitazioni e considerazioni Multi-Region chiave relative alla replica.

  • È necessario abilitare questa funzionalità per una Regione AWS o più chiavi di crittografia dei pagamenti.

    • Se questa funzionalità è abilitata per una Regione AWS, tutte le chiavi AWS di crittografia dei pagamenti create dopo l'attivazione verranno replicate nella versione specificata. Regione AWS Le chiavi create in questa regione diventeranno chiavi della regione primaria. Le chiavi esistenti in questa regione non verranno replicate automaticamente. È possibile abilitare Multi-Region la replica delle chiavi esistenti all'interno e a Regione AWS livello di chiave.

    • Ciascuno Regione AWS può avere impostazioni di replica Multi-Region delle chiavi uniche.

    • Le impostazioni di Multi-Region replica di una chiave hanno la precedenza sull'impostazione di replica delle Regione AWS Multi-Region chiavi.

  • Una chiave Replica Region non può essere configurata per essere replicata su altre. Regioni AWS

  • Multi-Region la replica delle chiavi è disponibile per chiavi di crittografia di pagamento simmetriche come Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES) e Hash-based Message Authentication Code (HMAC).

  • Le chiavi Asymmetric Payment Cryptography non supportano la replica delle chiavi. Multi-Region

  • Le chiavi Replica Region sono chiavi di sola lettura. Tutte le modifiche alla chiave della regione primaria verranno applicate alle chiavi della regione di replica.

  • Le modifiche alle chiavi della regione primaria sono alla fine coerenti con le chiavi della regione di replica.

  • Le chiavi di crittografia dei pagamenti possono essere replicate solo con la stessa AWS partizione e lo stesso account.

  • Valuta il numero di chiavi della regione di replica ai fini del tuo Account AWS livello AWS di Payment Cryptography.

  • La chiave Primary Region e la chiave Replica Region utilizzano lo stesso identificatore di chiave che consente di fare riferimento a entrambe le chiavi tramite lo stesso ARN nelle policy IAM.

  • È necessario disporre CreateKey delle autorizzazioni per la replica affinché la replica Regione AWS abbia esito positivo.

Abilitare la replica delle chiavi Multi-Region

Esistono due modi per abilitare la replica Multi-Region delle chiavi di crittografia dei AWS pagamenti.

  1. Regione AWS: Multi-Region la replica delle chiavi viene applicata a tutte le nuove chiavi create in quel Regione AWS momento quando abilitata. Questo metodo fornisce una replica coerente per tutte le chiavi.

  2. Chiavi AWS di crittografia di pagamento specifiche: è possibile gestire la replica delle Multi-Region chiavi per singole chiavi consentendo un livello di controllo più granulare.

Una volta abilitata la replica delle Multi-Region chiavi, le chiavi di crittografia dei pagamenti verranno replicate nel modo specificato. Regioni AWS

Importante

Multi-Region la replica delle chiavi non può essere messa in pausa. Una volta abilitata la replica, le chiavi vengono Regioni AWS replicate automaticamente nella posizione specificata. Multi-Region la replica delle chiavi può essere disabilitata per una chiave specifica Regione AWS o per una chiave di crittografia dei pagamenti. È necessario rimuovere l'area di replica Regione AWS come chiave della regione primaria per eliminare la chiave della regione di replica.

In alternativa, puoi chiamare il comando StopKeyUsageAPI o stop-key-usageCLI sul tuo PRK per interrompere l'utilizzo sia del PRK che di tutti gli RRK associati. Non sarete in grado di utilizzare queste chiavi nelle operazioni crittografiche. L'utilizzo del comando StopKeyUsage API o stop-key-usage CLI non interromperà la replica continua delle Multi-Region chiavi abilitata per il PRK.

Puoi controllare le impostazioni di replica delle Multi-Region chiavi per le chiavi AWS di crittografia dei pagamenti in uno specifico Regione AWS chiamando il comando GetDefaultKeyReplicationRegions API o CLIget-default-key-replication-regions. Le chiavi in Regione AWS cui chiami questa azione o comando API diventeranno la tua PRK.

Utilizzate le seguenti procedure per abilitare la replica Multi-Region delle chiavi.

For Regione AWS

  • Utilizzate il comando seguente per abilitare la replica delle Multi-Region chiavi per un Regione AWS utente specificato. In questo esempio, la replica delle Multi-Region chiavi è abilitata negli Stati Uniti orientali (Ohio) e negli Stati Uniti occidentali (Oregon). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
Nota

L'abilitazione della replica delle Multi-Region chiavi per an non Regione AWS modificherà la configurazione di replica di alcuna chiave di crittografia dei AWS pagamenti esistente. È possibile abilitare questa funzionalità per le chiavi esistenti a livello di chiave. Solo le chiavi create dopo aver Multi-Region abilitato la replica delle chiavi Regione AWS utilizzeranno le impostazioni di replica della regione.

For specific AWS Payment Cryptography keys

  • Utilizzate il comando seguente per abilitare la replica Multi-Region delle chiavi per specifiche chiavi di crittografia dei pagamenti. In questo esempio, la replica Multi-Region delle chiavi è abilitata negli Stati Uniti orientali (Ohio). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

In alternativa, puoi creare una nuova chiave di crittografia dei pagamenti con questa funzionalità abilitata includendo la replica Regioni AWS nella richiesta di creazione della chiave.

Nota

Le impostazioni di replica delle chiavi hanno la precedenza sull'impostazione di replica. Regione AWS

Disabilitazione della replica delle chiavi Multi-Region

Se desideri disabilitare la replica delle Multi-Region chiavi, puoi chiamare i comandi disable-default-key-replication o la remove-key-replication-regions CLI, a seconda di Multi-Region come è abilitata la replica delle chiavi. Dovrai specificare l'ARN della chiave e Regione AWS disabilitare la replica delle Multi-Region chiavi.

Considerazioni

Le eliminazioni delle chiavi dell'area di replica alla fine sono coerenti.

Puoi controllare le impostazioni di replica delle Multi-Region chiavi per le chiavi AWS di crittografia dei pagamenti in uno specifico Regione AWS chiamando il comando GetDefaultKeyReplicationRegions API o CLIget-default-key-replication-regions.

Utilizzate le seguenti procedure per Multi-Region disabilitare la replica delle chiavi.

For Regione AWS

  • Utilizzate il comando seguente per disabilitare Multi-Region la replica delle chiavi per un Regione AWS utente specificato. In questo esempio, la replica delle Multi-Region chiavi è disabilitata negli Stati Uniti orientali (Ohio). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Utilizzate il comando seguente per disabilitare Multi-Region la replica delle chiavi per una chiave di crittografia dei pagamenti specifica. In questo esempio, la replica Multi-Region delle chiavi è disabilitata negli Stati Uniti orientali (Ohio). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Considerazioni relative alla sicurezza

Di seguito sono riportate le considerazioni sulla sicurezza relative all'utilizzo della replica delle Multi-Region chiavi per la crittografia dei pagamenti. Per ulteriori informazioni, consulta Le migliori pratiche di sicurezza per la crittografia AWS dei pagamenti.

  • Limita la condivisione dei materiali chiave.

  • Segui il principio delle autorizzazioni con privilegi minimi durante la creazione delle policy IAM.

  • Non è possibile apportare modifiche alla chiave Replica Region poiché è una chiave di sola lettura.

Best practice

Di seguito sono riportate alcune best practice per l'utilizzo della replica delle chiavi con AWS le Multi-Region chiavi di crittografia dei pagamenti.

  • Assicuratevi che l'applicazione continui a funzionare anche se la replica delle Multi-Region chiavi nel formato specificato non Regione AWS è immediata. Se hai bisogno di sapere quando Multi-Region la replica delle chiavi è completa, puoi monitorarla con l'azione dell'GetKeyAPI. È possibile monitorare gli eventi di replica chiave con. AWS CloudTrail

  • Testa e implementa processi di distribuzione automatizzati in caso di failover da una regione Regione AWS all'altra.

Prezzi

Ti verranno addebitati i costi delle chiavi regionali di replica create con AWS Payment Cryptography. Queste chiavi vengono addebitate per. Regione AWS Per le ultime informazioni sui prezzi di Payment Cryptography, consulta la pagina dei prezzi AWS di Payment Cryptography.