Replica delle chiavi AWS di crittografia dei pagamenti - AWS Crittografia dei pagamenti
Vantaggi della replica delle chiavi in più regioniCome funziona la replica delle chiavi in più regioniConsiderazioni e limitazioniAbilitazione della replica delle chiavi in più regioniDisattivazione della replica delle chiavi in più regioniConsiderazioni relative alla sicurezzaBest practicePrezzi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Replica delle chiavi AWS di crittografia dei pagamenti

AWS Payment Cryptography supporta la replica delle chiavi in più regioni, che consente di distribuire in modo sicuro il materiale chiave e i metadati da una determinata chiave di crittografia dei AWS pagamenti a una o più all'interno della stessa partizione e dello stesso account. Regioni AWS AWS

La chiave di origine è nota come chiave della regione primaria (PRK) e rimane la fonte autorevole per tutte le attività di gestione delle chiavi, mentre sia la chiave PRK che la chiave RRK (Replica Region) possono essere utilizzate per le rispettive operazioni crittografiche. Regioni AWS

Vantaggi della replica delle chiavi in più regioni

Di seguito vengono descritti alcuni vantaggi della replica delle chiavi in più regioni.

  • Configurazione più semplice per applicazioni ad alta disponibilità: AWS Payment Cryptography gestisce la distribuzione delle chiavi in modo da poter utilizzare una chiave in più sezioni Regioni AWS senza dover creare copie disaccoppiate di una determinata chiave.

  • Chiavi ad alta disponibilità e bassa latenza: con la replica delle chiavi multiregione, è possibile accedere alle chiavi in più chiavi, Regioni AWS rendendole altamente disponibili, con conseguente latenza inferiore.

  • Durabilità dei materiali chiave: le Replica Region Key sono repliche di chiavi complete e possono essere utilizzate indipendentemente dalla chiave della regione primaria nelle operazioni crittografiche. Un RRK fornisce una replica durevole in caso di perdita di dati catastrofica di una PRK.

Come funziona la replica delle chiavi in più regioni

Quando la replica delle chiavi in più regioni è abilitata, il servizio AWS Payment Cryptography utilizza meccanismi sicuri di distribuzione delle chiavi per copiare il materiale chiave e i metadati nella replica specificata. Regioni AWS Le modifiche ai metadati di una chiave della regione primaria, come gli attributi chiave, lo stato e l'abilitazione, vengono replicate automaticamente nelle chiavi della regione di replica.

Considerazioni e limitazioni

Di seguito sono riportate alcune limitazioni e considerazioni relative alla replica delle chiavi in più regioni.

  • È necessario abilitare questa funzionalità per una Regione AWS o più chiavi di crittografia dei pagamenti.

    • Se questa funzionalità è abilitata per una Regione AWS, tutte le chiavi AWS di crittografia dei pagamenti create dopo l'attivazione verranno replicate nella versione specificata. Regione AWS Le chiavi create in questa regione diventeranno chiavi della regione primaria. Le chiavi esistenti in questa regione non verranno replicate automaticamente. È possibile abilitare la replica delle chiavi multiregione per le chiavi esistenti all'interno e Regione AWS a livello di chiave.

    • Ciascuna di esse Regione AWS può avere impostazioni uniche di replica delle chiavi multiregione.

    • Le impostazioni di replica multiregionale di una chiave hanno la precedenza sull'impostazione di replica delle chiavi multiregione Regione AWS .

  • Una chiave Replica Region non può essere configurata per essere replicata su altre. Regioni AWS

  • La replica delle chiavi multiregione è disponibile per chiavi di crittografia di pagamento simmetriche come Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES) e HMAC (Hash-based Message Authentication Code).

  • Le chiavi Asymmetric Payment Cryptography non supportano la replica delle chiavi in più regioni.

  • Le chiavi Replica Region sono chiavi di sola lettura. Tutte le modifiche alla chiave della regione primaria verranno applicate alle chiavi della regione di replica.

  • Le modifiche alle chiavi della regione primaria sono alla fine coerenti con le chiavi della regione di replica.

  • Le chiavi di crittografia dei pagamenti possono essere replicate solo con la stessa AWS partizione e lo stesso account.

  • Valuta il numero di chiavi della regione di replica ai fini del tuo Account AWS livello AWS di Payment Cryptography.

  • La chiave Primary Region e la chiave Replica Region utilizzano lo stesso identificatore di chiave che consente di fare riferimento a entrambe le chiavi tramite lo stesso ARN nelle policy IAM.

Abilitazione della replica delle chiavi in più regioni

Esistono due modi per abilitare la replica delle chiavi multiregione per AWS le chiavi di crittografia dei pagamenti.

  1. Regione AWS: quando abilitata, la replica delle chiavi in più regioni viene applicata a tutte le nuove chiavi create in tale area. Regione AWS Questo metodo fornisce una replica coerente per tutte le chiavi.

  2. Chiavi AWS di crittografia di pagamento specifiche: è possibile gestire la replica delle chiavi in più regioni per singole chiavi, garantendo un livello di controllo più granulare.

Una volta abilitata la replica delle chiavi in più regioni, le chiavi di crittografia dei pagamenti verranno replicate nel modo specificato. Regioni AWS

Importante

La replica delle chiavi in più regioni non può essere messa in pausa. Una volta abilitata la replica, le chiavi vengono Regioni AWS replicate automaticamente nella posizione specificata. La replica delle chiavi in più regioni può essere disabilitata per una chiave di crittografia specifica Regione AWS o di pagamento. È necessario rimuovere l'area di replica Regione AWS come chiave della regione primaria per eliminare la chiave della regione di replica.

In alternativa, puoi chiamare il comando StopKeyUsageAPI o stop-key-usageCLI sul tuo PRK per interrompere l'utilizzo sia del PRK che di tutti gli associati. RRKs Non sarete in grado di utilizzare queste chiavi nelle operazioni crittografiche. L'utilizzo del comando StopKeyUsage API o stop-key-usage CLI non interromperà la replica continua delle chiavi multiregione abilitata per il PRK.

Puoi controllare le impostazioni di replica delle chiavi Multi-Region per le chiavi AWS di crittografia dei pagamenti in uno specifico Regione AWS chiamando il comando API GetDefaultKeyReplicationRegions o get-default-key-replication-regions CLI. Le chiavi in Regione AWS cui chiami questa azione o comando API diventeranno la tua PRK.

Utilizzate le seguenti procedure per abilitare la replica delle chiavi in più regioni.

For Regione AWS

  • Utilizzate il comando seguente per abilitare la replica delle chiavi in più regioni per un paese specificato dall'utente. Regione AWS In questo esempio, la replica delle chiavi in più regioni è abilitata negli Stati Uniti orientali (Ohio) e negli Stati Uniti occidentali (Oregon). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
Nota

L'abilitazione della replica delle chiavi multiregione per an non Regione AWS modificherà la configurazione di replica di alcuna chiave di crittografia dei AWS pagamenti esistente. È possibile abilitare questa funzionalità per le chiavi esistenti a livello di chiave. Solo le chiavi create dopo la replica delle chiavi multiregione sono abilitate e Regione AWS utilizzeranno le impostazioni di replica regionale.

For specific AWS Payment Cryptography keys

  • Utilizzate il comando seguente per abilitare la replica delle chiavi multiregione per chiavi di crittografia dei pagamenti specifiche. In questo esempio, la replica delle chiavi in più regioni è abilitata negli Stati Uniti orientali (Ohio). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

In alternativa, puoi creare una nuova chiave di crittografia dei pagamenti con questa funzionalità abilitata includendo la replica Regioni AWS nella richiesta di creazione della chiave.

Nota

Le impostazioni di replica delle chiavi hanno la precedenza sull'impostazione di replica. Regione AWS

Disattivazione della replica delle chiavi in più regioni

Se desideri disabilitare la replica delle chiavi multiregione, puoi chiamare i comandi o la disable-default-key-replication remove-key-replication-regions CLI, a seconda di come è abilitata la replica delle chiavi multiregione. Dovrai specificare l'ARN della chiave e Regione AWS disabilitare la replica delle chiavi multiregione.

Considerazioni

Le eliminazioni delle chiavi della regione di replica alla fine sono coerenti.

Puoi controllare le impostazioni di replica delle chiavi Multi-Region per le chiavi AWS di crittografia dei pagamenti in uno specifico Regione AWS chiamando il comando API GetDefaultKeyReplicationRegions o get-default-key-replication-regions CLI.

Utilizza le seguenti procedure per disabilitare la replica delle chiavi in più regioni.

For Regione AWS

  • Utilizzate il comando seguente per disabilitare la replica delle chiavi in più regioni per un periodo specificato. Regione AWS In questo esempio, la replica delle chiavi in più regioni è disabilitata negli Stati Uniti orientali (Ohio). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Utilizzate il comando seguente per disabilitare la replica delle chiavi multiregionali per una chiave di crittografia dei pagamenti specifica. In questo esempio, la replica delle chiavi in più regioni è disabilitata negli Stati Uniti orientali (Ohio). Per utilizzare questo comando, sostituite il italicized placeholder text comando dell'esempio con le vostre informazioni.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Considerazioni relative alla sicurezza

Di seguito sono riportate le considerazioni sulla sicurezza relative all'utilizzo della replica di chiavi in più aree geografiche per le chiavi di crittografia dei pagamenti. Per ulteriori informazioni, consulta Le migliori pratiche di sicurezza per la crittografia dei pagamenti AWS.

  • Limita la condivisione dei materiali chiave.

  • Segui il principio delle autorizzazioni con privilegi minimi durante la creazione delle policy IAM.

  • Non è possibile apportare modifiche alla chiave Replica Region poiché è una chiave di sola lettura.

Best practice

Di seguito sono riportate alcune best practice per l'utilizzo della replica di chiavi multiregione con chiavi di crittografia dei pagamenti. AWS

  • Assicuratevi che l'applicazione continui a funzionare anche se la replica delle chiavi multiregione nella zona specificata non è immediata. Regione AWS Se hai bisogno di sapere quando la replica delle chiavi multiregione è completa, puoi monitorarla con l'azione API. GetKey È possibile monitorare gli eventi di replica chiave con. AWS CloudTrail

  • Testa e implementa processi di distribuzione automatizzati in caso di failover da una regione Regione AWS all'altra.

Prezzi

Ti verranno addebitati i costi delle chiavi regionali di replica create con AWS Payment Cryptography. Queste chiavi vengono addebitate per. Regione AWS Per le ultime informazioni sui prezzi di Payment Cryptography, consulta la pagina dei prezzi AWS di Payment Cryptography.