Criar chaves primárias de várias regiões - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar chaves primárias de várias regiões

Você pode criar uma chave primária multirregional no AWS KMS console ou usando o. AWS KMS API Você pode criar a chave primária em qualquer Região da AWS lugar que AWS KMS ofereça suporte a chaves multirregionais.

Para criar uma chave primária multirregional, o principal precisa das mesmas permissões necessárias para criar qualquer KMS chave, incluindo a CreateKey permissão kms: em uma IAM política. O diretor também precisa do objetivo: CreateServiceLinkedRole permissão. Você pode usar a chave de MultiRegionKeyType condição kms: para permitir ou negar permissão para criar chaves primárias multirregionais.

nota

Ao criar sua chave primária multirregional, considere cuidadosamente os IAM usuários e funções que você seleciona para administrar e usar a chave. IAMas políticas podem dar permissão a outros IAM usuários e funções para gerenciar a KMS chave.

IAMas melhores práticas desencorajam o uso de IAM usuários com credenciais de longo prazo. Sempre que possível, use IAM funções que forneçam credenciais temporárias. Para obter detalhes, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Para criar uma chave primária multirregional no AWS KMS console, use o mesmo processo que você usaria para criar qualquer KMS chave. Selecione uma chave de várias regiões em Advanced options (Opções avançadas). Para obter instruções completas, consulte Criar uma chave do KMS.

Importante

Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Escolha Create key (Criar chave).

  5. Selecione um tipo de chave simétrica ou assimétrica. As chaves simétricas são o padrão.

    Você pode criar chaves multirregionais simétricas e assimétricas, incluindo chaves multirregionais HMACKMS, que são simétricas.

  6. Selecione o uso da chave. Encrypt and decrypt (Criptografar e descriptografar) é o padrão.

    Para obter ajuda, consulte Criar uma chave do KMS, Crie uma chave assimétrica KMS ou Crie uma HMAC KMS chave.

  7. Expanda Advanced options (Opções avançadas).

  8. Em Origem do material da chave, para AWS KMS gerar o material chave que suas chaves primária e de réplica compartilharão, escolha KMS. Se você estiver importando material de chave para chaves primárias e de réplica, escolha External (Import key material) (Externo [Importar material de chave]).

  9. Em Regionalidade, escolha Chave de várias regiões.

    Você não pode alterar essa configuração depois de criar a KMS chave.

  10. Digite um alias para a chave primária.

    Aliases não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas o mesmo alias ou aliases diferentes. AWS KMS não sincroniza os aliases das chaves multirregionais.

    nota

    Adicionar, excluir ou atualizar um alias pode permitir ou negar a permissão para a KMS chave. Para obter mais detalhes, consulte ABAC para AWS KMS e Use aliases para controlar o acesso às chaves KMS.

  11. (Opcional) Digite uma descrição da chave primária.

    Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma descrição ou descrições diferentes. AWS KMS não sincroniza as descrições das chaves de várias regiões.

  12. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para atribuir mais de uma etiqueta à chave primária, selecione Add tag (Adicionar etiqueta).

    Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões. Você pode alterar as etiquetas nas KMS teclas a qualquer momento.

    nota

    Marcar ou desmarcar uma KMS chave pode permitir ou negar a permissão para a chave. KMS Para obter mais detalhes, consulte ABAC para AWS KMS e Use tags para controlar o acesso às KMS teclas.

  13. Selecione os IAM usuários e funções que podem administrar a chave primária.

    Observações

    • Essa etapa inicia o processo de criação de uma política de chaves para a chave primária. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma política de chaves ou políticas de chave diferentes. AWS KMS não sincroniza as principais políticas das chaves multirregionais. Você pode alterar a política de chaves de uma KMS chave a qualquer momento.

    • Ao criar uma chave primária multirregional, considere usar a política de chaves padrão gerada pelo console. Se você modificar essa política, o console não fornecerá etapas para selecionar administradores e usuários de chaves ao criar chaves de réplica, nem adicionará as declarações de política correspondentes. Como resultado, você precisará adicioná-los manualmente.

    • O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador "Allow access for Key Administrators" de instrução. A modificação desse identificador de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  14. (Opcional) Para impedir que os IAM usuários e funções selecionados excluam essa KMS chave, na seção Exclusão de chave na parte inferior da página, desmarque a caixa de seleção Permitir que administradores de chaves excluam essa chave.

  15. Escolha Próximo.

  16. Selecione os IAM usuários e funções que podem usar a KMS chave para operações criptográficas.

    Observações

    O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração "Allow use of the key" e. "Allow attachment of persistent resources" A modificação desses identificadores de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.

  17. (Opcional) Você pode permitir que outros Contas da AWS usem essa KMS chave para operações criptográficas. Para fazer isso, na parte inferior da página na seção Other Contas da AWS (Outras ), escolha Add another Conta da AWS (Adicionar outra ) e insira o número de identificação da Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que os diretores das contas externas usem a KMS chave, os administradores da conta externa devem criar IAM políticas que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

  18. Escolha Próximo.

  19. Analise as principais declarações de política para obter a chave. Para fazer alterações na política de chaves, selecione Editar.

  20. Escolha Próximo.

  21. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

  22. Escolha Concluir para criar a chave primária multirregional.

Para criar uma chave primária multirregional, use a CreateKeyoperação. Use também o parâmetro MultiRegion com um valor de True.

Por exemplo, o comando a seguir cria uma chave primária multirregional na chave do chamador ( Região da AWS us-east-1). Ele aceita valores padrão para todas as outras propriedades, incluindo a política de chaves. Os valores padrão para chaves primárias multirregionais são iguais aos valores padrão para todas as outras KMS chaves, incluindo a política de chaves padrão. Esse procedimento cria uma chave de criptografia simétrica, a KMS chave padrão.

A resposta inclui o elemento MultiRegion e o elemento MultiRegionConfiguration com subelementos típicos e valores para uma chave primária de várias regiões sem chaves de réplica. O ID de chave de uma chave de várias regiões sempre começa com mrk-.

Importante

Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}