As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criar chaves primárias de várias regiões
Você pode criar uma [chave primária multirregional](multi-region-keys-overview.md#mrk-primary-key) no AWS KMS console ou usando a AWS KMS API. Você pode criar a chave primária em qualquer Região da AWS lugar que AWS KMS ofereça suporte a chaves multirregionais.
Para criar uma chave primária multirregional, o principal precisa das [mesmas permissões necessárias](create-keys.md#create-key-permissions) para criar qualquer chave KMS, incluindo a CreateKey permissão [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) em uma política do IAM. O diretor também precisa do [objetivo: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) permissão. Você pode usar a chave de MultiRegionKeyType condição [kms:](conditions-kms.md#conditions-kms-multiregion-key-type) para permitir ou negar permissão para criar chaves primárias multirregionais.
**nota**
Ao criar sua chave primária multirregional, considere cuidadosamente os usuários e os perfis do IAM que você seleciona para administrar e usar a chave. As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o AWS KMS console
Para criar uma chave primária multirregional no AWS KMS console, use o mesmo processo que você usaria para criar qualquer chave KMS. Selecione uma chave de várias regiões em **Advanced options** (Opções avançadas). Para obter instruções completas, consulte [Criar uma chave do KMS](create-keys.md).
**Importante**
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.
1. Escolha **Create key (Criar chave)**.
1. Selecione um tipo de chave [simétrica ou assimétrica](symmetric-asymmetric.md). As chaves simétricas são o padrão.
Você pode criar chaves simétricas e assimétricas de várias regiões, inclusive chaves do KMS de HMAC de várias regiões, que são simétricas.
1. Selecione o uso da chave. **Encrypt and decrypt** (Criptografar e descriptografar) é o padrão.
Para obter ajuda, consulte [Criar uma chave do KMS](create-keys.md), [Criar uma chave do KMS assimétrica](asymm-create-key.md) ou [Criar uma chave do KMS HMAC](hmac-create-key.md).
1. Expanda **Advanced options (Opções avançadas)**.
1. Em **Origem do material da chave**, para AWS KMS gerar o material de chave que suas chaves primária e de réplica compartilharão, escolha **KMS**. Se você estiver [importando material de chave](importing-keys-create-cmk.md) para chaves primárias e de réplica, escolha **External (Import key material)** (Externo [Importar material de chave]).
1. Em **Regionalidade**, escolha **Chave de várias regiões**.
Não será possível alterar essa configuração após a criação da chave do KMS.
1. Digite um [alias](kms-alias.md) para a chave primária.
Aliases não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas o mesmo alias ou aliases diferentes. AWS KMS não sincroniza os aliases das chaves multirregionais.
**nota**
Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar aliases para controlar o acesso a chaves do KMS](alias-authorization.md).
1. (Opcional) Digite uma descrição da chave primária.
Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma descrição ou descrições diferentes. AWS KMS não sincroniza as descrições das chaves de várias regiões.
1. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para atribuir mais de uma etiqueta à chave primária, selecione **Add tag** (Adicionar etiqueta).
Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões. É possível alterar as etiquetas em chaves do KMS a qualquer momento.
**nota**
Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar tags para controlar o acesso a chaves do KMS](tag-authorization.md).
1. Selecione os usuários e as funções do IAM que podem administrar a chave primária.
**Observações**
Essa etapa inicia o processo de criação de uma [política de chaves](key-policies.md) para a chave primária. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma política de chaves ou políticas de chave diferentes. AWS KMS não sincroniza as principais políticas das chaves multirregionais. Você pode alterar a política de chaves de uma chave do KMS a qualquer momento.
Ao criar uma chave primária multirregional, considere usar a [política de chave padrão](key-policy-default.md) gerada pelo console. Se você modificar essa política, o console não fornecerá as etapas para selecionar os administradores e usuários das chaves ao criar chaves-réplicas, nem adicionará as instruções de política correspondentes. Assim sendo, você precisará adicioná-los manualmente.
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.
1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.
1. Escolha **Próximo**.
1. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para [operações de criptografia](kms-cryptography.md#cryptographic-operations).
**Observações**
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.
1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na seção **Outras Contas da AWS**, no fim da página, escolha **Adicionar outra Conta da AWS** e insira o número de identificação de Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).
1. Escolha **Próximo**.
1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.
1. Escolha **Próximo**.
1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.
1. Escolha **Finalizar** para criar a chave primária multirregional.
## Usando a AWS KMS API
Para criar uma chave primária multirregional, use a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação. Use também o parâmetro `MultiRegion` com um valor de `True`.
Por exemplo, o comando a seguir cria uma chave primária multirregional na chave do chamador ( Região da AWS us-east-1). Ele aceita valores padrão para todas as outras propriedades, incluindo a política de chaves. Os valores padrão para chaves primárias de várias regiões são os mesmos que os valores padrão para todas as outras chaves do KMS, incluindo a [política de chaves padrão](key-policy-default.md). Este procedimento cria uma chave de criptografia simétrica, a chave padrão do KMS.
A resposta inclui o elemento `MultiRegion` e o elemento `MultiRegionConfiguration` com subelementos típicos e valores para uma chave primária de várias regiões sem chaves de réplica. O [ID de chave](concepts.md#key-id-key-id) de uma chave de várias regiões sempre começa com `mrk-`.
**Importante**
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
```
$ aws kms create-key --multi-region
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1606329032.475,
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [ ]
}
}
}
```