Como funcionam chaves de várias Regiões - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funcionam chaves de várias Regiões

Comece criando uma chave primária de várias Regiões simétrica ou assimétrica em uma Região da AWS com suporte pelo AWS KMS, como Leste dos EUA (Norte da Virgínia). Você decide se uma chave é de Região única ou de várias Regiões apenas ao criá-la. Não será possível alterar essa propriedade mais tarde. Como em qualquer chave do KMS, você define uma política de chave para a chave de várias Região, além de poder criar concessões e adicionar aliases e tags para categorização e autorização. (Estas são propriedades independentes que não são compartilhadas ou sincronizadas com outras chaves.) Você pode usar sua chave primária de várias Regiões em operações de criptografia para criptografia ou assinatura.

Você pode criar uma chave primária de várias Regiões no console do AWS KMS ou usando a API CreateKey com o parâmetro MultiRegion definido como true. Observe que chaves de várias Regiões têm um ID de chave distintivo que começa com mrk-. É possível usar o prefixo mrk- para identificar MRKs de maneira programática.

Multi-Region primary key icon with red key symbol and sample key ID format.

Se escolher, você pode replicar a chave primária de várias Regiões em uma ou mais Regiões da AWS diferentes na mesma partição da AWS, como Europa (Irlanda). Ao fazer isso, o AWS KMS cria uma chave de réplica na Região especificada com o mesmo ID de chave e outros propriedades compartilhadas como a chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave do KMS na Região de destino, tudo dentro do AWS KMS. O resultado são duas chaves de várias Regiões relacionados, uma chave primária e uma chave de réplica, que podem ser usadas de maneira intercambiável.

Você pode criar uma chave de réplica de várias Regiões no console do AWS KMS ou usando a API ReplicateKey.

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

A chave de réplica de várias Regiões resultante é uma chave do KMS totalmente funcional com as mesmas propriedades compartilhadas que a chave primária. Em todos os outros aspectos, ela é uma chave do KMS independente com sua própria descrição, política de chave, concessões, aliases e etiquetas. Habilitar ou desabilitar uma chave de várias Regiões não tem efeito sobre chaves de várias Regiões relacionadas. Você pode usar as chaves primárias e de réplica independentemente em operações de criptografia ou coordenar seu uso. Por exemplo, você pode criptografar dados com a chave primária na região Leste dos EUA (Norte da Virgínia), mover os dados até a região Europa (Irlanda) e usar a chave de réplica para descriptografar esses dados.

Chaves de várias Regiões relacionadas têm o mesmo ID de chave. Seus ARNs (Nomes de recursos Amazon) de chave diferem apenas no campo Região. Por exemplo, a chave primária e as chaves de réplica de várias Regiões podem ter os seguintes ARNs de chave de exemplo. O ID da chave, o último elemento no ARN da chave, é idêntico. Ambas as chaves têm o ID de chave distinto de chaves de várias regiões, que começa com mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Ter o mesmo ID de chave é um requisito para interoperabilidade. Durante a criptografia, o AWS KMS vincula o ID da chave do KMS ao texto criptografado para que este último possa ser descriptografado somente com essa chave do KMS ou com uma chave do KMS com o mesmo ID de chave. Esse recurso também torna as chaves de várias Regiões relacionadas fáceis de reconhecer e facilita sua utilização intercambiável. Por exemplo, ao usá-las em uma aplicação, você pode fazer referência a chaves de várias Regiões relacionadas com base no ID de chave compartilhada. Em seguida, se necessário, especifique a Região ou o ARN para diferenciá-las.

À medida que suas necessidades de dados mudarem, você poderá replicar a chave primária para outras Regiões da AWS na mesma partição, como Oeste dos EUA (Oregon) e Ásia-Pacífico (Sydney). O resultado são quatro chaves de várias Regiões relacionados com o mesmo material de chave e IDs de chave, como mostra o seguinte diagrama. Você gerencia as chaves de maneira independente. Elas podem ser usadas de maneira independente ou coordenada. Por exemplo, é possível criptografar dados com a chave de réplica na região Ásia-Pacífico (Sydney), mover os dados para a região Oeste dos EUA (Oregon) e descriptografá-los com a chave de réplica na região Oeste dos EUA (Oregon).

As chaves primárias e de réplica em uma chave de várias Regiões

Outras considerações para chaves de várias Regiões incluem as seguintes.

Sincronização de propriedades compartilhadas: se uma propriedade compartilhada das chaves de várias Regiões mudar, o AWS KMS sincronizará automaticamente a alteração a partir da chave primária com todas as suas chaves de réplica. Não é possível solicitar ou forçar uma sincronização de propriedades compartilhadas. O AWS KMS detecta e sincroniza todas as alterações para você. No entanto, é possível auditar a sincronização usando o evento SynchronizeMultiRegionKey nos logs do CloudTrail.

Por exemplo, se você habilitar a alternância automática de chaves em uma chave primária simétrica de várias Regiões, o AWS KMS copiará essa configuração para todas as suas chaves de réplica. Quando o material de chave é alternado, a alternância é sincronizada entre todas as chaves de várias Regiões relacionadas, para que elas continuem a ter o mesmo material de chave atual e também acesso a todas as versões mais antigas do material de chave. Se você criar uma nova chave de réplica, ela terá o mesmo material de chave atual de todas as chaves de várias Regiões relacionadas e terá acesso a todas as versões anteriores do material de chave. Para obter detalhes, consulte Rotating multi-Region keys.

Alterar a chave primária: todo conjunto de chaves de várias Regiões deve ter exatamente uma chave primária. A chave primária é a única que pode ser replicada. Ela é também a fonte das propriedades compartilhadas das suas chaves de réplica. Porém, você pode transformar a chave primária em uma réplica e promover uma das chaves de réplica para chave primária. Você pode fazer isso para excluir uma chave primária de várias Regiões de uma determinada Região ou localizar a chave primária em uma Região mais próxima dos administradores do projeto. Para obter detalhes, consulte Alterar a chave primária em um conjunto de chaves de várias regiões.

Excluir chaves de várias Regiões: como todas as chaves do KMS, você deve programar a exclusão de chaves de várias Regiões antes que o AWS KMS as exclua. Enquanto a exclusão da chave estiver pendente, não será possível usá-la em operações de criptografia. No entanto, o AWS KMS não excluirá uma chave primária de várias Regiões até que todas as chaves de réplica sejam excluídas. Para obter mais detalhes, consulte Deleting multi-Region keys.