As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS KMS suporta chaves multirregionais, que são AWS KMS keys diferentes Regiões da AWS e podem ser usadas de forma intercambiável, como se você tivesse a mesma chave em várias regiões. Cada conjunto de chaves multirregionais relacionadas tem o mesmo material de chave e ID de chave, portanto, você pode criptografar dados em uma Região da AWS e descriptografá-las em outra Região da AWS sem precisar recriptografar ou fazer uma chamada entre regiões. AWS KMS
Como todas as chaves KMS, as chaves multirregionais nunca saem AWS KMS sem criptografia. Você pode criar chaves de várias regiões simétricas ou assimétricas para criptografia ou assinatura, criar chaves de várias regiões de HMAC para gerar e verificar etiquetas de HMAC, e criar chaves de várias regiões com material de chave importado ou o material de chave que o AWS KMS gera. Você deve gerenciar cada chave de várias regiões de maneira independente, incluindo a criação de aliases e tags, a definição de suas principais políticas e concessões e sua habilitação e sua desabilitação seletivas. Você pode usar chaves de várias regiões em todas as operações de criptografia que podem ser feitas com chaves de região única.
As chaves de várias regiões são uma solução flexível e eficiente para vários cenários comuns de segurança de dados.
- Recuperação de desastres
-
Em uma arquitetura de backup e recuperação, as chaves multirregionais permitem que você processe dados criptografados sem interrupção, mesmo no caso de uma Região da AWS interrupção. Os dados mantidos na região de backup podem ser descriptografados nessa região, enquanto os dados recém-criptografados na região de backup podem ser descriptografados na região principal quando esta for restaurada.
- Gerenciamento de dados globais
-
As empresas que operam globalmente precisam de dados distribuídos globalmente que estejam disponíveis de forma consistente entre Regiões da AWS. Você pode criar chaves de várias regiões em todas as regiões nas quais seus dados residem e, em seguida, usar essas chaves como se fossem uma chave de região única, sem a latência de uma chamada entre regiões ou o custo de recriptografar os dados com uma chave diferente em cada região.
- Aplicações de assinatura distribuídas
-
As aplicações que exigem recursos de assinatura entre regiões podem usar chaves de assinatura assimétrica de várias regiões para gerar assinaturas digitais idênticas de maneira consistente e repetida em diferentes Regiões da AWS.
Se você usa o encadeamento de certificados com um único repositório confiável global (para uma única autoridade de certificação (CA) raiz e um intermediário regional CAs assinado pela CA raiz, você não precisa de chaves multirregionais. No entanto, se seu sistema não oferecer suporte a intermediários CAs, como assinatura de aplicativos, você poderá usar chaves multirregionais para dar consistência às certificações regionais.
- Aplicações ativas-ativas que abrangem várias regiões
-
Algumas workloads e aplicações podem abranger várias regiões em arquiteturas ativas-ativas. Para essas aplicações, chaves de várias regiões podem reduzir a complexidade, fornecendo o mesmo material de chave para operações simultâneas de criptografia e descriptografia em dados que podem estar se movendo pelos limites da região.
Você pode usar chaves de várias regiões com bibliotecas de criptografia do lado do cliente, como AWS Encryption SDK, AWS Database Encryption SDK e a criptografia do lado do cliente do Amazon S3.
AWS os serviços que se integram AWS KMS
Chaves de várias Regiões não são globais. Você cria uma chave primária de várias Regiões e, em seguida, a replica em Regiões selecionadas em uma partição da AWS. Em seguida, você gerencia a chave de várias Regiões em cada Região independentemente. AWS Nem AWS KMS nunca cria ou replica automaticamente chaves multirregionais em qualquer região em seu nome. Chaves gerenciadas pela AWS, as chaves KMS que AWS os serviços criam em sua conta para você, são sempre chaves de região única.
Nas regiões da China, você pode usar o recurso de chave multirregional para replicar chaves KMS na partição das regiões da China (). aws-cn Por exemplo, você pode replicar uma chave da região da China (Pequim) para a região da China (Ningxia) ou vice-versa. Ao replicar uma chave de uma região da China para outra, você concorda em usar a AWS Key Management Service da região de destino e cumprir todos os termos de contrato aplicáveis à região de destino. Você não pode replicar uma chave das regiões de Pequim e Ningxia em uma AWS região fora da partição das regiões da China. Da mesma forma, você não pode replicar uma chave de uma região fora da partição das Regiões da China para as Regiões de Pequim e Ningxia.
Não é possível converter uma chave de Região única existente em uma chave de várias Regiões. Esse design garante que todos os dados protegidos com chaves de Região única existentes mantenham as mesmas propriedades de residência e soberania dos dados.
Para a maioria das necessidades de segurança de dados, o isolamento regional e a tolerância a falhas dos recursos regionais tornam as chaves padrão AWS KMS de região única a solução mais adequada. No entanto, quando você precisa criptografar ou assinar dados em aplicações no lado do cliente em várias Regiões, as chaves de várias Regiões podem ser a melhor solução.
Regiões
As chaves multirregionais são suportadas em todos Regiões da AWS os AWS KMS suportes.
Preços e cotas
Cada chave em um conjunto de chaves de várias Regiões relacionado conta como uma única chave do KMS para preços e cotas. As cotas do AWS KMS são calculadas separadamente para cada Região de uma conta. O uso e o gerenciamento das chaves de várias Regiões em cada Região contam para as cotas para essa Região.
Tipos de chave do KMS com suporte
É possível criar os seguintes tipos de chaves KMS multirregionais:
-
Chaves do KMS de criptografia simétrica
-
Chaves do KMS assimétricas
-
Chaves do KMS de HMAC
-
Chaves do KMS com material de chave importado
Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.
Saiba mais
-
Para saber como controlar o acesso a chaves do KMS de várias regiões, consulte Controlar o acesso a chaves de várias regiões.
-
Para criar chaves do KMS primárias de várias regiões, consulte Criar chaves primárias de várias regiões.
-
Para criar chaves do KMS de réplica de várias regiões, consulte Criar chaves de réplica de várias regiões.
-
Para atualizar a região primária, consulte Alterar a chave primária em um conjunto de chaves de várias regiões.
-
Para identificar e visualizar chaves do KMS de várias regiões, consulte Identificar chaves do KMS de HMAC.
-
Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS de várias regiões, consulte Deleting multi-Region keys.
Terminologia e conceitos
Os seguintes termos e conceitos são usados com chaves de várias Regiões.
Chave de várias Regiões
A chave de várias Regiões é uma chave de um conjunto de chaves do KMS com o mesmo ID de chave e material de chave (e outras propriedades compartilhadas) em diferentes Regiões da AWS. Cada chave de várias Regiões é uma chave do KMS totalmente funcional que pode ser usada de maneira independente de suas chaves de várias Regiões relacionadas. Como todas as chaves multirregionais relacionadas têm o mesmo ID e material de chave, elas são interoperáveis, ou seja, qualquer chave multirregional relacionada em qualquer uma delas Região da AWS pode descriptografar texto cifrado criptografado por qualquer outra chave multirregional relacionada.
Você define a propriedade de várias Regiões de uma chave do KMS ao criá-la. Não é possível alterar a propriedade de várias regiões em uma chave existente. Não é possível converter uma chave de região única em chave de várias regiões nem converter uma chave de várias regiões em uma chave de região única. Para mover workloads existentes para cenários de várias regiões, é necessário recriptografar seus dados ou criar novas assinaturas com novas chaves de várias regiões.
Uma chave multirregional pode ser simétrica ou assimétrica e pode usar material chave ou material AWS KMS chave importado. Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.
Em um conjunto de chaves de várias Regiões relacionadas, há exatamente uma chave primária em um determinado momento. Você pode criar chaves de réplica dessa chave primária em outras Regiões da AWS. Também pode atualizar a região primária, o que transforma a chave primária em uma chave de réplica e transforma uma chave de réplica especificada na chave primária. No entanto, você pode manter somente uma chave primária ou chave de réplica em cada uma Região da AWS. Todas as Regiões devem estar na mesma partição da AWS.
Você pode ter diversos conjuntos de chaves de várias regiões relacionadas nas mesmas Regiões da AWS ou em regiões diferentes. Embora chaves de várias Regiões relacionadas sejam interoperáveis, chaves de várias Regiões não relacionadas não são interoperáveis.
Chave primária
Uma chave primária multirregional é uma chave KMS que pode ser replicada em outra Regiões da AWS na mesma partição. Cada conjunto de chaves de várias Regiões tem somente uma chave primária.
Uma chave primária é diferente de uma chave de réplica nos seguintes aspectos:
-
Somente uma chave primária pode ser replicada.
-
A chave primária é a fonte de propriedades compartilhadas de suas chaves de réplica, incluindo o material da chave e o ID da chave.
-
Você pode habilitar e desabilitar a alternância automática de chaves somente em uma chave primária.
-
Você pode programar a exclusão de uma chave primária a qualquer momento. Mas não AWS KMS excluirá uma chave primária até que todas as suas chaves de réplica sejam excluídas.
Entretanto, as chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente.
Não é necessário replicar uma chave primária. Você pode usá-la como faria com qualquer chave do KMS e replicá-la se e quando ela for útil. No entanto, como chaves de várias Regiões têm propriedades de segurança diferentes das chaves de uma única Região, recomendamos criar uma chave de várias Regiões apenas quando você planeja replicá-la.
Chave de réplica
Uma chave de réplica de várias regiões é uma chave do KMS que tem o mesmo ID de chave e material de chave da sua chave primária e chaves de réplica relacionadas, mas existe em outra Região da AWS.
Uma chave de réplica é uma chave do KMS totalmente funcional com sua própria política de chave, concessões, alias, etiquetas e outras propriedades. Ela não é uma cópia ou ponteiro da chave primária ou de qualquer outra chave. Você pode usar uma chave de réplica mesmo quando sua chave primária e todas as chaves de réplica relacionadas estão desabilitadas. Também pode converter uma chave de réplica em uma chave primária, e vice-versa. Depois de criada, uma chave de réplica depende de sua chave primária somente para alternância de chaves e atualização da Região primária.
Chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente. Os dados criptografados por uma chave primária ou uma chave de réplica podem ser descriptografados pela mesma chave ou por qualquer chave primária ou chave de réplica relacionada.
Replicar
Você pode replicar uma chave primária multirregional em outra Região da AWS na mesma partição. Ao fazer isso, AWS KMS cria uma chave de réplica multirregional na região especificada com o mesmo ID de chave e outras propriedades compartilhadas da chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave de réplica, tudo dentro do AWS KMS.
Propriedades compartilhadas
As propriedades compartilhadas são propriedades de uma chave primária multirregional que são compartilhadas com suas chaves de réplica. AWS KMS cria as chaves de réplica com os mesmos valores de propriedade compartilhada da chave primária. Em seguida, ele sincroniza periodicamente os valores das propriedades compartilhadas da chave primária com suas chaves de réplica. Não é possível definir essas propriedades em uma chave de réplica.
Veja a seguir as propriedades compartilhadas de chaves de várias Regiões.
-
ID da chave: (O elemento
Regiondo elemento do é diferente do ARN da chave.) -
Especificação da chave e algoritmos de criptografia
-
Alternância da chave automática:: você pode habilitar e desabilitar a alternância automática de chaves somente em uma chave primária. Novas chaves de réplica são criadas com todas as versões do material de chave compartilhado. Para obter detalhes, consulte Rotating multi-Region keys.
-
Alternância sob demanda: você só pode realizar a alternância sob demanda na chave primária. Novas chaves de réplica são criadas com todas as versões do material de chave compartilhado. Para obter detalhes, consulte Rotating multi-Region keys.
Você também pode pensar nemas designações primárias e de réplicas de chaves de várias Regiões relacionadas como propriedades compartilhadas. Quando você cria novas chaves de réplica ou atualiza a chave primária, AWS KMS sincroniza a alteração com todas as chaves multirregionais relacionadas. Quando essas alterações estiverem concluídas, todas as chaves de várias Regiões relacionadas listarão suas chaves primárias e chaves de réplica com precisão.
Todas as outras propriedades das chaves de várias regiões são propriedades independentes, incluindo descrição, política de chaves, concessões, estados de chave habilitadas e desabilitadas, aliases e etiquetas. Você pode definir os mesmos valores para essas propriedades em todas as chaves de várias regiões relacionadas. Porém, se você alterar o valor de uma propriedade independente, o AWS KMS não a sincronizará.
Você pode rastrear a sincronização das propriedades compartilhadas das suas chaves de várias regiões. Em seu AWS CloudTrail registro, procure o SynchronizeMultiRegionKeyevento.
