Chaves multirregionais em AWS KMS - AWS Key Management Service
Considerações de segurança de chaves de várias RegiõesComo funcionam chaves de várias RegiõesConceitos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chaves multirregionais em AWS KMS

AWS KMS suporta chaves multirregionais, que são AWS KMS keys diferentes Regiões da AWS e podem ser usadas de forma intercambiável, como se você tivesse a mesma chave em várias regiões. Cada conjunto de chaves multirregionais relacionadas tem o mesmo material de chave e ID de chave, então você pode criptografar dados em um Região da AWS e descriptografá-los em outro Região da AWS sem precisar recriptografar ou fazer uma chamada entre regiões. AWS KMS

Como todas as chaves KMS, as chaves multirregionais nunca saem AWS KMS sem criptografia. Você pode criar chaves multirregionais simétricas ou assimétricas para criptografia ou assinatura, criar chaves multirregionais HMAC para gerar e verificar tags HMAC e criar chaves multirregionais com material de chave importado ou material de chave gerado. AWS KMS Você deve gerenciar cada chave de várias regiões de maneira independente, incluindo a criação de aliases e tags, a definição de suas principais políticas e concessões e sua habilitação e sua desabilitação seletivas. Você pode usar chaves de várias regiões em todas as operações de criptografia que podem ser feitas com chaves de região única.

As chaves de várias regiões são uma solução flexível e eficiente para vários cenários comuns de segurança de dados.

Recuperação de desastres

Em uma arquitetura de backup e recuperação, as chaves multirregionais permitem que você processe dados criptografados sem interrupção, mesmo no caso de uma Região da AWS interrupção. Os dados mantidos na região de backup podem ser descriptografados nessa região, enquanto os dados recém-criptografados na região de backup podem ser descriptografados na região principal quando esta for restaurada.

Gerenciamento de dados globais

As empresas que operam globalmente precisam de dados distribuídos globalmente que estejam disponíveis de forma consistente entre Regiões da AWS. Você pode criar chaves de várias regiões em todas as regiões nas quais seus dados residem e, em seguida, usar essas chaves como se fossem uma chave de região única, sem a latência de uma chamada entre regiões ou o custo de recriptografar os dados com uma chave diferente em cada região.

Aplicações de assinatura distribuídas

As aplicações que exigem recursos de assinatura entre regiões podem usar chaves de assinatura assimétrica de várias regiões para gerar assinaturas digitais idênticas de maneira consistente e repetida em diferentes Regiões da AWS.

Se você usar o encadeamento de certificados com um único armazenamento de confiança global (para uma única autoridade de certificação [CA] raiz e CAs intermediárias regionais assinadas pela CA raiz, você não precisará de chaves multirregionais. No entanto, se o sistema não for compatível com CAs intermediárias, como assinatura de aplicações, você poderá usar chaves de várias regiões para trazer consistência às certificações regionais.

Aplicações ativas-ativas que abrangem várias regiões

Algumas workloads e aplicações podem abranger várias regiões em arquiteturas ativas-ativas. Para essas aplicações, chaves de várias regiões podem reduzir a complexidade, fornecendo o mesmo material de chave para operações simultâneas de criptografia e descriptografia em dados que podem estar se movendo pelos limites da região.

Você pode usar chaves de várias regiões com bibliotecas de criptografia do lado do cliente, como AWS Encryption SDK, o DynamoDB Encryption Client e a criptografia do Amazon S3 no lado do cliente. Para ver um exemplo do uso de chaves multirregionais com as tabelas globais do Amazon DynamoDB e o DynamoDB Encryption Client, consulte Criptografar dados globais do lado do cliente com chaves multirregionais no blog de segurança. AWS KMS AWS

AWS os serviços que se integram AWS KMS para criptografia em repouso ou assinaturas digitais atualmente tratam as chaves multirregionais como se fossem chaves de uma única região. Elas podem reempacotar ou criptografar novamente os dados movidos entre Regiões. Por exemplo, a replicação entre regiões do Amazon S3 descriptografa e recriptografa os dados em uma chave do KMS na Região de destino, mesmo ao replicar objetos protegidos por uma chave de várias Regiões.

Chaves de várias Regiões não são globais. Você cria uma chave primária de várias Regiões e, em seguida, a replica em Regiões selecionadas em uma partição da AWS. Em seguida, você gerencia a chave de várias Regiões em cada Região independentemente. AWS Nem AWS KMS nunca cria ou replica automaticamente chaves multirregionais em qualquer região em seu nome. Chaves gerenciadas pela AWS, as chaves KMS que AWS os serviços criam em sua conta para você, são sempre chaves de região única.

Não é possível converter uma chave de Região única existente em uma chave de várias Regiões. Esse design garante que todos os dados protegidos com chaves de Região única existentes mantenham as mesmas propriedades de residência e soberania dos dados.

Para a maioria das necessidades de segurança de dados, o isolamento regional e a tolerância a falhas dos recursos regionais tornam as chaves padrão AWS KMS de região única a solução mais adequada. No entanto, quando você precisa criptografar ou assinar dados em aplicações no lado do cliente em várias Regiões, as chaves de várias Regiões podem ser a melhor solução.

Regiões

As chaves multirregionais são suportadas em todos os Regiões da AWS que oferecem AWS KMS suporte, exceto na China (Pequim) e na China (Ningxia).

Preços e cotas

Cada chave em um conjunto de chaves de várias Regiões relacionado conta como uma única chave do KMS para preços e cotas. As cotas do AWS KMS são calculadas separadamente para cada Região de uma conta. O uso e o gerenciamento das chaves de várias Regiões em cada Região contam para as cotas para essa Região.

Tipos de chave do KMS com suporte

É possível criar os seguintes tipos de chaves KMS multirregionais:

  • Chaves do KMS de criptografia simétrica

  • Chaves do KMS assimétricas

  • Chaves do KMS de HMAC

  • Chaves do KMS com material de chave importado

Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.

Tópicos

Considerações de segurança de chaves de várias Regiões

Use uma chave AWS KMS multirregional somente quando precisar de uma. Chaves de várias Regiões fornecem uma solução flexível e escalável para workloads que movem dados criptografados entre Regiões da AWS ou que precisam de acesso entre Regiões. Considere usar uma chave de várias Regiões se precisar compartilhar, mover ou fazer backup de dados protegidos entre Regiões ou se precisar criar assinaturas digitais idênticas de aplicações que operam em Regiões diferentes.

No entanto, o processo de criar uma chave de várias Regiões move seu material de chave entre limites de Região da AWS dentro do AWS KMS. O texto criptografado gerado por uma chave de várias Regiões pode ser descriptografado por várias chaves relacionadas em diversas localizações geográficas. Existem também benefícios significativos para serviços e recursos regionalmente isolados. Cada Região da AWS é independente e isolada das outras Regiões. As regiões fornecem tolerância a falhas, estabilidade e resiliência e também podem reduzir a latência. Elas permitem criar recursos redundantes que permanecem disponíveis e não são afetados por uma interrupção em outra Região. Em AWS KMS, eles também garantem que cada texto cifrado possa ser decifrado por apenas uma chave.

As chaves de várias Regiões também levantam novas considerações de segurança:

  • É mais complexo controlar o acesso e impor a política de segurança de dados com chaves de várias Regiões. Você precisa garantir que a política seja auditada de maneira consistente na chave entre várias regiões isoladas. Também precisa usar políticas para impor limites, em vez de depender de chaves separadas.

    Por exemplo, você precisa definir condições de políticas nos dados para evitar que equipes de folha de pagamento em uma região possam ler dados de folha de pagamento de uma Região diferente. Além disso, você deve usar o controle de acesso para evitar um cenário em que uma chave de várias Regiões em uma Região protege os dados de um locatário e uma chave de várias Regiões relacionada em outra Região protege os dados de um locatário diferente.

  • A auditoria de chaves entre Regiões também é mais complexa. Com chaves de várias Regiões, você precisa examinar e reconciliar atividades de auditoria em várias Regiões para obter uma compreensão completa das principais atividades em dados protegidos.

  • A conformidade com exigências de residência de dados pode ser mais complexa. Com Regiões isoladas, você garante a conformidade da residência de dados e a soberania dos dados. As chaves do KMS em uma determinada Região podem descriptografar dados sigilosos somente nessa Região. Os dados criptografados em uma Região permanecem protegidos e inacessíveis em qualquer outra Região.

    Para verificar a residência e a soberania dos dados com chaves multirregionais, você precisa implementar políticas de acesso e compilar AWS CloudTrail eventos em várias regiões.

Para facilitar o gerenciamento do controle de acesso em chaves multirregionais, a permissão para replicar uma chave multirregional (kms: ReplicateKey) é separada da permissão padrão para criar chaves (kms:). CreateKey Além disso, AWS KMS oferece suporte a várias condições de política para chaves multirregionaiskms:MultiRegion, inclusive, que permite ou nega permissão para criar, usar ou gerenciar chaves multirregionais e kms:ReplicaRegion que restringe as regiões nas quais uma chave multirregional pode ser replicada. Para obter detalhes, consulte Controlar o acesso a chaves de várias Regiões.

Como funcionam chaves de várias Regiões

Você começa criando uma chave primária multirregional simétrica ou assimétrica em uma Região da AWS que AWS KMS ofereça suporte, como Leste dos EUA (Norte da Virgínia). Você decide se uma chave é de Região única ou de várias Regiões apenas ao criá-la. Não será possível alterar essa propriedade mais tarde. Como em qualquer chave do KMS, você define uma política de chave para a chave de várias Região, além de poder criar concessões e adicionar aliases e tags para categorização e autorização. (Estas são propriedades independentes que não são compartilhadas ou sincronizadas com outras chaves.) Você pode usar sua chave primária de várias Regiões em operações de criptografia para criptografia ou assinatura.

Você pode criar uma chave primária multirregional no AWS KMS console ou usando a CreateKeyAPI com o MultiRegion parâmetro definido como. true Observe que chaves de várias Regiões têm um ID de chave distintivo que começa com mrk-. É possível usar o prefixo mrk- para identificar MRKs de maneira programática.

Se você escolher, poderá replicar a chave primária multirregional em uma ou mais diferentes Regiões da AWS na mesma AWS partição, como Europa (Irlanda). Ao fazer isso, AWS KMS cria uma chave de réplica na região especificada com o mesmo ID de chave e outras propriedades compartilhadas da chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave do KMS na Região de destino, tudo dentro do AWS KMS. O resultado são duas chaves de várias Regiões relacionados, uma chave primária e uma chave de réplica, que podem ser usadas de maneira intercambiável.

Você pode criar uma chave de réplica multirregional no AWS KMS console ou usando a ReplicateKeyAPI.

A chave de réplica de várias Regiões resultante é uma chave do KMS totalmente funcional com as mesmas propriedades compartilhadas que a chave primária. Em todos os outros aspectos, ela é uma chave do KMS independente com sua própria descrição, política de chave, concessões, aliases e etiquetas. Habilitar ou desabilitar uma chave de várias Regiões não tem efeito sobre chaves de várias Regiões relacionadas. Você pode usar as chaves primárias e de réplica independentemente em operações de criptografia ou coordenar seu uso. Por exemplo, você pode criptografar dados com a chave primária na região Leste dos EUA (Norte da Virgínia), mover os dados até a região Europa (Irlanda) e usar a chave de réplica para descriptografar esses dados.

Chaves de várias Regiões relacionadas têm o mesmo ID de chave. Seus ARNs (Nomes de recursos Amazon) de chave diferem apenas no campo Região. Por exemplo, a chave primária e as chaves de réplica de várias Regiões podem ter os seguintes ARNs de chave de exemplo. O ID da chave, o último elemento no ARN da chave, é idêntico. Ambas as chaves têm o ID de chave distinto de chaves de várias regiões, que começa com mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Ter o mesmo ID de chave é um requisito para interoperabilidade. Ao criptografar, AWS KMS vincula a ID da chave KMS ao texto cifrado para que o texto cifrado possa ser descriptografado somente com essa chave KMS ou com uma chave KMS com a mesma ID de chave. Esse recurso também torna as chaves de várias Regiões relacionadas fáceis de reconhecer e facilita sua utilização intercambiável. Por exemplo, ao usá-las em uma aplicação, você pode fazer referência a chaves de várias Regiões relacionadas com base no ID de chave compartilhada. Em seguida, se necessário, especifique a Região ou o ARN para diferenciá-las.

Conforme suas necessidades de dados mudam, você pode replicar a chave primária para outra Regiões da AWS na mesma partição, como Oeste dos EUA (Oregon) e Ásia-Pacífico (Sydney). O resultado são quatro chaves de várias Regiões relacionados com o mesmo material de chave e IDs de chave, como mostra o seguinte diagrama. Você gerencia as chaves de maneira independente. Elas podem ser usadas de maneira independente ou coordenada. Por exemplo, é possível criptografar dados com a chave de réplica na região Ásia-Pacífico (Sydney), mover os dados para a região Oeste dos EUA (Oregon) e descriptografá-los com a chave de réplica na região Oeste dos EUA (Oregon).

As chaves primárias e de réplica em uma chave de várias Regiões

Outras considerações para chaves de várias Regiões incluem as seguintes.

Sincronização de propriedades compartilhadas — Se uma propriedade compartilhada das chaves multirregionais for alterada, AWS KMS sincronizará automaticamente a alteração da chave primária para todas as suas chaves de réplica. Você não pode solicitar ou forçar uma sincronização de propriedades compartilhadas. AWS KMS detecta e sincroniza todas as alterações para você. No entanto, você pode auditar a sincronização usando o SynchronizeMultiRegionKeyevento nos CloudTrail registros.

Por exemplo, se você ativar a rotação automática de chaves em uma chave primária multirregional simétrica, AWS KMS copiará essa configuração para todas as chaves de réplica. Quando o material de chave é alternado, a alternância é sincronizada entre todas as chaves de várias Regiões relacionadas, para que elas continuem a ter o mesmo material de chave atual e também acesso a todas as versões mais antigas do material de chave. Se você criar uma nova chave de réplica, ela terá o mesmo material de chave atual de todas as chaves de várias Regiões relacionadas e terá acesso a todas as versões anteriores do material de chave. Para obter detalhes, consulte Alternância de chaves de várias regiões.

Alterar a chave primária: todo conjunto de chaves de várias Regiões deve ter exatamente uma chave primária. A chave primária é a única que pode ser replicada. Ela é também a fonte das propriedades compartilhadas das suas chaves de réplica. Porém, você pode transformar a chave primária em uma réplica e promover uma das chaves de réplica para chave primária. Você pode fazer isso para excluir uma chave primária de várias Regiões de uma determinada Região ou localizar a chave primária em uma Região mais próxima dos administradores do projeto. Para obter detalhes, consulte Atualizar a região primária.

Excluindo chaves multirregionais — Como todas as chaves KMS, você deve programar a exclusão das chaves multirregionais antes de excluí-las. AWS KMS Enquanto a exclusão da chave estiver pendente, não será possível usá-la em operações de criptografia. No entanto, não AWS KMS excluirá uma chave primária multirregional até que todas as chaves de réplica sejam excluídas. Para obter detalhes, consulte Excluir chaves de várias regiões.

Conceitos

Os seguintes termos e conceitos são usados com chaves de várias Regiões.

Chave de várias Regiões

A chave de várias Regiões é uma chave de um conjunto de chaves do KMS com o mesmo ID de chave e material de chave (e outras propriedades compartilhadas) em diferentes Regiões da AWS. Cada chave de várias Regiões é uma chave do KMS totalmente funcional que pode ser usada de maneira independente de suas chaves de várias Regiões relacionadas. Como todas as chaves multirregionais relacionadas têm o mesmo ID e material de chave, elas são interoperáveis, ou seja, qualquer chave multirregional relacionada em qualquer uma Região da AWS pode descriptografar texto cifrado criptografado por qualquer outra chave multirregional relacionada.

Você define a propriedade de várias Regiões de uma chave do KMS ao criá-la. Não é possível alterar a propriedade de várias regiões em uma chave existente. Não é possível converter uma chave de região única em chave de várias regiões nem converter uma chave de várias regiões em uma chave de região única. Para mover workloads existentes para cenários de várias regiões, é necessário recriptografar seus dados ou criar novas assinaturas com novas chaves de várias regiões.

Uma chave multirregional pode ser simétrica ou assimétrica e pode usar material chave ou material AWS KMS chave importado. Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.

Em um conjunto de chaves de várias Regiões relacionadas, há exatamente uma chave primária em um determinado momento. Você pode criar chaves de réplica dessa chave primária em outras Regiões da AWS. Também pode atualizar a região primária, o que transforma a chave primária em uma chave de réplica e transforma uma chave de réplica especificada na chave primária. No entanto, você pode manter somente uma chave primária ou chave de réplica em cada uma Região da AWS. Todas as Regiões devem estar na mesma partição da AWS.

Você pode ter diversos conjuntos de chaves de várias regiões relacionadas nas mesmas Regiões da AWS ou em regiões diferentes. Embora chaves de várias Regiões relacionadas sejam interoperáveis, chaves de várias Regiões não relacionadas não são interoperáveis.

Chave primária

Uma chave primária multirregional é uma chave KMS que pode ser replicada em outra Regiões da AWS na mesma partição. Cada conjunto de chaves de várias Regiões tem somente uma chave primária.

Uma chave primária é diferente de uma chave de réplica nos seguintes aspectos:

Entretanto, as chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente.

Não é necessário replicar uma chave primária. Você pode usá-la como faria com qualquer chave do KMS e replicá-la se e quando ela for útil. No entanto, como chaves de várias Regiões têm propriedades de segurança diferentes das chaves de uma única Região, recomendamos criar uma chave de várias Regiões apenas quando você planeja replicá-la.

Chave de réplica

Uma chave de réplica de várias Regiões é uma chave do KMS que tem o mesmo ID de chave e material de chave de sua chave primária e chaves de réplica relacionadas, mas existe em uma Região da AWS diferente,

Uma chave de réplica é uma chave do KMS totalmente funcional com sua própria política de chave, concessões, alias, etiquetas e outras propriedades. Ela não é uma cópia ou ponteiro da chave primária ou de qualquer outra chave. Você pode usar uma chave de réplica mesmo quando sua chave primária e todas as chaves de réplica relacionadas estão desabilitadas. Também pode converter uma chave de réplica em uma chave primária, e vice-versa. Depois de criada, uma chave de réplica depende de sua chave primária somente para alternância de chaves e atualização da Região primária.

Chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente. Os dados criptografados por uma chave primária ou uma chave de réplica podem ser descriptografados pela mesma chave ou por qualquer chave primária ou chave de réplica relacionada.

Replicar

Você pode replicar uma chave primária multirregional em outra Região da AWS na mesma partição. Ao fazer isso, AWS KMS cria uma chave de réplica multirregional na região especificada com o mesmo ID de chave e outras propriedades compartilhadas da chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave de réplica, tudo dentro do AWS KMS.

Propriedades compartilhadas

Propriedades compartilhadas são propriedades de uma chave primária multirregional que são compartilhadas com suas chaves de réplica. AWS KMS cria as chaves de réplica com os mesmos valores de propriedade compartilhada da chave primária. Em seguida, ele sincroniza periodicamente os valores das propriedades compartilhadas da chave primária com suas chaves de réplica. Não é possível definir essas propriedades em uma chave de réplica.

Veja a seguir as propriedades compartilhadas de chaves de várias Regiões.

Você também pode pensar nemas designações primárias e de réplicas de chaves de várias Regiões relacionadas como propriedades compartilhadas. Quando você cria novas chaves de réplica ou atualiza a chave primária, AWS KMS sincroniza a alteração com todas as chaves multirregionais relacionadas. Quando essas alterações estiverem concluídas, todas as chaves de várias Regiões relacionadas listarão suas chaves primárias e chaves de réplica com precisão.

Todas as outras propriedades das chaves de várias regiões são propriedades independentes, incluindo descrição, política de chaves, concessões, estados de chave habilitadas e desabilitadas, aliases e etiquetas. Você pode definir os mesmos valores para essas propriedades em todas as chaves de várias regiões relacionadas. Porém, se você alterar o valor de uma propriedade independente, o AWS KMS não a sincronizará.

Você pode rastrear a sincronização das propriedades compartilhadas das suas chaves de várias regiões. Em seu AWS CloudTrail registro, procure o SynchronizeMultiRegionKeyevento.