As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar chaves de réplica de várias regiões
Você pode criar uma chave de réplica de várias regiões no console do AWS KMS, usando a operação ReplicateKey ou um modelo AWS::KMS::ReplicaKey do AWS CloudFormation. Não é possível usar a operação CreateKey para criar uma chave de réplica.
Você pode usar esses procedimentos para replicar qualquer chave primária de várias regiões, inclusive uma chave do KMS de criptografia simétrica, uma chave do KMS de criptografia assimétrica ou uma chave do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash).
Quando essa operação for concluída, a nova chave de réplica terá um estado de chave transitório de Creating
. Esse estado de chave mudará para Enabled
(ou PendingImport
se você criar uma chave de várias regiões com material de chave importado) após alguns segundos quando o processo de criação da nova chave de réplica estiver concluído. Enquanto o estado da chave for Creating
, você poderá gerenciar a chave, mas ainda não poderá usá-la em operações de criptografia. Se estiver criando e usando a chave de réplica programaticamente, tente novamente em KMSInvalidStateException
ou chame DescribeKey para conferir seu valor KeyState
antes de usá-la.
Se você excluir uma chave de réplica por engano, poderá usar esse procedimento para recriá-la. Se você replicar a mesma chave primária na mesma região, a nova chave de réplica criada terá as mesmas propriedades compartilhadas que a chave de réplica original.
Importante
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples nos logs do CloudTrail e em outras saídas.
Para usar um modelo do AWS CloudFormation para criar uma chave de réplica, consulte AWS::KMS::ReplicaKey no Guia do usuário do AWS CloudFormation.
Etapa 1: escolher regiões de réplica
Você normalmente opta por replicar uma chave de várias regiões em uma Região da AWS com base no seu modelo de negócios e requisitos normativos. Por exemplo, você pode replicar uma chave em regiões nas quais você mantém seus recursos. Ou, para atender a um requisito de recuperação de desastres, você pode replicar uma chave em regiões geograficamente distantes.
Veja a seguir os requisitos do AWS KMS para regiões de réplica. Se a região escolhida não atender a esses requisitos, as tentativas de replicar uma chave falharão.
-
Uma chave de várias regiões relacionada por região — Não é possível criar uma chave de réplica na mesma região que a chave primária ou na mesma região que outra réplica da chave primária.
Se você tentar replicar uma chave primária em uma região que já tenha uma réplica dessa chave primária, a tentativa falhará. Se a chave de réplica atual na região estiver no estado de chave PendingDeletion, você poderá cancelar a exclusão da chave de réplica ou aguardar até que a chave de réplica seja excluída.
-
Várias chaves de várias regiões não relacionadas na mesma região — É possível ter várias chaves de várias regiões não relacionadas na mesma região. Por exemplo, você pode ter duas chaves primárias de várias regiões na região
us-east-1
. Cada uma das chaves primárias pode ter uma chave de réplica na regiãous-west-2
. Regiões na mesma partição — A região da chave de réplica deve estar na mesma partição da AWS que a região da chave primária.
-
A região deve estar habilitada — Se uma região estiver desabilitada por padrão, você não poderá criar nenhum recurso nessa região até que ela esteja habilitada para a sua Conta da AWS.
Etapa 2: criar chaves de réplica
No console do AWS KMS, você pode criar uma ou várias réplicas de uma chave primária de várias regiões na mesma operação.
Esse procedimento é semelhante à criação de uma chave do KMS de região única padrão no console. No entanto, como uma chave de réplica é baseada na chave primária, você não seleciona valores para propriedades compartilhadas, como a especificação da chave (simétrica ou assimétrica), o uso da chave ou a origem da chave.
Você especifica propriedades que não são compartilhadas, incluindo alias, etiquetas, descrição e política de chaves. Por conveniência, o console mostra os valores de propriedade atuais da chave primária, mas é possível alterá-los. Mesmo que você mantenha os valores das chaves primárias, o AWS KMS não mantém esses valores sincronizados.
Importante
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples nos logs do CloudTrail e em outras saídas.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Selecione o ID de chave ou alias de uma chave primária de várias regiões. Isso abre a página de detalhes da chave do KMS.
Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna Regionality (Regionalidade) à tabela.
-
Escolha a guia Regionality (Regionalidade).
-
Na seção Related multi-Region keys (Chaves de várias regiões relacionadas), selecione Create new replica keys (Criar novas chaves de réplica).
A seção Related multi-Region keys (Chaves de várias regiões relacionadas) mostra a região da chave primária e suas chaves de réplica. Você pode usar essa tela para ajudar a escolher a região da sua nova chave de réplica.
-
Escolha uma ou mais Regiões da AWS. Esse procedimento cria uma chave de réplica em cada uma das regiões selecionadas.
O menu inclui apenas regiões na mesma partição da AWS que a chave primária. As regiões que já têm uma chave de várias regiões relacionada são exibidas, mas podem ser selecionadas. Talvez você não tenha permissão para replicar uma chave em todas as regiões no menu.
Quando terminar de escolher regiões, feche o menu. As regiões escolhidas são exibidas. Para cancelar a replicação em uma região, escolha a opção X ao lado do nome da região.
-
Digite um alias para a chave de réplica.
O console exibe um dos aliases atuais da chave primária, mas você pode alterá-lo. Você pode dar à chave primária de várias regiões e suas réplicas o mesmo alias ou alias diferentes. Aliases não são uma propriedade compartilhada de chaves de várias regiões. O AWS KMS não sincroniza os aliases de chaves de várias regiões.
Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Use aliases para controlar o acesso às chaves KMS.
-
(Opcional) Digite uma descrição da chave de réplica.
O console exibe a descrição atual da chave primária, mas é possível alterá-la. Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma descrição ou descrições diferentes. O AWS KMS não sincroniza as descrições de chaves de várias regiões.
-
(Opcional) Digite uma chave de etiqueta e um valor de etiqueta opcional. Para atribuir mais de uma etiqueta à chave de réplica, escolha Add tag (Adicionar etiqueta).
O console mostra as etiquetas atualmente anexadas à chave primária, mas é possível alterá-las. Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões.
Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar tags para controlar o acesso a chaves do KMS.
-
Selecione os usuários e as funções do IAM que podem administrar a chave de réplica.
nota
As políticas do IAM podem conceder permissão para gerenciar as chaves de réplica a outros usuários e funções do IAM.
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
Essa etapa inicia o processo de criação de uma política de chaves para a chave de réplica. O console exibe a política de chaves atual da chave primária, mas é possível alterá-la. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma política de chaves ou políticas de chave diferentes. O AWS KMS não sincroniza políticas de chaves. Você pode alterar a política de chaves de qualquer chave do KMS a qualquer momento.
-
Conclua as etapas para criar a política de chaves, incluindo a seleção de usuários de chaves. Após revisar a política de chaves, escolha Finish (Concluir) para criar a chave de réplica.
Para criar uma chave de réplica de várias regiões, use a operação ReplicateKey. Não é possível usar a operação CreateKey para criar uma chave de réplica. Essa operação cria uma chave de réplica por vez. A região que você especificar deve estar em conformidade com os Requisitos de região para chaves de réplica.
Ao usar a operação ReplicateKey
, não especifique valores para propriedades compartilhadas de chaves de várias regiões. Valores de propriedades compartilhadas são copiados da chave primária e mantidos sincronizados. No entanto, é possível especificar valores para propriedades não compartilhadas. De outra forma, o AWS KMS aplicara os valores padrão para chaves do KMS, e não os valores da chave primária.
nota
Se você não especificar valores para os parâmetros Description
, KeyPolicy
ou Tags
, o AWS KMS criará a chave de réplica e uma descrição de string vazia, a política de chave padrão e sem etiquetas.
Não inclua informações confidenciais ou sigilosas nos campos Description
ou Tags
. Esses campos podem aparecer em texto simples nos logs do CloudTrail e em outras saídas.
Por exemplo, o comando a seguir cria uma chave de várias regiões na região Ásia-Pacífico (Sydney) (ap-southeast-2). Essa chave de réplica é modelada na chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1), identificada pelo valor do parâmetro KeyId
. Esse exemplo aceita valores padrão para todas as outras propriedades, incluindo a política de chaves.
A resposta descreve a nova chave de réplica. Ela inclui campos para propriedades compartilhadas, como KeyId
, KeySpec
, KeyUsage
e a origem do material de chave (Origin
). Ela também inclui propriedades que são independentes da chave primária, como Description
, política de chaves (ReplicaKeyPolicy
) e etiquetas (ReplicaTags
).
A resposta também inclui o ARN de chave e a região da chave primária e todas as suas chaves de réplica, incluindo aquela que acabou de ser criada na região ap-southeast-2. Neste exemplo, o elemento ReplicaKey
mostra que essa chave primária já foi replicada na região Europa (Irlanda) (eu-west-1).
aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2
$
{ "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }