Alterar a chave primária em um conjunto de chaves de várias regiões - AWS Key Management Service
Atualizar a região primária

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterar a chave primária em um conjunto de chaves de várias regiões

Todos os conjuntos de chaves de várias regiões relacionadas devem ter uma chave primária. Porém, você pode alterar a chave primária. Esta ação, conhecida como atualizar a região primária, converte a chave primária atual em uma chave de réplica e converte uma das chaves de réplica relacionadas na chave primária. Você pode fazer isso quando precisa excluir a chave primária atual enquanto mantém as chaves de réplica ou para localizar a chave primária na mesma região que seus administradores de chave.

Você pode selecionar qualquer chave de réplica relacionada para ser a nova chave primária. Tanto a chave primária quanto a chave de réplica devem estar no estado de chave Enabled quando a operação começar.

O estado de chave Updating

Mesmo após a conclusão da operação UpdatePrimaryRegion, o processo de atualização da região primária pode permanecer em andamento por mais alguns segundos. Durante esse tempo, as chaves primárias antigas e novas têm um estado de chave transitório Updating (Atualizando). Enquanto o estado de chave é Updating, você pode usar as chaves em operações de criptografia, mas não pode replicar a nova chave primária ou realizar certas operações de gerenciamento, como habilitar ou desabilitar essas chaves. Operações como DescribeKey podem mostrar as chaves primárias antigas e novas como réplicas. O estado de chave Enabled será restaurado quando a atualização estiver concluída.

Para obter informações sobre o efeito do estado de chave Updating, consulte Estados das chaves do AWS KMS.

Como funciona

Suponha que você tenha uma chave primária no Leste dos EUA (Norte da Virgínia) (us-east-1) e uma chave de réplica na Europa (Irlanda) (eu-west-1). É possível usar o recurso de atualização para transformar a chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1) em uma chave de réplica e transformar a chave de réplica na Europa (Irlanda) (eu-west-1) na chave primária.

Atualizar a chave primária

Quando o processo de atualização for concluído, a chave de várias regiões na região Europa (Irlanda) (eu-west-1) é uma chave primária de várias regiões, enquanto a chave na região Leste dos EUA (Norte da Virgínia) (us-east-1) é sua chave de réplica. Se houver outras chaves de réplica relacionadas, elas se tornarão réplicas da nova chave primária. Da próxima vez que o AWS KMS sincronizar as propriedades compartilhadas das chaves de várias regiões, ele obterá as propriedades compartilhadas da nova chave primária e as copiará para suas chaves de réplica, incluindo a chave primária anterior.

A operação de atualização não surte efeito no ARN de chave de chaves de várias regiões. Ela também não surte efeito em propriedades compartilhadas, como material de chave, ou em propriedades independentes, como política de chaves. Porém, talvez você queira Aatualizar a política de chaves da nova chave primária. Por exemplo, talvez você queira adicionar a permissão kms:ReplicateKey para entidades confiáveis para a nova chave primária e remova-a da nova chave de réplica.

Atualizar a região primária

É possível converter uma chave de réplica em uma chave primária, o que transforma a chave primária anterior em uma réplica. Para atualizar a região primária, é necessário ter a permissão kms:UpdatePrimaryRegion em ambas as regiões.

Você pode atualizar a região primária no console do AWS KMS ou usando a operação UpdatePrimaryRegion.

É possível atualizar a chave primária no console do AWS KMS. Comece na página de detalhes de chaves da chave primária atual.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Selecione o ID de chave ou alias da chave primária de várias regiões. Isso abre a página de detalhes da chave primária.

    Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna Regionality (Regionalidade) à tabela.

  5. Escolha a guia Regionality (Regionalidade).

  6. Na seção Primary key (Chave primária), escolha Change primary Region (Alterar região primária).

  7. Escolha a região da nova chave primária. Você só pode escolher uma região no menu.

    O menu Change primary Regions (Alterar regiões primárias) inclui apenas regiões que têm uma chave de várias regiões relacionada. Você pode não ter permissão para atualizar a região primária em todas as regiões no menu.

  8. Escolha Alterar região primária.

Para alterar a chave primária em um conjunto de chaves de várias regiões relacionadas, use a operação UpdatePrimaryRegion.

Usar o parâmetro KeyId para identificar a chave primária atual. Usar o parâmetro PrimaryRegion para indicar a Região da AWS da nova chave primária. Se a chave primária ainda não tiver uma réplica na nova região primária, a operação falhará.

O exemplo a seguir altera a chave primária da chave de várias regiões na região us-west-2 para sua réplica na região eu-west-1. O parâmetro KeyId identifica a chave primária atual na região us-west-2. O parâmetro PrimaryRegion especifica a Região da AWS da nova chave primária, eu-west-1.

$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

Quando bem-sucedida, essa operação não retorna saída; apenas o código de status HTTP. Para ver o efeito, chame a operação DescribeKey em qualquer uma das chaves de várias regiões. Talvez você queira esperar até que o estado da chave volte a ser Enabled. Enquanto estado da chave é Updating (Atualizando), os valores da chave ainda podem estar em fluxo.

Por exemplo, a seguinte chamada DescribeKey obtém os detalhes sobre a chave de várias regiões na região eu-west-1. A saída mostra que a chave de várias regiões na região eu-west-1 é agora a chave primária. A chave de várias regiões relacionada (mesma ID de chave) na região us-west-2 agora é uma chave de réplica.

$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}