Processo de replicação para chaves em multirregiões - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Processo de replicação para chaves em multirregiões

O AWS KMS usa um mecanismo de replicação entre regiões para copiar o material de chaves em uma chave do KMS de um HSM em uma Região da AWS para um HSM em uma Região da AWS diferente. Para que esse mecanismo funcione, a chave do KMS que está sendo replicada deve ser uma chave multirregião. Ao replicar uma chave do KMS de uma região para outra, os HSMs nas regiões não podem se comunicar diretamente, pois estão em redes isoladas. Em vez disso, as mensagens trocadas durante a replicação entre regiões são entregues por um serviço proxy.

Durante a replicação entre regiões, todas as mensagens geradas por um HSM do AWS KMS é assinado criptograficamente usando uma chave de assinatura de replicação. As chaves de assinatura de replicação (RSKs) são chaves ECDSA na curva NIST P-384. Cada região possui pelo menos uma RSK, e o componente público de cada RSK é compartilhado com todas as outras regiões na mesma partição da AWS.

O processo de replicação entre regiões para copiar material de chaves da Região A para a Região B funciona da seguinte forma:

  1. O HSM na Região B gera uma chave ECDH efêmera na curva NIST P-384, Contrato de replicação da chave B (RAKB). O componente público do RAKB é enviado para um HSM na Região A pelo serviço de proxy.

  2. O HSM na Região A recebe o componente público do RAKB e, em seguida, gera outra chave ECDH efêmera na curva NIST P-384, Contrato de replicação da Chave A (RAKA). O HSM executa o esquema de estabelecimento de chave ECDH no RAKA e no componente público do RAKB, e deriva uma chave simétrica da saída, o Empacotamento de replicação de chave (RWK). O RWK é usado para criptografar o material de chaves da chave do KMS de várias regiões que está sendo replicada.

  3. O componente público do RAKA e o material de chaves criptografado com o RWK são enviados para o HSM na Região B por meio do serviço de proxy.

  4. O HSM na Região B recebe o componente público do RAKA e o material de chaves criptografado usando o RWK. O HSM deriva pela RWK executando o regime de estabelecimento de chave ECDH no RAKB e o componente público do RAKA.

  5. O HSM na Região B usa o RWK para descriptografar o material de chaves da Região A.