View a markdown version of this page

Replicando chaves AWS de criptografia de pagamento - AWS Criptografia de pagamento
Benefícios da replicação de Multi-Region chavesComo funciona Multi-Region a replicação de chavesLimitações e consideraçõesHabilitando Multi-Region a replicação de chavesDesativando a replicação de Multi-Region chavesConsiderações sobre segurançaPráticas recomendadasPreços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replicando chaves AWS de criptografia de pagamento

AWS A criptografia de pagamento suporta a replicação de Multi-Region chaves, permitindo que você distribua com segurança o material e os metadados de qualquer chave criptográfica de AWS pagamento para uma ou mais Regiões da AWS dentro da mesma partição e conta. AWS

A chave de origem é conhecida como chave de região primária (PRK) e continua sendo a fonte autorizada para todas as atividades de gerenciamento de chaves, enquanto as chaves PRK e de região de réplica (RRK) podem ser usadas para operações criptográficas em suas respectivas. Regiões da AWS

Benefícios da replicação de Multi-Region chaves

A seguir, descrevemos alguns benefícios da replicação de Multi-Region chaves.

  • Configuração mais fácil para aplicativos de alta disponibilidade - a criptografia de AWS pagamento gerencia a distribuição de chaves para que você possa usar uma chave em várias Regiões da AWS sem precisar criar cópias desacopladas de uma determinada chave.

  • Chaves de alta disponibilidade e baixa latência - Com Multi-Region a replicação de chaves, você pode acessar suas chaves em várias, Regiões da AWS tornando-as altamente disponíveis, resultando em menor latência.

  • Durabilidade do material chave - As chaves de região de réplica são réplicas de chaves completas e podem ser usadas independentemente da chave de região primária em operações criptográficas. Um RRK fornece uma réplica durável no caso de uma perda catastrófica de dados de um PRK.

Como funciona Multi-Region a replicação de chaves

Quando a replicação de Multi-Region chaves está ativada, o serviço AWS Payment Cryptography usa mecanismos seguros de distribuição de chaves para copiar o material e os metadados da chave para a réplica Regiões da AWS especificada. As alterações nos metadados da chave da região primária, como atributos principais, estado e habilitação, são automaticamente replicadas nas chaves da região de réplica.

Limitações e considerações

A seguir estão algumas das Multi-Region principais limitações e considerações sobre a replicação.

  • Você deve habilitar esse recurso para uma chave específica de criptografia de pagamento Região da AWS ou para uma chave específica.

    • Se esse recurso estiver ativado para um Região da AWS, todas as chaves AWS de criptografia de pagamento criadas após a ativação serão replicadas para a especificada. Região da AWS As chaves criadas nessa região se tornarão chaves da região primária. As chaves existentes nessa região não serão replicadas automaticamente. Você pode habilitar a replicação de Multi-Region chaves para chaves existentes Região da AWS em um nível de chave.

    • Cada um Região da AWS pode ter configurações exclusivas de replicação de Multi-Region chaves.

    • As configurações de Multi-Region replicação de uma chave têm precedência sobre a configuração de replicação da Região da AWS Multi-Region chave.

  • Uma chave de região de réplica não pode ser configurada para ser replicada para outra. Regiões da AWS

  • Multi-Region a replicação de chaves está disponível para chaves simétricas de criptografia de pagamento, como Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES) e Hash-based Message Authentication Code (HMAC).

  • As chaves de criptografia de pagamento assimétrico não oferecem suporte à Multi-Region replicação de chaves.

  • As chaves de região de réplica são chaves somente para leitura. Todas as alterações na chave de região primária serão aplicadas às chaves de região de réplica.

  • Eventualmente, as alterações nas chaves da região primária são consistentes com as chaves da região de réplica.

  • As chaves de criptografia de pagamento só podem ser replicadas com a mesma AWS partição e conta.

  • As chaves da região de réplica contam para seu limite Conta da AWS de criptografia AWS de pagamento de nível.

  • A chave de região primária e a chave de região de réplica usam o mesmo identificador de chave, o que permite referenciar ambas as chaves pelo mesmo ARN nas políticas do IAM.

  • Você deve ter CreateKey permissões na réplica Região da AWS para que a replicação seja bem-sucedida.

Habilitando Multi-Region a replicação de chaves

Há duas maneiras de ativar a replicação de Multi-Region chaves para chaves de criptografia AWS de pagamento.

  1. Região da AWS: a replicação de Multi-Region chaves é aplicada a todas as novas chaves criadas nela Região da AWS quando ativada. Esse método fornece replicação consistente para todas as chaves.

  2. Chaves AWS de criptografia de pagamento específicas: você pode gerenciar a replicação de Multi-Region chaves para chaves individuais, permitindo um nível de controle mais granular.

Depois que a replicação de Multi-Region chaves for ativada, suas chaves de criptografia de pagamento serão replicadas para o Regiões da AWS que você especificar.

Importante

Multi-Region a replicação de chaves não pode ser pausada. Suas chaves são replicadas automaticamente para o que Regiões da AWS você especifica quando a replicação é ativada. Multi-Region a replicação de chaves pode ser desativada para uma chave específica Região da AWS ou de criptografia de pagamento. Você deve remover o Região da AWS como região de replicação da chave de região primária para excluir a chave de região de réplica.

Como alternativa, você pode chamar o comando da StopKeyUsageAPI ou da stop-key-usageCLI na sua PRK para interromper o uso da PRK e de todas as RRKs associadas. Você não conseguirá usar essas chaves em operações criptográficas. Usar o comando StopKeyUsage da API ou da stop-key-usage CLI não interromperá a replicação contínua de Multi-Region chaves habilitada para sua PRK.

Você pode verificar as configurações de replicação de Multi-Region chaves para chaves AWS de criptografia de pagamento em um determinado local Região da AWS chamando o comando da GetDefaultKeyReplicationRegions API ou da CLIget-default-key-replication-regions. As chaves em Região da AWS que você chama essa ação ou comando da API se tornarão sua PRK.

Use os procedimentos a seguir para habilitar a replicação de Multi-Region chaves.

For Região da AWS

  • Use o comando a seguir para habilitar a replicação de Multi-Region chaves para um Região da AWS que você especificar. Neste exemplo, a replicação de Multi-Region chaves está habilitada no Leste dos EUA (Ohio) e no Oeste dos EUA (Oregon). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
nota

Habilitar a replicação de Multi-Region chaves para um não Região da AWS alterará a configuração de replicação de nenhuma chave de criptografia de AWS pagamento existente. Você pode ativar esse recurso para chaves existentes no nível da chave. Somente as chaves criadas depois que a replicação de Multi-Region chaves for ativada para an Região da AWS usarão as configurações de replicação da região.

For specific AWS Payment Cryptography keys

  • Use o comando a seguir para habilitar a replicação de Multi-Region chaves para chaves específicas de criptografia de pagamento. Neste exemplo, a replicação de Multi-Region chaves está habilitada no Leste dos EUA (Ohio). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Como alternativa, você pode criar uma nova chave de criptografia de pagamento com esse recurso ativado, incluindo a replicação Regiões da AWS em sua solicitação de criação de chave.

nota

As principais configurações de replicação têm precedência sobre a configuração de Região da AWS replicação.

Desativando a replicação de Multi-Region chaves

Se quiser desativar a replicação de Multi-Region chaves, você pode chamar os comandos disable-default-key-replication ou remove-key-replication-regions CLI, dependendo de Multi-Region como a replicação de chaves está habilitada. Você precisará especificar o ARN da chave e desativar Região da AWS a replicação da Multi-Region chave.

Considerações

Eventualmente, as exclusões de chaves da região de replicação são consistentes.

Você pode verificar as configurações de replicação de Multi-Region chaves para chaves AWS de criptografia de pagamento em um determinado local Região da AWS chamando o comando da GetDefaultKeyReplicationRegions API ou da CLIget-default-key-replication-regions.

Use os procedimentos a seguir para desativar a replicação de Multi-Region chaves.

For Região da AWS

  • Use o comando a seguir para desativar a replicação de Multi-Region chaves para um Região da AWS que você especificar. Neste exemplo, a replicação de Multi-Region chaves está desativada no Leste dos EUA (Ohio). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Use o comando a seguir para desativar a replicação de chaves para uma Multi-Region chave específica de criptografia de pagamento. Neste exemplo, a replicação de Multi-Region chaves está sendo desativada no Leste dos EUA (Ohio). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Considerações sobre segurança

A seguir estão as considerações de segurança ao usar a replicação de Multi-Region chaves para suas chaves de criptografia de pagamento. Para obter mais informações, consulte Melhores práticas de segurança para criptografia AWS de pagamentos.

  • Limite o compartilhamento de materiais importantes.

  • Siga as principais permissões de privilégios mínimos ao criar políticas do IAM.

  • Você não pode fazer alterações na chave da região da réplica, pois ela é uma chave somente para leitura.

Práticas recomendadas

A seguir estão algumas das melhores práticas ao usar a replicação de Multi-Region chaves com chaves AWS de criptografia de pagamento.

  • Garanta que seu aplicativo continue funcionando mesmo que a replicação da Multi-Region chave para o especificado não Região da AWS seja imediata. Se precisar saber quando a replicação da Multi-Region chave está concluída, você pode monitorar com a ação da GetKeyAPI. Você pode monitorar os principais eventos de replicação com AWS CloudTrail.

  • Teste e implemente processos de implantação automatizados em caso de failover de uma região Região da AWS para outra.

Preços

Você é cobrado pelas chaves de região de réplica que você cria com criptografia AWS de pagamento. Essas chaves são cobradas por Região da AWS. Para obter as informações mais recentes sobre preços da Criptografia de Pagamento, consulte a página de preços da Criptografia de AWS Pagamento.