Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Claves multirregionales en AWS KMS
AWS KMS admite claves multirregionales, que son AWS KMS keys diferentes Regiones de AWS y se pueden usar indistintamente, como si tuvieras la misma clave en varias regiones. Cada conjunto de claves multirregionales relacionadas tiene el mismo material de clave y el mismo identificador de clave, por lo que puede cifrar los datos en uno Región de AWS y descifrarlos en otro diferente Región de AWS sin necesidad de volver a cifrarlos ni de realizar llamadas entre regiones. AWS KMS
Como todas las KMS claves, las claves multirregionales nunca se quedan sin cifrar. AWS KMS Puede crear claves multirregionales simétricas o asimétricas para el cifrado o la firma, crear claves HMAC multirregionales para generar y verificar HMAC etiquetas, y crear claves multirregionales con material clave importado o material clave generado. AWS KMS Debe administrar cada clave de varias regiones de forma independiente, incluida la creación de alias y etiquetas, el establecimiento de sus políticas y concesiones clave, y la habilitación y deshabilitación selectivas. Puede utilizar claves de varias regiones en todas las operaciones criptográficas que puede realizar con claves de una sola región.
Las claves de varias regiones son una solución flexible y potente para muchos escenarios comunes de seguridad de datos.
- Recuperación ante desastres
-
En una arquitectura de copia de seguridad y recuperación, las claves multirregionales le permiten procesar datos cifrados sin interrupción, incluso en caso de que se produzca una interrupción. Región de AWS Los datos mantenidos en las regiones de copia de seguridad se pueden descifrar en la región de copia de seguridad, y los datos recién cifrados en la región de copia de seguridad se pueden descifrar en la región principal cuando se restaura esa región.
- Administración de datos global
-
Las empresas que operan en todo el mundo necesitan datos distribuidos globalmente que estén disponibles de manera consistente en Regiones de AWS. Puede crear claves de varias regiones en todas las regiones donde residen los datos y, a continuación, utilizar las claves como si fueran una clave de una sola región sin la latencia de una llamada entre regiones o el costo de volver a cifrar datos bajo una clave diferente en cada región.
- Aplicaciones de firma distribuidas
-
Las aplicaciones que requieren capacidades de firma entre regiones pueden utilizar claves de firma asimétricas de varias regiones para generar firmas digitales idénticas de forma consistente y repetida en diferentes Regiones de AWS.
Si utiliza el encadenamiento de certificados con un único almacén de confianza global (para una única entidad emisora de certificados (CA) raíz y un intermediario regional CAs firmado por la entidad emisora de certificados raíz, no necesitará claves multirregionales. Sin embargo, si su sistema no admite las certificaciones intermediasCAs, como la firma de solicitudes, puede utilizar claves multirregionales para dar coherencia a las certificaciones regionales.
- Aplicaciones activa-activa que abarcan varias regiones
-
Algunas cargas de trabajo y aplicaciones pueden abarcar varias regiones en arquitecturas activa-activa. Para estas aplicaciones, las claves de varias regiones pueden reducir la complejidad al proporcionar el mismo material clave para operaciones simultáneas de cifrado y descifrado en datos que podrían estar moviéndose a través de los límites de la región.
Puede utilizar claves multirregionales con bibliotecas de cifrado del lado del cliente, como el AWS Encryption SDKcifrado de AWS bases de datos y el cifrado SDK del lado del cliente de Amazon S3.
AWS Los servicios que se integran AWS KMS
Las claves de varias regiones no son globales. Cree una clave principal de varias regiones y, a continuación, replíquela en las regiones que seleccione dentro de una partición de AWS. Luego, administre la clave de varias regiones en cada región de forma independiente. Ni crea AWS ni replica automáticamente claves multirregionales en AWS KMS ninguna región en su nombre. Claves administradas por AWS, las KMS claves que AWS los servicios crean en tu cuenta para ti, son siempre claves de una sola región.
En las regiones de China, puede utilizar la función clave multirregión para replicar KMS las claves dentro de la partición de las regiones de China (aws-cn). Por ejemplo, puede replicar una clave de la región de China (Pekín) a la región de China (Ningxia) o viceversa. Al replicar una clave de una región de China a otra, aceptas usar la AWS Key Management Service de la región de destino y cumplir con todos los términos del acuerdo aplicables a la región de destino. No puede replicar una clave de las regiones de Beijing y Ningxia en una AWS región fuera de la partición de las regiones de China. Del mismo modo, no puede replicar una clave de una región fuera de la partición de las regiones de China en las regiones de Beijing y Ningxia.
No puede convertir una clave de región única existente en una clave de varias regiones. Este diseño garantiza que todos los datos protegidos con claves de una sola región existentes mantengan las mismas propiedades de residencia y soberanía de datos.
Para la mayoría de las necesidades de seguridad de los datos, el aislamiento regional y la tolerancia a errores de los recursos regionales hacen que las claves de una AWS KMS sola región estándar sean la solución más adecuada. Sin embargo, cuando necesite cifrar o firmar datos en aplicaciones del cliente en varias regiones, es posible que las claves de varias regiones sean la solución.
Regiones
Las claves multirregionales son compatibles con todos Regiones de AWS los soportes. AWS KMS
Precios y cuotas
Cada clave de un conjunto de claves multirregionales relacionadas cuenta como una KMS clave para los precios y las cuotas. AWS KMS las cuotas se calculan por separado para cada región de una cuenta. El uso y la administración de las claves de varias regiones en cada Región cuenta para las cuotas de dicha Región.
Tipos de KMS claves compatibles
Puede crear los siguientes tipos de KMS claves multirregionales:
-
Claves de cifrado simétricas KMS
-
Claves asimétricas KMS
-
HMACKMSllaves
-
KMSllaves con material clave importado
No puede crear claves de varias regiones en un almacén de claves personalizado.
Más información
-
Para obtener información sobre cómo controlar el acceso a KMS las claves multirregionales, consulteControl del acceso a claves de varias regiones.
-
Para crear KMS claves principales multirregionales de cualquier tipo, consulte. Creación de claves primarias de varias regiones
-
Para crear réplicas de KMS claves multirregionales, consulte. Creación de claves de réplica de varias regiones
-
Para. actualizar la región principal, consulte Cambio de la clave principal en un conjunto de claves de varias regiones.
-
Para identificar y ver las KMS claves multirregionales, consulte. Identificación de claves KMS HMAC
-
Para obtener más información sobre las consideraciones especiales a la hora de eliminar KMS claves multirregionales, consulte. Deleting multi-Region keys
Terminología y conceptos
Los siguientes términos y conceptos se utilizan con claves de varias regiones.
Clave de varias regiones
Una clave multirregional forma parte de un conjunto de KMS claves con el mismo identificador y material clave (además de otras propiedades compartidas) pero diferentes. Regiones de AWS Cada clave multirregional es una clave totalmente funcional que se puede utilizar de forma totalmente independiente de las KMS claves multirregionales relacionadas. Como todas las claves multirregionales relacionadas tienen el mismo identificador de clave y el mismo material clave, son interoperables, es decir, cualquier clave multirregional relacionada de una de ellas Región de AWS puede descifrar el texto cifrado por cualquier otra clave multirregional relacionada.
La propiedad multirregional de una clave se establece al crearla. KMS No se puede cambiar esta propiedad de varias regiones en una clave existente. No se puede convertir una clave de región única en clave de varias regiones ni convertir una clave de varias regiones en una clave de región única. Para mover cargas de trabajo existentes a escenarios de varias regiones, debe volver a cifrar los datos o crear nuevas firmas con nuevas claves de varias regiones.
Una clave multirregional puede ser simétrica o asimétrica y puede utilizar material clave o material AWS KMS clave importado. No puede crear claves de varias regiones en un almacén de claves personalizado.
En un conjunto de claves de varias regiones relacionadas, hay exactamente una clave principal en cualquier momento. Puede crear claves de réplica de esa clave principal en otras Regiones de AWS. También puede actualizar la región principal, que cambia la clave principal a una clave de réplica y cambia una clave de réplica especificada a la clave principal. Sin embargo, solo puede mantener una clave principal o una clave de réplica en cada una. Región de AWS Todas las regiones deben estar en la misma partición de AWS.
Puede tener varios conjuntos de claves de varias regiones relacionadas en la misma o diferentes Regiones de AWS. Aunque las claves de varias regiones relacionadas son interoperables, las claves de varias regiones no relacionadas no son interoperables.
Clave principal
Una clave principal multirregional es una KMS clave que se puede replicar Regiones de AWS en otra de la misma partición. Cada conjunto de claves de varias regiones tiene una sola clave principal.
Una clave principal difiere de una clave de réplica en las siguientes formas:
-
Solo se puede replicar una clave principal.
-
La clave principal es el origen de propiedades compartidas de su claves de réplica, incluido el material de la clave y el ID de la clave.
-
Puede habilitar y desactivar la rotación automática de claves solo en una clave principal.
-
Puede programar la eliminación de una clave principal en cualquier momento. Pero no AWS KMS eliminará una clave principal hasta que se eliminen todas sus claves de réplica.
Sin embargo, las claves primarias y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable.
No es necesario replicar una clave principal. Puede usarla como lo haría con cualquier KMS clave y replicarla siempre y cuando sea útil. Sin embargo, dado que las claves de varias regiones tienen propiedades de seguridad diferentes a las claves de una sola región, se recomienda crear una clave de varias regiones solo cuando planee replicarla.
Clave de réplica
Una clave de réplica multirregional es una KMS clave que tiene el mismo identificador de clave y el mismo material de clave que su clave principal y las claves de réplica relacionadas, pero que existe en un lugar diferente Región de AWS.
Una clave de réplica es una KMS clave completamente funcional con su propia política de claves, concesiones, alias, etiquetas y otras propiedades. No es una copia ni un puntero a la clave principal ni a ninguna otra clave. Puede utilizar una clave de réplica incluso si su clave principal y todas las claves de réplica relacionadas están deshabilitadas. También puede convertir una clave de réplica en una clave principal y una clave principal en una clave de réplica. Una vez creada, una clave de réplica se basa en su clave principal solo para la rotación de claves y la actualización de la región principal.
Las claves principales y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable. Los datos cifrados por una clave principal o de réplica se pueden descifrar con la misma clave o mediante cualquier clave principal o de réplica relacionada.
Replicación
Puede replicar una clave principal multirregional Región de AWS en otra diferente de la misma partición. Al hacerlo, AWS KMS crea una clave de réplica multirregional en la región especificada con el mismo ID de clave y otras propiedades compartidas que su clave principal. Luego transporta de forma segura el material clave a través del límite de la región y lo asocia con la nueva clave de réplica, todo dentro de AWS KMS.
Propiedades compartidas
Las propiedades compartidas son propiedades de una clave principal multirregional que se comparten con sus claves de réplica. AWS KMS crea las claves de réplica con los mismos valores de propiedad compartidos que los de la clave principal. A continuación, sincroniza periódicamente los valores de propiedad compartida de la clave principal con sus claves de réplica. No puede establecer estas propiedades en una clave de réplica.
Las siguientes son las propiedades compartidas de claves de varias regiones.
-
ID de clave: (el
Regionelemento de la clave ARN es diferente). -
Especificación de clave y algoritmos de cifrado
-
Rotación automática de claves: solo puede habilitar y desactivar la rotación automática de claves en la clave principal. Las nuevas claves de réplica se crean con todas las versiones del material de claves compartido. Para obtener más información, consulte Rotating multi-Region keys.
-
Rotación bajo demanda: solo puede realizar la rotación bajo demanda en la clave principal. Las nuevas claves de réplica se crean con todas las versiones del material de claves compartido. Para obtener más información, consulte Rotating multi-Region keys.
También puede pensar en las designaciones primarias y de réplica de claves de varias regiones relacionadas como propiedades compartidas. Al crear nuevas claves de réplica o actualizar la clave principal, AWS KMS sincroniza el cambio con todas las claves multirregionales relacionadas. Cuando se completan estos cambios, todas las claves de varias regiones relacionadas muestran su clave principal y las claves de réplica con precisión.
Todas las demás propiedades de las claves de varias regiones sonpropiedades independientes, incluida la descripción, la política de claves, las concesiones, los estados clave habilitados y deshabilitados, los alias y las etiquetas. Puede establecer los mismos valores para estas propiedades en todas las claves de varias regiones relacionadas, pero si cambia el valor de una propiedad independiente, AWS KMS no lo sincroniza.
Puede realizar un seguimiento de la sincronización de las propiedades compartidas de las claves de varias regiones. Busca el evento en tu AWS CloudTrail registro. SynchronizeMultiRegionKey
