Proceso de replicación de claves multirregión - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Proceso de replicación de claves multirregión

AWS KMS utiliza un mecanismo de replicación entre regiones para copiar el material de clave de una clave KMS desde un HSM de una Región de AWS a un HSM en otra Región de AWS. Para que este mecanismo funcione, la clave KMS que se replica debe ser una clave multirregión. Al replicar una clave KMS de una región a otra, los HSM de las regiones no pueden comunicarse directamente porque se encuentran en redes aisladas. En su lugar, los mensajes intercambiados durante la replicación entre regiones los entrega un servicio proxy.

Durante la replicación entre regiones, todos los mensajes generados por un HSM de AWS KMS se firma criptográficamente mediante una clave de firma de replicación. Las claves de firma de replicación (RSK) son claves ECDSA en la curva NIST P-384. Cada región posee al menos una RSK y el componente público de cada RSK se comparte con todas las demás regiones de la misma partición de AWS.

El proceso de replicación entre regiones para copiar material de clave de la región A a la región B funciona como se explica a continuación:

  1. El HSM de la región B genera una clave ECDH efímera en la curva NIST P-384, Clave B del acuerdo de replicación (RAKB). El componente público de RAKB se envía a un HSM de la región A por el servicio proxy.

  2. El HSM de la región A recibe el componente público de RAKB y, a continuación, genera otra clave ECDH efímera en la curva NIST P-384, Clave A del acuerdo de replicación (RAKA). El HSM ejecuta el esquema de establecimiento de claves ECDH en RAKA y el componente público de RAKB, y obtiene una clave simétrica de la salida, la Clave de encapsulamiento de replicación (RWK). La RWK se utiliza para cifrar el material de clave de la clave KMS multirregión que se está replicando.

  3. El componente público de RAKA y el material de clave cifrado con la RWK se envían al HSM de la región B a través del servicio proxy.

  4. El HSM de la región B recibe el componente público de RAKA y el material de clave cifrado mediante la RWK. El HSM se obtiene por la RWK ejecutando el esquema de establecimiento de claves ECDH en RAKB y el componente público de RAKA.

  5. El HSM de la región B utiliza la RWK para descifrar el material de clave de la región A.