Creación de claves primarias de varias regiones - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de claves primarias de varias regiones

Puede crear una clave principal multirregional en la AWS KMS consola o mediante la AWS KMS API. Puede crear la clave principal en cualquier Región de AWS lugar que AWS KMS admita claves multirregionales.

Para crear una clave principal multirregional, el director necesita los mismos permisos que necesita para crear cualquier clave de KMS, incluido el CreateKey permiso kms: en una política de IAM. El director también necesita el permiso iam:. CreateServiceLinkedRole Puede usar la clave de MultiRegionKeyType condición kms: para permitir o denegar el permiso para crear claves principales multirregionales.

nota

Al crear su clave principal multirregional, considere detenidamente los usuarios y roles de IAM que seleccione para administrar y usar la clave. Las políticas de IAM pueden otorgar permisos a otros usuarios y roles de IAM para que administren la clave KMS.

Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

Para crear una clave principal multirregional en la AWS KMS consola, utilice el mismo proceso que utilizaría para crear cualquier clave de KMS. Seleccione una clave de varias regiones en Advanced options (Opciones avanzadas). Para obtener instrucciones completas, consulte Crear de una clave de KMS..

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Crear clave.

  5. Seleccione un tipo de clave simétrica o asimétrica. Las claves simétricas son las predeterminadas.

    Puede crear claves simétricas y asimétricas de varias regiones, incluidas las claves de KMS HMAC de varias regiones, que son simétricas.

  6. Seleccione el uso de claves. Encrypt and decrypt (Cifrar y descifrar) es el valor predeterminado.

    Para obtener ayuda, consulte Crear de una clave de KMS., Creación de una clave de KMS asimétrica o Creación de una clave KMS HMAC.

  7. Expanda Advanced options (Opciones avanzadas).

  8. En Origen del material clave, para AWS KMS generar el material clave que compartirán la clave principal y la de réplica, elija KMS. Si importa material de claves en las claves principal y de réplica, elija External (Import key material) Externo (material de claves importado).

  9. En Regionalidad, seleccione Clave de varias regiones.

    No puede cambiar esta configuración después de crear la clave KMS.

  10. Escriba un alias para la clave principal.

    Los alias no son una propiedad compartida de claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas el mismo alias o alias diferentes. AWS KMS no sincroniza los alias de las claves multirregionales.

    nota

    Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Uso de alias para controlar el acceso a las claves KMS.

  11. (Opcional) Escriba una descripción de la clave primaria.

    Las descripciones no son una propiedad compartida de las claves de varias regiones. Puede dar a la clave principal multirregional y a sus réplicas la misma descripción o descripciones diferentes. AWS KMS no sincroniza las descripciones clave de las claves multirregionales.

  12. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para asignar más de una etiqueta a la clave principal, elija Add tag (Agregar etiqueta).

    Las etiquetas no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas las mismas etiquetas o etiquetas diferentes. AWS KMS no sincroniza las etiquetas de las claves de varias regiones. Puede cambiar las etiquetas de las claves KMS en cualquier momento.

    nota

    Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Uso de etiquetas para controlar el acceso a las claves KMS.

  13. Seleccione los usuarios y roles de IAM que pueden administrar la clave principal.

    Notas

    • Este paso inicia el proceso de creación de una política de claves para la clave principal. Las políticas de clave no son una propiedad compartida de las claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas la misma política clave o políticas clave diferentes. AWS KMS no sincroniza las políticas clave de las claves multirregionales. Puede cambiar la política de claves de una clave KMS en cualquier momento.

    • Al crear una clave principal multirregional, considere la posibilidad de utilizar la política de claves predeterminada generada por la consola. Si modificas esta política, la consola no proporcionará los pasos necesarios para seleccionar los administradores y usuarios clave al crear las réplicas de claves, ni añadirá las declaraciones de política correspondientes. Por lo tanto, tendrás que añadirlas manualmente.

    • La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración"Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  14. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.

  15. Elija Next (Siguiente).

  16. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en operaciones criptográficas.

    Notas

    La AWS KMS consola agrega los usuarios clave a la política clave en los identificadores de la declaración "Allow use of the key" y"Allow attachment of persistent resources". La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  17. (Opcional) Puede permitir que otras personas Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS(Otras), elija Add another Cuenta de AWS(Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  18. Elija Next (Siguiente).

  19. Revise las principales declaraciones de política de la clave. Para realizar cambios en la política clave, selecciona Editar.

  20. Elija Next (Siguiente).

  21. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  22. Seleccione Finalizar para crear la clave principal multirregional.

Para crear una clave principal multirregional, utilice la CreateKeyoperación. Utilice el parámetro MultiRegion con un valor de True.

Por ejemplo, el siguiente comando crea una clave principal multirregión en la persona que llama ( Región de AWS us-east-1). Acepta valores predeterminados para todas las demás propiedades, incluida la política de claves. Los valores predeterminados para las claves principales de varias regiones son los mismos que los valores predeterminados para todas las demás claves KMS, incluida la política de claves predeterminada. Este procedimiento crea una clave de cifrado simétrica, la clave KMS predeterminada.

La respuesta incluye el elemento MultiRegion y el elemento MultiRegionConfiguration con subelementos y valores típicos para una clave principal de varias regiones sin claves de réplica. La ID de clave de una clave de varias regiones siempre comienza con mrk-.

importante

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en los CloudTrail registros y otros resultados.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}