Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de claves primarias de varias regiones
Puede crear una clave principal de varias regiones en la consola de AWS KMS o mediante la API de AWS KMS. Puede crear la clave principal en cualquier Región de AWS donde AWS KMS admite claves de varias regiones.
Para crear una clave principal multirregional, el director necesita los mismos permisos que necesita para crear cualquier clave de KMS, incluido el CreateKey permiso kms: en una política de IAM. El director también necesita el permiso iam:. CreateServiceLinkedRole Puede usar la clave de MultiRegionKeyType condición kms: para permitir o denegar el permiso para crear claves principales multirregionales.
Estas declaraciones crean una clave principal de varias regiones con material de claves que AWS KMS genera. Para crear una clave principal de varias regiones con material de claves importado, consulte Crear una clave principal con material de claves importado.
Temas
Creación de una clave principal de varias regiones (consola)
Para crear una clave principal de varias regiones en la consola AWS KMS, utilice el mismo proceso que usaría para crear cualquier clave KMS. Seleccione una clave de varias regiones en Advanced options (Opciones avanzadas). Para obtener instrucciones completas, consulte Crear claves.
importante
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
-
Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija Create key.
-
Seleccione un tipo de clave simétrica o asimétrica. Las claves simétricas son las predeterminadas.
Puede crear claves simétricas y asimétricas de varias regiones, incluidas las claves de KMS HMAC de varias regiones, que son simétricas.
-
Seleccione el uso de claves. Encrypt and decrypt (Cifrar y descifrar) es el valor predeterminado.
Para obtener ayuda, consulte Crear claves, Creación de claves KMS asimétricas o Creación de claves KMS HMAC.
-
Expanda Advanced options (Opciones avanzadas).
-
En Key material origin (Origen del material de claves), para hacer que AWS KMS genere el material clave que compartirán sus claves principales y de réplica, elija KMS. Si importa material de claves en las claves principal y de réplica, elija External (Import key material) Externo (material de claves importado).
-
En Key material origin (Replicación de varias regiones), elija Allow this key to be replicated into other Regions (Permitir que esta clave se replique en otras regiones).
No puede cambiar esta configuración después de crear la clave KMS.
-
Escriba un alias para la clave principal.
Los alias no son una propiedad compartida de claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas el mismo alias o alias diferentes. AWS KMS no sincroniza los alias de las claves de varias regiones.
nota
Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Usar alias para controlar el acceso a las claves KMS.
-
(Opcional) Escriba una descripción de la clave primaria.
Las descripciones no son una propiedad compartida de las claves de varias regiones. Puede dar a su clave principal de varias regiones y sus réplicas la misma descripción o descripciones diferentes. AWS KMS no sincroniza las descripciones de las claves de varias regiones.
-
(Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para asignar más de una etiqueta a la clave principal, elija Add tag (Agregar etiqueta).
Las etiquetas no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas las mismas etiquetas o etiquetas diferentes. AWS KMS no sincroniza las etiquetas de las claves de varias regiones. Puede cambiar las etiquetas de las claves KMS en cualquier momento.
nota
Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Uso de etiquetas para controlar el acceso a las claves KMS.
-
Seleccione los usuarios y roles de IAM que pueden administrar la clave principal.
nota
Las políticas de IAM pueden otorgar permisos para que usuarios y roles de IAM administren la clave KMS.
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.
Este paso inicia el proceso de creación de una política de claves para la clave principal. Las políticas de clave no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas la misma política de claves o políticas de claves diferentes. AWS KMS no sincroniza las políticas de claves de varias regiones. Puede cambiar la política de claves de una clave KMS en cualquier momento.
-
Complete los pasos para crear la política de claves, incluida la selección de usuarios de claves. Después de revisar la política de claves, elija Finish (Finalizar) para crear la clave KMS
Creación de una clave principal de varias regiones (API de AWS KMS)
Para crear una clave principal multirregional, utilice la CreateKeyoperación. Utilice el parámetro MultiRegion con un valor de True.
Por ejemplo, el siguiente comando crea una clave principal de varias regiones en la Región de AWS de la persona que llama (us-east-1). Acepta valores predeterminados para todas las demás propiedades, incluida la política de claves. Los valores predeterminados para las claves principales de varias regiones son los mismos que los valores predeterminados para todas las demás claves KMS, incluida la política de claves predeterminada. Este procedimiento crea una clave de cifrado simétrica, la clave KMS predeterminada.
La respuesta incluye el elemento MultiRegion y el elemento MultiRegionConfiguration con subelementos y valores típicos para una clave principal de varias regiones sin claves de réplica. La ID de clave de una clave de varias regiones siempre comienza con mrk-.
importante
No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
aws kms create-key --multi-region${ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }
