Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Importación de material clave en claves de varias regiones
Puede importar su propio material de claves en una clave de KMS de varias regiones. Las claves de varias regiones que cree con su propio material clave son interoperables. Puede cifrar datos en una región y descifrarlos en cualquier otra región con una clave de varias regiones relacionada.
Sin embargo, debe administrar el material clave.
-
AWS KMS no copia ni sincroniza el material claves de una clave principal con el material de clave importado en sus claves de réplica. Debe importar el mismo material de claves en claves principales y de réplica relacionadas.
-
El modelo de caducidad y las fechas de vencimiento de cada clave se establecen de forma independiente al importar el material clave. Puede configurar el mismo modelo o un modelo de vencimiento y fechas de vencimiento diferentes para las claves de varias regiones relacionadas. Si el material clave se acerca a su fecha de caducidad, debe volver a importar el material clave en la clave de varias regiones afectada.
Los estados de claves relacionadas con varias regiones son independientes entre sí. Por ejemplo, si el material de claves de la clave principal vence, sus claves de réplica no se verán afectadas.
Los mismos Requisitos de región para claves de réplica se aplican a claves de varias regiones con material de claves importado. Si importa el mismo material clave en claves de una sola región o claves de varias regiones no relacionadas, estas claves KMS son no interoperable.
Puede crear claves de varias regiones con material importado de claves simétricas, asimétricas o HMAC. AWS KMS no admite material de claves importado en almacenes de claves personalizados. Además, no puede habilitar la rotación automática de claves de ninguna clave KMS con material de claves importado.
Aparte de sus características de varias regiones, las claves de varias regiones con material clave importado son las mismas que otras claves KMS con material clave importado. Para obtener información detallada sobre cómo crear y configurar claves de una región con material de claves importado, consulte Acerca de material de claves importado.
Temas
¿Por qué no son interoperables todas las claves KMS con material de claves importado?
Las claves KMS de una sola región con material clave importado no son interoperables, incluso cuando tienen el mismo material clave. Cuando AWS KMS utiliza una clave KMS para cifrar datos, enlaza criptográficamente algunos de los metadatos clave al texto cifrado. Esto asegura el texto cifrado para que solo la clave KMS que los datos cifrados puedan descifrar esos datos.
Las claves de varias regiones están diseñadas para ser interoperables. Además de tener el mismo material clave, tienen el mismo ID de clave y otros metadatos. Por lo tanto, los textos cifrados que generan pueden ser descifrados por cualquier clave de varias regiones relacionada. Como resultado, las propiedades de confianza de las claves de varias regiones son diferentes de las de las claves de una sola región. Pero para algunos clientes, el beneficio de descifrar en varias regiones supera el valor de seguridad de un texto cifrado que depende de una sola clave KMS en una sola Región de AWS.
Crear una clave principal con material de claves importado
Para crear una clave principal con material importado de claves, comience con la creación de una clave de KMS sin material de claves. Al crear la clave principal sin material clave, debe indicar la especificación de la clave que refleje el tipo de material de claves que planea importar. A continuación, importará el material de claves a la clave principal.
El procedimiento para crear una clave principal de varias regiones sin material clave es casi el mismo que el procedimiento para crear una clave de una sola región sin material clave. La única diferencia es que debe especificar que la clave es una clave de varias regiones.
Los permisos para crear una clave principal multirregional con material clave importado son los mismos que los necesarios para crear una clave principal multirregional con material AWS KMS clave, incluidos los CreateServiceLinkedRole permisos kms: CreateKey e iam: de una política de IAM. Puede usar las claves KeyOrigin condicionales kms: MultiRegionKeyType y kms: para conceder o denegar el permiso para crear claves principales multirregionales con material clave importado.
Al crear una clave principal con material clave importado en la consola de AWS KMS, utilice la configuración de la sección Opciones avanzadas. No puede cambiar estas propiedades después de que se cree la clave de KMS.
-
Defina el origen del material clave como Externo (Importar material clave).
-
Establezca Multi-Region replication (Replicación de varias regiones) en Allow this key to be replicated into other Regions (Permitir que esta clave se replique en otras regiones).
Cuando utilice la CreateKeyoperación para crear una clave principal con material clave importado, utilice los MultiRegion
parámetros Origin
y, a continuación, especifique los parámetros KeySpec
y. KeyUsage
En el siguiente ejemplo, se crea una clave de KMS EXTERNAL
que puede importar material de claves ECC_NIST_P384
.
$
aws kms create-key --origin EXTERNAL --key-specECC_NIST_P384
--key-usageSIGN_VERIFY
--multi-region
El resultado es una clave principal de varias regiones sin material clave y un estado clave de PendingImport
.
Para habilitar esta clave KMS, debe descargar una clave pública y un token de importación, utilizar la clave pública para cifrar el material de claves y, a continuación, importar el material de claves. Para obtener instrucciones, consulte Importación de material clave para AWS KMS llaves.
Creación de una clave de réplica con material de claves importado
Puede crear una clave de réplica de varias regiones en la consola AWS KMS o mediante las operaciones de la API de AWS KMS. Para replicar una clave principal de varias regiones con material de claves importado, utilice el mismo procedimiento que utiliza paracrear una clave de réplica con material de claves de AWS KMS. Sin embargo, el resultado es diferente. En lugar de devolver una clave de réplica con el mismo material de clave que la clave principal, el proceso de replicación devuelve una clave de réplica sin material de claves y un estado de clave de PendingImport
. Para habilitar la clave de réplica, debe importar el mismo material de claves en la clave de réplica que importó a su clave principal.
Aunque no replica el material de claves, AWS KMS crea la clave de réplica con el mismo ID de clave, especificación de claves, uso de claves y origen del material de claves como clave principal. También garantiza que el material clave importado en la clave de réplica sea idéntico al material de claves importado en la clave principal.
Para crear una clave de réplica con material de claves importado:
-
Creación de una clave principal de varias regiones con material de claves importado.
-
Aplique alguna de las siguientes acciones.
En la consola AWS KMS, elija una clave principal de varias regiones con material de claves importado. Luego, en su pestaña Regionality (Regionalidad), elija Create new replica keys (Crear nuevas claves de réplica). Para obtener instrucciones, consulte Creación de claves de réplica (consola).
O utilice la ReplicateKeyoperación. Para el parámetro
KeyId
, introduzca el ID de clave o ARN de clave de una clave principal de varias regiones con material de claves importado. Para obtener instrucciones, consulte Crear una clave de réplica (API de AWS KMS). -
Para cada nueva clave de réplica, siga los pasos para descargar una clave pública y un token de importación. Utilice la clave pública para cifrar el material de claves de la clave principal y, a continuación, importe el material de claves de la clave principal en la clave de réplica. Necesita una clave pública diferente y un token de importación para cada clave de réplica.
Si el material de claves que intenta importar a la clave de réplica no es el mismo que su clave principal, se produce un error en la operación. AWS KMS no requiere que el modelo de caducidad y las fechas de caducidad estén coordinadas, pero es posible que establezca reglas de negocio para las claves de varias regiones. Para obtener instrucciones, consulte Importación de material clave para AWS KMS llaves.
Permisos para replicar claves con materiales clave importados
Para crear una clave de réplica con material de claves importado, debe tener los siguientes permisos.
En la región de claves principal:
-
kms: ReplicateKey en la clave principal (en la región de la clave principal). Incluya este permiso en la política de clave de la clave principal o en una política de IAM.
En la región clave de réplica:
-
kms: CreateKey en una política de IAM.
-
kms: GetParametersForImport. Puede incluir este permiso en la política de clave de la clave de réplica o en una política de IAM.
-
kilómetros: ImportKeyMaterial. Puede incluir este permiso en la política de clave de la clave de réplica o en una política de IAM.
-
kms: TagResource se requiere para asignar etiquetas al replicar. Incluya este permiso en una política de IAM en la región de réplica.
-
kms: CreateAlias es necesario para replicar una clave en la AWS KMS consola. Para obtener más información, consulte Control del acceso a alias.