Administración de claves de varias regiones - AWS Key Management Service
Actualización de la región principalRotación de las claves de varias regiones Descargar claves públicas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de claves de varias regiones

Para la mayoría de las acciones, administra las claves de varias regiones de la misma manera que usa y administra las claves de una sola región. Puede habilitar y desactivar las claves, establecer y actualizar alias, políticas de clave, concesiones y etiquetas. Sin embargo, la administración de claves de varias regiones difiere en las siguientes formas.

La propiedad de varias regiones que usted establece cuando crea una clave KMS es inmutable. No se puede convertir una clave de región única en clave de varias regiones ni convertir una clave de varias regiones en una clave de región única.

Actualización de la región principal

Cada conjunto de claves de varias regiones relacionadas debe contar con una clave principal. Pero puede cambiar la clave principal. Esta acción, conocida como actualización de la región principal, convierte la clave principal actual en una clave de réplica y convierte una de las claves de réplica relacionadas en la clave principal. Puede hacerlo si necesita eliminar la clave principal actual mientras mantiene las claves de réplica, o para ubicar la clave principal en la misma región que los administradores de claves.

Puede seleccionar cualquier clave de réplica relacionada para que sea la nueva clave principal. Tanto la clave principal como la clave de réplica deben estar en el estado clave Enabled Cuando se inicia la operación.

Incluso después de completar esta operación, es posible que el proceso de actualización de la región principal siga en curso durante unos segundos más. Durante este tiempo, las claves principales antiguas y nuevas tienen un estado de clave transitoria de Updating (Actualizando). Mientras que el estado de clave es Updating, puede usar las claves en operaciones criptográficas, pero no puede replicar la nueva clave principal ni realizar determinadas operaciones de administración, como habilitar o desactivar estas claves. Operaciones como la DescribeKeypueden mostrar las claves principales antiguas y nuevas como réplicas. El estado de clave Enabled se restaura cuando se haya completado la actualización.

Suponga que tiene una clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) y una réplica de claves en Europa (Irlanda) (eu-west-1). Puede utilizar la función de actualización para cambiar la clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) a una clave de réplica y cambiar la clave de réplica en Europa (Irlanda) (eu-west-1) a la clave principal.

Actualización de la clave principal

Cuando se completa el proceso de actualización, la clave de varias regiones en la región Europa (Irlanda) (eu-west-1) es una clave principal de varias regiones y la clave en la región EE. UU. Este (Norte de Virginia) (us-east-1) es su clave de réplica. Si hay otras claves de réplica relacionadas, se convierten en réplicas de la nueva clave principal. La próxima vez que AWS KMS sincroniza las propiedades compartidas de las claves de varias regiones, obtendrá las propiedades compartidas de la nueva clave principal y deberá copiarlos en sus claves de réplica, incluida la clave principal anterior.

La operación de actualización no modifica el ARN de clave de ninguna clave de varias regiones. Tampoco afecta a las propiedades compartidas, como el material clave, ni a las propiedades independientes, como la política de claves. Sin embargo, es posible que desee actualice la política de claves de la nueva clave principal. Por ejemplo, es posible que desee añadir el ReplicateKey permiso kms: para entidades de confianza a la nueva clave principal y eliminarlo de la nueva clave de réplica.

El estado clave de Updating

El proceso de actualización de una región principal tarda un poco más que el breve retraso de consistencia final que afecta a la mayoría de las operaciones AWS KMS. Es posible que el proceso aún esté en curso después de que la operación UpdatePrimaryRegion regrese o que usted haya completado el procedimiento de actualización en la consola. Operaciones como esta DescribeKeypueden mostrar las claves principales antiguas y nuevas como réplicas hasta que se complete el proceso.

Durante el proceso de actualización de la Región principal, la clave principal antigua y la nueva clave primaria se encuentran en el estado de clave Updating. Cuando el proceso de actualización se completa correctamente, ambas claves vuelven al estado de clave Enabled. Mientras está en el estado Updating, ciertas operaciones de administración, como habilitar y desactivar las claves, no están disponibles. Sin embargo, puede continuar usando ambas claves en operaciones de cifrado sin interrupción. Para obtener información acerca del efecto del estado de clave Updating, consulte Estados de clave de de las claves AWS KMS.

Actualización de una región principal (consola)

Puede actualizar la clave principal en el consola de AWS KMS. Comience con la página de detalles de clave de la clave principal actual.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Seleccione el alias o el ID de clave de la clave principal de varias regiones. Esto abre la página de detalles de clave de la clave principal.

    Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna Regionality (Regionalidad) de la tabla.

  5. Elija la pestaña Regionality (Regionalidad).

  6. En la sección Primary key (Clave principal), seleccione Change primary Region (Cambiar de región principal).

  7. Elija la región de la nueva clave principal. Solo puede elegir una región del menú.

    El menú Change primary Regions (Cambiar las regiones principales) incluye solo Regiones que tienen una clave de varias regiones relacionada. Es posible que no tenga permiso para actualizar la región principal en todas las regiones del menú.

  8. Seleccione Change primary Region (Cambiar región principal).

Mostrar másMostrar menos

Actualización de una región principal (API de AWS KMS)

Para cambiar la clave principal de un conjunto de claves multirregionales relacionadas, utilice la UpdatePrimaryRegionoperación.

Use el parámetro KeyId para identificar la clave principal actual. Use el parámetro PrimaryRegion para indicar la Región de AWS de la nueva clave principal. Si la clave principal aún no tiene una réplica en la nueva región principal, se produce un error en la operación.

En el ejemplo siguiente se cambia la clave principal de la clave de varias regiones en la región us-west-2 a su réplica en la región eu-west-1. El parámetro KeyId identifica la clave principal actual en la región us-west-2. El parámetro PrimaryRegion especifica la Región de AWS de la nueva clave principal, eu-west-1.

$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

Cuando se realiza correctamente, esta operación no devuelve ningún resultado; solo el código de estado HTTP. Para ver el efecto, ejecute la DescribeKeyoperación en cualquiera de las claves multirregionales. Es posible que desee esperar hasta que el estado de la clave vuelva a Enabled. Mientras que el estado de clave es Updating (Actualizando), los valores de la clave aún pueden estar en flujo.

Por ejemplo, la siguiente llamada DescribeKey obtiene los detalles acerca de la clave de varias regiones en la región eu-west-1. La salida muestra que la clave de varias regiones de la región eu-west-1 es ahora la clave principal. La clave de varias regiones relacionada (mismo ID de clave) en la región us-west-2 es ahora una clave de réplica.

$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}
Mostrar másMostrar menos

Rotación de las claves de varias regiones

Puede habilitar y desactivar la rotación automática del material clave en las claves de varias regiones. La rotación automática de claves es una propiedad compartida de claves de varias regiones.

Solo habilita y deshabilita la rotación automática de claves en la clave principal.

  • Cuando AWS KMS sincroniza las claves de varias regiones, copia el valor de la propiedad de rotación de claves de la clave principal a todas sus claves de réplica relacionadas.

  • Cuando AWS KMS rota el material clave, crea material clave nuevo para la clave principal y, a continuación, copia el nuevo material clave a través de los límites de región en todas las claves de réplica relacionadas. La clave privada nunca sale de AWS KMS sin cifrar. Este paso se controla cuidadosamente para garantizar que el material clave esté completamente sincronizado antes de utilizar cualquier clave en una operación criptográfica.

  • AWS KMS no cifra ningún dato con el nuevo material de clave hasta que ese material de clave esté disponible en la clave principal y cada una de sus claves de réplica.

  • Cuando se replica una clave principal que se ha rotado, la nueva clave de réplica tiene el material de clave actual y todas las versiones anteriores del material clave para sus claves de varias regiones relacionadas.

Este patrón garantiza que las claves de varias regiones relacionadas sean totalmente interoperables. Cualquier clave de varias regiones puede descifrar cualquier texto cifrado mediante una clave de varias regiones relacionada, incluso si el texto cifrado se cifró antes de que se creara la clave.

La rotación automática de claves no es compatible con las claves KMS asimétricas o las claves KMS con el material de claves importado. Para obtener información acerca de la rotación automática de claves y declaraciones para habilitarla y desactivarla, consulte Rotación de AWS KMS keys.

Descargar claves públicas

Cuando se crea una clave KMS asimétrica de varias regiones, AWS KMS crea un par de claves RSA o de curva elíptica (ECC) para la clave principal. Luego copia ese par de claves en cada réplica de la clave principal. Como resultado, puede descargar la clave pública desde la clave principal o cualquiera de sus claves de réplica. Siempre obtendrá el mismo material clave.

Para obtener información acerca de cómo descargar y usar claves públicas fuera de AWS KMS, consulte Consideraciones especiales para descargar claves públicas. Para obtener instrucciones, consulte Descargar claves públicas.