Administración de claves de varias regiones - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de claves de varias regiones

Para la mayoría de las acciones, administra las claves de varias regiones de la misma manera que usa y administra las claves de una sola región. Puede habilitar y desactivar las claves, establecer y actualizar alias, políticas de clave, concesiones y etiquetas. Sin embargo, la administración de claves de varias regiones difiere en las siguientes formas.

La propiedad de varias regiones que usted establece cuando crea una clave KMS es inmutable. No se puede convertir una clave de región única en clave de varias regiones ni convertir una clave de varias regiones en una clave de región única.

Actualización de la región principal

Cada conjunto de claves de varias regiones relacionadas debe contar con una clave principal. Pero puede cambiar la clave principal. Esta acción, conocida como actualización de la región principal, convierte la clave principal actual en una clave de réplica y convierte una de las claves de réplica relacionadas en la clave principal. Puede hacerlo si necesita eliminar la clave principal actual mientras mantiene las claves de réplica, o para ubicar la clave principal en la misma región que los administradores de claves.

Puede seleccionar cualquier clave de réplica relacionada para que sea la nueva clave principal. Tanto la clave principal como la clave de réplica deben estar en el estado clave Enabled Cuando se inicia la operación.

Incluso después de completar esta operación, es posible que el proceso de actualización de la región principal siga en curso durante unos segundos más. Durante este tiempo, las claves principales antiguas y nuevas tienen un estado de clave transitoria de Updating (Actualizando). Mientras que el estado de clave es Updating, puede usar las claves en operaciones criptográficas, pero no puede replicar la nueva clave principal ni realizar determinadas operaciones de administración, como habilitar o desactivar estas claves. Operaciones como la DescribeKeypueden mostrar las claves principales antiguas y nuevas como réplicas. El estado de clave Enabled se restaura cuando se haya completado la actualización.

Suponga que tiene una clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) y una réplica de claves en Europa (Irlanda) (eu-west-1). Puede utilizar la función de actualización para cambiar la clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) a una clave de réplica y cambiar la clave de réplica en Europa (Irlanda) (eu-west-1) a la clave principal.

Actualización de la clave principal

Cuando se completa el proceso de actualización, la clave de varias regiones en la región Europa (Irlanda) (eu-west-1) es una clave principal de varias regiones y la clave en la región EE. UU. Este (Norte de Virginia) (us-east-1) es su clave de réplica. Si hay otras claves de réplica relacionadas, se convierten en réplicas de la nueva clave principal. La próxima vez que AWS KMS sincronice las propiedades compartidas de las claves multirregionales, obtendrá las propiedades compartidas de la nueva clave principal y las copiará en sus claves de réplica, incluida la clave principal anterior.

La operación de actualización no modifica el ARN de clave de ninguna clave de varias regiones. Tampoco afecta a las propiedades compartidas, como el material clave, ni a las propiedades independientes, como la política de claves. Sin embargo, es posible que desee actualice la política de claves de la nueva clave principal. Por ejemplo, es posible que desee añadir el ReplicateKey permiso kms: para entidades de confianza a la nueva clave principal y eliminarlo de la nueva clave de réplica.

El estado clave de Updating

El proceso de actualización de una región principal tarda un poco más que el breve retraso de coherencia que puede producirse en la mayoría de AWS KMS las operaciones. Es posible que el proceso aún esté en curso después de que la operación UpdatePrimaryRegion regrese o que usted haya completado el procedimiento de actualización en la consola. Operaciones como esta DescribeKeypueden mostrar las claves principales antiguas y nuevas como réplicas hasta que se complete el proceso.

Durante el proceso de actualización de la Región principal, la clave principal antigua y la nueva clave primaria se encuentran en el estado de clave Updating. Cuando el proceso de actualización se completa correctamente, ambas claves vuelven al estado de clave Enabled. Mientras está en el estado Updating, ciertas operaciones de administración, como habilitar y desactivar las claves, no están disponibles. Sin embargo, puede continuar usando ambas claves en operaciones de cifrado sin interrupción. Para obtener información acerca del efecto del estado de clave Updating, consulte Estados clave de AWS KMS las claves.

Actualización de una región principal (consola)

Puede actualizar la clave principal en la AWS KMS consola. Comience con la página de detalles de clave de la clave principal actual.

  1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Seleccione el alias o el ID de clave de la clave principal de varias regiones. Esto abre la página de detalles de clave de la clave principal.

    Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna Regionality (Regionalidad) de la tabla.

  5. Elija la pestaña Regionality (Regionalidad).

  6. En la sección Primary key (Clave principal), seleccione Change primary Region (Cambiar de región principal).

  7. Elija la región de la nueva clave principal. Solo puede elegir una región del menú.

    El menú Change primary Regions (Cambiar las regiones principales) incluye solo Regiones que tienen una clave de varias regiones relacionada. Es posible que no tenga permiso para actualizar la región principal en todas las regiones del menú.

  8. Seleccione Change primary Region (Cambiar región principal).

Actualización de una región principal (API)AWS KMS

Para cambiar la clave principal de un conjunto de claves multirregionales relacionadas, utilice la UpdatePrimaryRegionoperación.

Use el parámetro KeyId para identificar la clave principal actual. Utilice el PrimaryRegion parámetro para indicar Región de AWS la nueva clave principal. Si la clave principal aún no tiene una réplica en la nueva región principal, se produce un error en la operación.

En el ejemplo siguiente se cambia la clave principal de la clave de varias regiones en la región us-west-2 a su réplica en la región eu-west-1. El parámetro KeyId identifica la clave principal actual en la región us-west-2. El PrimaryRegion parámetro especifica Región de AWS la nueva clave principal,eu-west-1.

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

Cuando se realiza correctamente, esta operación no devuelve ningún resultado; solo el código de estado HTTP. Para ver el efecto, ejecute la DescribeKeyoperación en cualquiera de las claves multirregionales. Es posible que desee esperar hasta que el estado de la clave vuelva a Enabled. Mientras que el estado de clave es Updating (Actualizando), los valores de la clave aún pueden estar en flujo.

Por ejemplo, la siguiente llamada DescribeKey obtiene los detalles acerca de la clave de varias regiones en la región eu-west-1. La salida muestra que la clave de varias regiones de la región eu-west-1 es ahora la clave principal. La clave de varias regiones relacionada (mismo ID de clave) en la región us-west-2 es ahora una clave de réplica.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

Rotación de las claves de varias regiones

Puede activar y desactivar la rotación automática y realizar la rotación bajo demanda del material clave en claves multirregionales. La rotación de claves es una propiedad compartida de las claves multirregionales.

Solo habilita y deshabilita la rotación automática de claves en la clave principal. La rotación bajo demanda solo se inicia en la clave principal.

  • Al AWS KMS sincronizar las claves multirregionales, copia el valor de la propiedad de rotación de claves de la clave principal a todas las claves de réplica relacionadas.

  • Al AWS KMS girar el material clave, crea un nuevo material clave para la clave principal y, a continuación, lo copia más allá de los límites de la región en todas las réplicas de claves relacionadas. El material clave nunca se queda AWS KMS sin cifrar. Este paso se controla cuidadosamente para garantizar que el material clave esté completamente sincronizado antes de utilizar cualquier clave en una operación criptográfica.

  • AWS KMS no cifra ningún dato con el nuevo material clave hasta que dicho material clave esté disponible en la clave principal y en cada una de sus réplicas.

  • Cuando se replica una clave principal que se ha rotado, la nueva clave de réplica tiene el material de clave actual y todas las versiones anteriores del material clave para sus claves de varias regiones relacionadas.

Este patrón garantiza que las claves de varias regiones relacionadas sean totalmente interoperables. Cualquier clave de varias regiones puede descifrar cualquier texto cifrado mediante una clave de varias regiones relacionada, incluso si el texto cifrado se cifró antes de que se creara la clave.

La rotación automática de claves no es compatible con las claves KMS asimétricas o las claves KMS con el material de claves importado. Para obtener información sobre la rotación de claves automática y bajo demanda, consulteRotativo AWS KMS keys.

Descargar claves públicas

Al crear una clave KMS asimétrica multirregión, AWS KMS crea un par de claves RSA o de curva elíptica (ECC) para la clave principal. Luego copia ese par de claves en cada réplica de la clave principal. Como resultado, puede descargar la clave pública desde la clave principal o cualquiera de sus claves de réplica. Siempre obtendrá el mismo material clave.

Para obtener información sobre la descarga y el uso de claves públicas fuera de, consulte. AWS KMSConsideraciones especiales para descargar claves públicas Para obtener instrucciones, consulte Descargar claves públicas.