Claves multirregionales en AWS KMS - AWS Key Management Service
Consideraciones sobre seguridad para claves de varias regionesFuncionamiento de las claves de varias regionesConceptos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Claves multirregionales en AWS KMS

AWS KMS admite claves multirregionales, que son AWS KMS keys diferentes Regiones de AWS y se pueden usar indistintamente, como si tuvieras la misma clave en varias regiones. Cada conjunto de claves multirregionales relacionadas tiene el mismo material de clave y el mismo identificador de clave, por lo que puede cifrar los datos en uno Región de AWS y descifrarlos en otro diferente Región de AWS sin necesidad de volver a cifrarlos ni de realizar llamadas entre regiones. AWS KMS

Como todas las claves de KMS, las claves multirregionales nunca se quedan sin cifrar. AWS KMS Puede crear claves multirregionales simétricas o asimétricas para el cifrado o la firma, crear claves multirregionales HMAC para generar y verificar las etiquetas HMAC y crear claves multirregionales con material clave importado o material clave que genere. AWS KMS Debe administrar cada clave de varias regiones de forma independiente, incluida la creación de alias y etiquetas, el establecimiento de sus políticas y concesiones clave, y la habilitación y deshabilitación selectivas. Puede utilizar claves de varias regiones en todas las operaciones criptográficas que puede realizar con claves de una sola región.

Las claves de varias regiones son una solución flexible y potente para muchos escenarios comunes de seguridad de datos.

Recuperación de desastres

En una arquitectura de copia de seguridad y recuperación, las claves multirregionales permiten procesar datos cifrados sin interrupciones, incluso en caso de que se produzca una interrupción. Región de AWS Los datos mantenidos en las regiones de copia de seguridad se pueden descifrar en la región de copia de seguridad, y los datos recién cifrados en la región de copia de seguridad se pueden descifrar en la región principal cuando se restaura esa región.

Administración de datos global

Las empresas que operan en todo el mundo necesitan datos distribuidos globalmente que estén disponibles de manera consistente en Regiones de AWS. Puede crear claves de varias regiones en todas las regiones donde residen los datos y, a continuación, utilizar las claves como si fueran una clave de una sola región sin la latencia de una llamada entre regiones o el costo de volver a cifrar datos bajo una clave diferente en cada región.

Aplicaciones de firma distribuidas

Las aplicaciones que requieren capacidades de firma entre regiones pueden utilizar claves de firma asimétricas de varias regiones para generar firmas digitales idénticas de forma consistente y repetida en diferentes Regiones de AWS.

Si utiliza el encadenamiento de certificado con un único almacén de confianza global (para una entidad de certificado [CA] de raíz única y las CA intermedias regionales firmadas por la CA raíz) no necesita claves de varias regiones. Sin embargo, si el sistema no admite CA intermedias, como la firma de aplicaciones, puede usar claves de varias regiones para dar coherencia a las certificaciones regionales.

Aplicaciones activa-activa que abarcan varias regiones

Algunas cargas de trabajo y aplicaciones pueden abarcar varias regiones en arquitecturas activa-activa. Para estas aplicaciones, las claves de varias regiones pueden reducir la complejidad al proporcionar el mismo material clave para operaciones simultáneas de cifrado y descifrado en datos que podrían estar moviéndose a través de los límites de la región.

Puede utilizar claves de varias regiones con bibliotecas de cifrado del cliente, como la AWS Encryption SDK, el Cliente de cifrado de DynamoDB y el Cifrado del cliente de Amazon S3. Para ver un ejemplo del uso de claves de varias regiones con las tablas globales de Amazon DynamoDB y el cliente de cifrado de DynamoDB, consulte Cifrar datos globales del lado del cliente con claves de varias regiones en el blog de seguridad. AWS KMS AWS

AWS Los servicios que se integran AWS KMS para el cifrado en reposo o las firmas digitales actualmente tratan las claves multirregionales como si fueran claves de una sola región. Es posible que vuelvan a envolver o cifrar los datos que se mueven entre regiones. Por ejemplo, la replicación entre regiones de Amazon S3 descifra y vuelve a cifrar datos bajo una clave KMS en la región de destino, incluso cuando se replican objetos protegidos por una clave de varias regiones.

Las claves de varias regiones no son globales. Cree una clave principal de varias regiones y, a continuación, replíquela en las regiones que seleccione dentro de una partición de AWS. Luego, administre la clave de varias regiones en cada región de forma independiente. Tampoco crea AWS ni AWS KMS replica automáticamente claves multirregionales en ninguna región en tu nombre. Claves administradas por AWS, las claves de KMS que AWS los servicios crean en su cuenta para usted, son siempre claves de una sola región.

No puede convertir una clave de región única existente en una clave de varias regiones. Este diseño garantiza que todos los datos protegidos con claves de una sola región existentes mantengan las mismas propiedades de residencia y soberanía de datos.

Para la mayoría de las necesidades de seguridad de los datos, el aislamiento regional y la tolerancia a errores de los recursos regionales hacen que las claves de una AWS KMS sola región estándar sean la solución más adecuada. Sin embargo, cuando necesite cifrar o firmar datos en aplicaciones del cliente en varias regiones, es posible que las claves de varias regiones sean la solución.

Regiones

Las claves multirregionales son compatibles con todos los Regiones de AWS AWS KMS soportes, excepto en China (Pekín) y China (Ningxia).

Precios y cuotas

Cada clave de un conjunto de claves de varias regiones relacionadas cuenta como una clave KMS para precios y cuotas. Las cuotas de AWS KMS se calculan por separado por cada región de una cuenta. El uso y la administración de las claves de varias regiones en cada Región cuenta para las cuotas de dicha Región.

Tipos de claves KMS compatibles

Puede crear los siguientes tipos de claves KMS para varias regiones:

  • Claves de KMS de cifrado simétrico

  • Claves de KMS asimétricas

  • Claves KMS HMAC

  • Claves KMS con material de claves importado

No puede crear claves de varias regiones en un almacén de claves personalizado.

Temas

Consideraciones sobre seguridad para claves de varias regiones

Usa una clave AWS KMS multirregional solo cuando la necesites. Las claves de varias regiones proporcionan una solución flexible y escalable para cargas de trabajo que mueven datos cifrados entre Regiones de AWS o necesitan acceso entre regiones. Considere una clave de varias regiones si debe compartir, mover o hacer una copia de seguridad de datos protegidos entre regiones o necesita crear firmas digitales idénticas de aplicaciones que operan en regiones diferentes.

Sin embargo, el proceso de creación de una clave de varias regiones mueve el material clave a través de límites Región de AWS dentro de AWS KMS. El texto cifrado generado por una clave de varias regiones se puede descifrar potencialmente mediante varias claves relacionadas en varias ubicaciones geográficas. También se ofrecen importantes beneficios para los servicios y los recursos aislados a nivel regional. Cada Región de AWS es independiente y está aislada de las demás regiones. Las regiones proporcionar tolerancia a errores, estabilidad y resistencia, y también pueden reducir la latencia. Le permiten crear recursos redundantes que sigan estando disponibles y no resulten afectados por una interrupción en otra región. En AWS KMS, también se aseguran de que cada texto cifrado se pueda descifrar con una sola clave.

Las claves de varias regiones también plantean nuevas consideraciones de seguridad:

  • Controlar el acceso y aplicar la política de seguridad de datos es más complejo con las claves de varias regiones. Debe asegurarse de que la política se auditará de forma coherente en clave en varias regiones aisladas. Y debe usar la política para imponer límites, en lugar de depender de claves separadas.

    Por ejemplo, debe establecer condiciones de política en los datos para evitar que los equipos de nómina de una Región puedan leer los datos de nómina de una Región diferente. Además, debe usar el control de acceso para evitar un escenario en el que una clave de varias regiones en una región proteja los datos de un inquilino y una clave de varias regiones relacionada en otra región proteja los datos de un inquilino diferente.

  • La auditoría de claves entre regiones también es más compleja. Con las claves de varias regiones, debe examinar y conciliar las actividades de auditoría en varias regiones para obtener una comprensión completa de las actividades clave en los datos protegidos.

  • La conformidad de los mandatos de residencia de datos puede ser más complejo. Con Regiones aisladas, puede garantizar la residencia de datos y la conformidad de la soberanía de datos. Las claves KMS de una región determinada solo pueden descifrar información confidencial en esa región. Los datos cifrados en una región pueden permanecer completamente protegidos e inaccesibles en cualquier otra región.

    Para verificar la residencia y la soberanía de los datos con claves multirregionales, debe implementar políticas de acceso y compilar AWS CloudTrail eventos en varias regiones.

Para facilitar la administración del control de acceso de las claves multirregionales, el permiso para replicar una clave multirregional (kms: ReplicateKey) es independiente del permiso estándar para crear claves (kms:). CreateKey Además, AWS KMS admite varias condiciones políticas para las claves multirregionaleskms:MultiRegion, como permitir o denegar el permiso para crear, usar o administrar claves multirregionales y kms:ReplicaRegion restringir las regiones en las que se puede replicar una clave multiregional. Para obtener más detalles, consulte Control del acceso a claves de varias regiones.

Funcionamiento de las claves de varias regiones

Se empieza por crear una clave principal multirregional simétrica o asimétrica en una Región de AWS que AWS KMS sea compatible, como US East (Virginia del Norte). Usted decide si una clave es de una región o de varias regiones únicamente cuando la crea; no puede cambiar esta propiedad más adelante. Al igual que con cualquier clave KMS, debe establecer una política de clave para la clave de varias regiones, y se pueden crear concesiones y agregar alias y etiquetas para la categorización y autorización. (Estas son propiedades independientes que no están compartidas ni sincronizadas con otras claves). Puede utilizar la clave principal de varias regiones en operaciones criptográficas para el cifrado o la firma.

Puede crear una clave principal multirregional en la AWS KMS consola o mediante la CreateKeyAPI con el MultiRegion parámetro establecido en. true Observe que las claves de varias regiones tienen un ID de clave distintivo que comienza con mrk-. Puede utilizar el prefijo mrk- para identificar los MRK mediante programación.

Si lo desea, puede replicar la clave principal multirregional en una o más unidades diferentes Regiones de AWS de la misma AWS partición, como Europa (Irlanda). Al hacerlo, AWS KMS crea una clave de réplica en la región especificada con el mismo ID de clave y otras propiedades compartidas que la clave principal. Luego transporta de forma segura el material clave a través del límite de la región y lo asocia con la nueva clave KMS en la región de destino, todo dentro de AWS KMS. El resultado son dos claves de varias regiones relacionadas (una clave principal y una clave de réplica) que se pueden utilizar de forma intercambiable.

Puede crear una clave de réplica multirregional en la AWS KMS consola o mediante la ReplicateKeyAPI.

El resultado de la clave de réplica de varias regiones es una clave KMS completamente funcional con las mismas propiedades compartidas que la clave principal. En todos los demás aspectos, es una clave KMS independiente con su propia descripción, política de clave, concesiones, alias y etiquetas. La habilitación o deshabilitación de una clave de varias regiones no tiene ningún efecto en las claves de varias regiones relacionadas. Puede utilizar las claves principal y de réplica de forma independiente en operaciones criptográficas o coordinar su uso. Por ejemplo, puede cifrar datos con la clave principal en la región EE .UU. Este (Norte de Virginia), mover los datos a la región Europa (Irlanda) y usar la clave de réplica para descifrar los datos.

Las claves de varias regiones relacionadas tienen el mismo ID de clave. Sus ARN (nombres de recursos de Amazon) clave solo difieren en el campo Región. Por ejemplo, la clave principal de varias regiones y las claves de réplica pueden tener los siguientes ARN de clave de ejemplo. El ID de clave, que es el último elemento de la clave ARN, es idéntico. Ambas claves tienen el ID de clave distintivo de las claves de varias regiones, que comienza con mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Se requiere tener el mismo ID de clave para lograr interoperabilidad. Al cifrar, AWS KMS vincula el ID de clave de la clave KMS al texto cifrado para que el texto cifrado solo se pueda descifrar con esa clave KMS o con una clave KMS con el mismo ID de clave. Esta característica también facilita el reconocimiento de las claves de varias regiones relacionadas y facilita su uso de forma intercambiable. Por ejemplo, cuando se utilizan en una aplicación, puede hacer referencia a las claves de varias regiones relacionadas por su ID de clave compartida. A continuación, si es necesario, especifique la Región o ARN para distinguirlos.

A medida que cambien sus necesidades de datos, puede replicar la clave principal Regiones de AWS en otra de la misma partición, como EE. UU. oeste (Oregón) y Asia Pacífico (Sídney). El resultado son cuatro claves de varias regiones relacionadas con el mismo material de claves y los mismos ID de claves, tal y como se muestra en el siguiente diagrama. Administra las claves de forma independiente. Puede usarlas de forma independiente o coordinada. Por ejemplo, puede cifrar datos con la clave de réplica en Asia-Pacífico (Sídney), mover los datos a EE. UU. Oeste (Oregón) y descifrarlos con la clave de réplica en EE. UU. Oeste (Oregón).

Las claves principal y de réplica en una clave de varias regiones

Otras consideraciones para las claves de varias regiones son las siguientes.

Sincronización de propiedades compartidas: si una propiedad compartida de las claves multirregionales cambia, sincroniza AWS KMS automáticamente el cambio de la clave principal con todas sus claves de réplica. No puede solicitar ni forzar la sincronización de las propiedades compartidas. AWS KMS detecta y sincroniza todos los cambios por usted. Sin embargo, puede auditar la sincronización utilizando el SynchronizeMultiRegionKeyevento en los CloudTrail registros.

Por ejemplo, si habilita la rotación automática de claves en una clave principal simétrica multirregional, AWS KMS copia esa configuración en todas sus claves de réplica. Cuando se gira el material clave, la rotación se sincroniza entre todas las claves de varias regiones relacionadas, de modo que sigan teniendo el mismo material clave actual y acceso a todas las versiones anteriores del material clave. Si crea una nueva clave de réplica, tiene el mismo material de clave actual de todas las claves de varias regiones relacionadas y acceso a todas las versiones anteriores del material claves. Para obtener más detalles, consulte Rotación de las claves de varias regiones .

Cambio de la clave principal: cada conjunto de claves de varias regiones debe tener exactamente una clave principal. La clave principal es la única clave que se puede replicar. También es el origen de las propiedades compartidas de sus claves de réplica. Sin embargo, puede cambiar la clave principal a una réplica y promover una de las claves de réplica a primaria. Puede hacerlo para eliminar una clave principal de varias regiones de una región determinada o ubicar la clave principal en una región más cercana a los administradores del proyecto. Para obtener más detalles, consulte Actualización de la región principal.

Eliminar claves multirregionales: al igual que todas las claves de KMS, debe programar la eliminación de claves multirregionales antes de eliminarlas. AWS KMS Mientras la clave está pendiente de eliminación, no puede utilizarla en ninguna operación criptográfica. Sin embargo, no AWS KMS eliminará una clave principal multirregional hasta que se eliminen todas sus claves de réplica. Para obtener más detalles, consulte Eliminación de claves de varias regiones.

Conceptos

Los siguientes términos y conceptos se utilizan con claves de varias regiones.

Clave de varias regiones

Una clave de varias regiones es una de un conjunto de claves KMS con el mismo ID de clave y material de claves (y otras propiedades compartidas) en diferentes Regiones de AWS. Cada clave de varias regiones es una clave KMS que funciona completamente que se puede utilizar independientemente de sus claves de varias regiones relacionadas. Como todas las claves multirregionales relacionadas tienen el mismo identificador de clave y material clave, son interoperables, es decir, cualquier clave multirregional relacionada de una misma Región de AWS puede descifrar el texto cifrado por cualquier otra clave multirregional relacionada.

Usted configura la propiedad de varias regiones de una clave KMS cuando la crea. No se puede cambiar esta propiedad de varias regiones en una clave existente. No se puede convertir una clave de región única en clave de varias regiones ni convertir una clave de varias regiones en una clave de región única. Para mover cargas de trabajo existentes a escenarios de varias regiones, debe volver a cifrar los datos o crear nuevas firmas con nuevas claves de varias regiones.

Una clave multirregional puede ser simétrica o asimétrica y puede utilizar material clave o material clave importado. AWS KMS No puede crear claves de varias regiones en un almacén de claves personalizado.

En un conjunto de claves de varias regiones relacionadas, hay exactamente una clave principal en cualquier momento. Puede crear claves de réplica de esa clave principal en otras Regiones de AWS. También puede actualizar la región principal, que cambia la clave principal a una clave de réplica y cambia una clave de réplica especificada a la clave principal. Sin embargo, solo puede mantener una clave principal o una clave de réplica en cada una. Región de AWS Todas las regiones deben estar en la misma partición de AWS.

Puede tener varios conjuntos de claves de varias regiones relacionadas en la misma o diferentes Regiones de AWS. Aunque las claves de varias regiones relacionadas son interoperables, las claves de varias regiones no relacionadas no son interoperables.

Clave principal

Una clave principal multirregional es una clave de KMS que se puede replicar Regiones de AWS en otra de la misma partición. Cada conjunto de claves de varias regiones tiene una sola clave principal.

Una clave principal difiere de una clave de réplica en las siguientes formas:

Sin embargo, las claves primarias y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable.

No es necesario replicar una clave principal. Puede usarla como lo haría con cualquier clave KMS y replicarla cuando sea útil. Sin embargo, dado que las claves de varias regiones tienen propiedades de seguridad diferentes a las claves de una sola región, se recomienda crear una clave de varias regiones solo cuando planee replicarla.

Clave de réplica

Una clave de réplica de varias regiones es una clave KMS que tiene el mismo ID de clave y material de claves que su clave principal y las claves de réplica relacionadas, pero existe en una Región de AWS diferente.

Una clave de réplica es una clave KMS completamente funcional con su propia política de clave, concesiones, alias, etiquetas y otras propiedades. No es una copia ni un puntero a la clave principal ni a ninguna otra clave. Puede utilizar una clave de réplica incluso si su clave principal y todas las claves de réplica relacionadas están deshabilitadas. También puede convertir una clave de réplica en una clave principal y una clave principal en una clave de réplica. Una vez creada, una clave de réplica se basa en su clave principal solo para la rotación de claves y la actualización de la región principal.

Las claves principales y de réplica no difieren en ninguna propiedad criptográfica. Puede utilizar una clave principal y sus claves de réplica de forma intercambiable. Los datos cifrados por una clave principal o de réplica se pueden descifrar con la misma clave o mediante cualquier clave principal o de réplica relacionada.

Replicación

Puede replicar una clave principal multirregional Región de AWS en otra diferente de la misma partición. Al hacerlo, AWS KMS crea una clave de réplica multirregional en la región especificada con el mismo ID de clave y otras propiedades compartidas que su clave principal. Luego transporta de forma segura el material clave a través del límite de la región y lo asocia con la nueva clave de réplica, todo dentro de AWS KMS.

Propiedades compartidas

Las propiedades compartidas son propiedades de una clave principal multirregional que se comparten con sus claves de réplica. AWS KMS crea las claves de réplica con los mismos valores de propiedad compartidos que los de la clave principal. A continuación, sincroniza periódicamente los valores de propiedad compartida de la clave principal con sus claves de réplica. No puede establecer estas propiedades en una clave de réplica.

Las siguientes son las propiedades compartidas de claves de varias regiones.

También puede pensar en las designaciones primarias y de réplica de claves de varias regiones relacionadas como propiedades compartidas. Al crear nuevas claves de réplica o actualizar la clave principal, AWS KMS sincroniza el cambio con todas las claves multirregionales relacionadas. Cuando se completan estos cambios, todas las claves de varias regiones relacionadas muestran su clave principal y las claves de réplica con precisión.

Todas las demás propiedades de las claves de varias regiones sonpropiedades independientes, incluida la descripción, la política de claves, las concesiones, los estados clave habilitados y deshabilitados, los alias y las etiquetas. Puede establecer los mismos valores para estas propiedades en todas las claves de varias regiones relacionadas, pero si cambia el valor de una propiedad independiente, AWS KMS no lo sincroniza.

Puede realizar un seguimiento de la sincronización de las propiedades compartidas de las claves de varias regiones. Busca el evento en tu AWS CloudTrail registro. SynchronizeMultiRegionKey