Creación de claves de réplica de varias regiones - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de claves de réplica de varias regiones

Puede crear una clave de réplica multirregional en la AWS KMS consola mediante la ReplicateKeyoperación o mediante una ReplicaKey AWS CloudFormation plantillaAWS::KMS::. No puede utilizar la CreateKeyoperación para crear una clave de réplica.

Puede utilizar estos procedimientos para replicar cualquier clave principal multirregional, incluida una clave de cifrado simétrica, una KMS claveasimétrica o una KMS clave. HMAC KMS

Cuando se completa esta operación, la nueva clave de réplica tiene un valor transitorio de estado clave de Creating. Este estado de clave cambia a Enabled (o PendingImport si se crea una clave de varias regiones con material de claves importado) después de unos segundos cuando se haya completado el proceso de creación de la nueva clave de réplica. Mientras el estado de la clave es Creating, puede administrar las claves, pero aún no puede usarlas en operaciones criptográficas. Si va a crear y utilizar la clave de réplica mediante programación, vuelva a intentarlo KMSInvalidStateException o llame DescribeKeypara comprobar su valor antes de utilizarla. KeyState

En caso de que elimine por error una clave de réplica, puede utilizar este procedimiento para volver a crearla. En caso de que replique la misma clave primaria en la misma región, la nueva clave de réplica que cree tendrá las mismas propiedades compartidas que la clave de réplica original.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Para usar una AWS CloudFormation plantilla para crear una clave de réplica, consulte AWS::KMS:: ReplicaKey en la Guía del AWS CloudFormation usuario.

Paso 1: Elegir Regiones de réplica

Por lo general, se opta por replicar una clave multirregional en una en Región de AWS función de su modelo de negocio y de los requisitos normativos. Por ejemplo, puede replicar una clave en Regiones donde guarda sus recursos. O bien, para cumplir con un requisito de recuperación de desastres, puede replicar una clave en regiones geográficamente distantes.

Los siguientes son los AWS KMS requisitos para las réplicas de regiones. Si la región que eliges no cumple con estos requisitos, se producirá un error en los intentos de replicar una clave.

  • Una clave de varias regiones relacionada por región: no se puede crear una clave de réplica en la misma Región que su clave principal, o en la misma Región que otra réplica de la clave principal.

    En caso de que intente replicar una clave primaria en una región que ya tiene una réplica de esa clave primaria, el intento producirá un error. En caso de que la clave de réplica actual de la región se encuentre en el estado de clave PendingDeletion, puede cancelar la eliminación de la clave de réplica o esperar hasta que se elimine.

  • Múltiples claves de varias regiones no relacionadas en la misma región: puede tener varias claves de varias regiones no relacionadas en la misma región. Por ejemplo, puede tener dos claves principales de varias regiones en la región us-east-1. Cada una de las claves principales puede tener una clave de réplica en la región us-west-2.

  • Regiones en la misma partición: la región de la clave de réplica debe estar en la misma partición de AWS que la región de claves principal.

  • La región debe estar habilitada: si una región está deshabilitada de forma predeterminada, no puede crear ningún recurso en esa región hasta que esté habilitado para su Cuenta de AWS.

Paso 2: Crear claves de réplica

nota

Al crear claves de réplica, considere detenidamente los IAM usuarios y roles que seleccione para administrar y usar la clave de réplica. IAMlas políticas pueden conceder permisos a otros IAM usuarios y roles para administrar la KMS clave.

IAMlas mejores prácticas desalientan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

En la AWS KMS consola, puede crear una o varias réplicas de una clave principal multirregional en la misma operación.

Este procedimiento es similar a la creación de una KMS clave de región única estándar en la consola. Sin embargo, dado que una clave de réplica se basa en la clave principal, no se seleccionan valores para propiedades compartidas, como la especificación de la clave (simétrica o asimétrica), el uso de la clave u origen de la clave.

Se especifican propiedades que no se comparten, como un alias, etiquetas, una descripción y una política de clave. Como conveniencia, la consola muestra los valores de propiedad actuales de la clave principal, pero puede cambiarlos. Aunque mantenga los valores de la clave principal, AWS KMS no los mantiene sincronizados.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Seleccione el alias o el ID de clave de una clave principal de varias regiones. Esto abre la página de detalles clave de la KMS clave.

    Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna Regionality (Regionalidad) de la tabla.

  5. Elija la pestaña Regionality (Regionalidad).

  6. En la sección Related multi-Region keys (Claves de varias regiones relacionadas), elija Create new replica keys (Crear nuevas claves de réplica).

    La sección Related multi-Region keys (Claves de varias regiones relacionadas) muestra la región de la clave principal y sus claves de réplica. Puede utilizar esta pantalla para ayudarle a elegir la región para su nueva clave de réplica.

  7. Seleccione una o más Regiones de AWS. Este procedimiento crea una clave de réplica en cada una de las regiones seleccionadas.

    El menú incluye solo las regiones de la misma AWS partición que la clave principal. Las regiones que ya tienen una clave de varias regiones relacionadas se muestran, pero no se pueden seleccionar. Es posible que no tenga permiso para replicar una clave en todas las regiones del menú.

    Cuando haya terminado de elegir Regiones, cierre el menú. Aparecerán las regiones elegidas. Para cancelar la replicación en una región, seleccione la Xque está junto al nombre de la región.

  8. Escriba un alias para la clave de réplica.

    La consola muestra uno de los alias actuales de la clave principal, pero puede cambiarlo. Puede asignar a su clave principal de varias regiones y sus réplicas el mismo alias o a alias diferentes. Los alias no son una propiedad compartida de las claves multirregionales. AWS KMS no sincroniza los alias de las claves multirregionales.

    Añadir, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave. KMS Para más detalles, consulte ABAC para AWS KMS y Utilice alias para controlar el acceso a las claves KMS.

  9. (Opcional) Escriba una descripción de la clave de réplica.

    La consola muestra la descripción actual de la clave principal, pero puede cambiarla. Las descripciones no son una propiedad compartida de las claves de varias regiones. Puedes dar a tu clave principal multirregional y a sus réplicas la misma descripción o descripciones diferentes. AWS KMS no sincroniza las descripciones clave de las claves multirregionales.

  10. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para asignar más de una etiqueta a la clave de réplica, elija Add tag (Agregar etiqueta).

    La consola muestra las etiquetas actualmente conectadas a la clave principal, pero puede cambiarlas. Las etiquetas no son una propiedad compartida de las claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas las mismas etiquetas o etiquetas diferentes. AWS KMS no sincroniza las etiquetas de las claves multirregionales.

    Etiquetar o desetiquetar una KMS clave puede permitir o denegar el permiso a la clave. KMS Para más detalles, consulte ABAC para AWS KMS y Utilice etiquetas para controlar el acceso a KMS las teclas.

  11. Seleccione los IAM usuarios y roles que pueden administrar la clave de réplica.

    Notas
    • Si modificó la política de claves predeterminada al crear la clave principal multirregional, la consola no le pedirá que seleccione administradores o usuarios clave (pasos 11 a 15) durante la creación de la clave de réplica. En este caso, tendrás que añadir manualmente los permisos necesarios para los administradores y usuarios de claves a la política de claves. Para ello, selecciona Editar en el paso Editar la política de claves (paso 17).

    • Este paso comienza el proceso de creación de una política de claves para la clave de réplica. La consola muestra la política de clave actual de la clave principal, pero puede cambiarla. Las políticas de clave no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas la misma política de claves o políticas de claves diferentes. AWS KMS no sincroniza las políticas de claves. Puedes cambiar la política de claves de cualquier KMS clave en cualquier momento.

    • La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración"Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  12. (Opcional) Para evitar que IAM los usuarios y roles seleccionados eliminen esta KMS clave, en la sección Eliminación de claves de la parte inferior de la página, desactive la casilla de verificación Permitir que los administradores de claves eliminen esta clave.

  13. Elija Next (Siguiente).

  14. Seleccione los IAM usuarios y roles que pueden usar la KMS clave para las operaciones criptográficas.

    Nota

    La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores "Allow use of the key" de la declaración y. "Allow attachment of persistent resources" La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  15. (Opcional) Puede permitir que otras personas Cuentas de AWS usen esta KMS clave para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección Other Cuentas de AWS(Otras), elija Add another Cuenta de AWS(Agregar otra) e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Para permitir que los directores de las cuentas externas usen la KMS clave, los administradores de la cuenta externa deben crear IAM políticas que proporcionen estos permisos. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  16. Elija Next (Siguiente).

  17. Revise las declaraciones de políticas clave para ver la clave. Para realizar cambios en la política clave, selecciona Editar.

  18. Elija Next (Siguiente).

  19. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  20. Seleccione Finalizar para crear la clave de réplica multirregional.

Para crear una clave de réplica multirregional, utilice la ReplicateKeyoperación. No puede utilizar la CreateKeyoperación para crear una clave de réplica. Esta operación crea las claves de réplica de una en una. La región que especifique debe cumplir con los Requisitos de región para las claves de réplica.

Cuando utiliza la operación ReplicateKey, no especifique valores para ninguna propiedad compartida de claves de varias regiones. Los valores de propiedad compartida se copian de la clave principal y se mantienen sincronizados. Sin embargo, puede especificar valores para las propiedades que no se comparten. De lo contrario, AWS KMS aplica los valores predeterminados estándar para KMS las claves, no los valores de la clave principal.

nota

Si no especifica valores para los Tags parámetros DescriptionKeyPolicy, AWS KMS crea la clave de réplica con una descripción de cadena vacía, la política de claves predeterminada y sin etiquetas.

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Por ejemplo, el comando siguiente crea una clave de réplica de varias regiones en la región Asia Pacífico (Sídney) (ap-southeast-2). Esta clave de réplica está modelada en la clave principal de la región EE. UU. Este (Norte de Virginia) (us-east-1), que se identifica mediante el valor del parámetro KeyId. En este ejemplo se aceptan valores predeterminados para todas las demás propiedades, incluida la política de claves.

La respuesta describe la nueva clave de réplica. Incluye campos para propiedades compartidas, como el KeyId, KeySpec, KeyUsage y el origen del material clave (Origin). También incluye propiedades que son independientes de la clave principal, como la Description, la política de claves (ReplicaKeyPolicy), y las etiquetas (ReplicaTags).

La respuesta también incluye la clave ARN y la región de la clave principal y todas sus claves de réplica, incluida la que se acaba de crear en la región ap-southeast-2. En este ejemplo, el elemento ReplicaKey muestra que esta clave principal ya se replicó en la región Europa (Irlanda) (eu-west-1).

$ aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2 { "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }