Creación de claves de réplica de varias regiones - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de claves de réplica de varias regiones

Puede crear una clave de réplica multirregional en la AWS KMS consola, mediante la ReplicateKeyoperación o mediante una AWS CloudFormationplantilla. No puede utilizar la CreateKeyoperación para crear una clave de réplica.

Puede utilizar estos procedimientos para replicar cualquier clave principal de varias regiones, incluida una clave simétrica de KMS de cifrado, una clave asimétrica de KMS o una clave KMS HMAC.

Cuando se completa esta operación, la nueva clave de réplica tiene un valor transitorio de estado clave de Creating. Este estado de clave cambia a Enabled (o PendingImport) después de unos segundos cuando se completa el proceso de creación de la nueva clave de réplica. Mientras el estado de la clave es Creating, puede administrar las claves, pero aún no puede usarlas en operaciones criptográficas. Si va a crear y utilizar la clave de réplica mediante programación, vuelva a intentarlo KMSInvalidStateException o llame DescribeKeypara comprobar su KeyState valor antes de utilizarla.

En caso de que elimine por error una clave de réplica, puede utilizar este procedimiento para volver a crearla. En caso de que replique la misma clave primaria en la misma región, la nueva clave de réplica que cree tendrá las mismas propiedades compartidas que la clave de réplica original.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Más información

Regiones de réplica

Normalmente, opta por replicar una clave de varias regiones en una Región de AWS en función de su modelo de negocio y los requisitos reglamentarios. Por ejemplo, puede replicar una clave en Regiones donde guarda sus recursos. O bien, para cumplir con un requisito de recuperación de desastres, puede replicar una clave en regiones geográficamente distantes.

Los siguientes son los requisitos de AWS KMS para las regiones de réplica. Si la región que eliges no cumple con estos requisitos, se producirá un error en los intentos de replicar una clave.

  • Una clave de varias regiones relacionada por región: no se puede crear una clave de réplica en la misma Región que su clave principal, o en la misma Región que otra réplica de la clave principal.

    En caso de que intente replicar una clave primaria en una región que ya tiene una réplica de esa clave primaria, el intento producirá un error. En caso de que la clave de réplica actual de la región se encuentre en el estado de clave PendingDeletion, puede cancelar la eliminación de la clave de réplica o esperar hasta que se elimine.

  • Múltiples claves de varias regiones no relacionadas en la misma región: puede tener varias claves de varias regiones no relacionadas en la misma región. Por ejemplo, puede tener dos claves principales de varias regiones en la región us-east-1. Cada una de las claves principales puede tener una clave de réplica en la región us-west-2.

  • Regiones en la misma partición: la región de la clave de réplica debe estar en la misma partición de AWS que la región de claves principal.

  • La región debe estar habilitada: si una región está deshabilitada de forma predeterminada, no puede crear ningún recurso en esa región hasta que esté habilitado para su Cuenta de AWS.

Creación de claves de réplica (consola)

En la consola de AWS KMS, puede crear una o varias réplicas de una clave principal de varias regiones en la misma operación.

Este procedimiento es similar a la creación de una clave KMS de una sola región estándar en la consola. Sin embargo, dado que una clave de réplica se basa en la clave principal, no se seleccionan valores para propiedades compartidas, como la especificación de la clave (simétrica o asimétrica), el uso de la clave u origen de la clave.

Se especifican propiedades que no se comparten, como un alias, etiquetas, una descripción y una política de clave. Como conveniencia, la consola muestra los valores de propiedad actuales de la clave principal, pero puede cambiarlos. Incluso si mantiene los valores de la clave principal, AWS KMS no mantiene estos valores sincronizados.

importante

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Seleccione el alias o el ID de clave de una clave principal de varias regiones. Se abrirá la página de detalles de clave de la clave KMS.

    Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna Regionality (Regionalidad) de la tabla.

  5. Elija la pestaña Regionality (Regionalidad).

  6. En la sección Related multi-Region keys (Claves de varias regiones relacionadas), elija Create new replica keys (Crear nuevas claves de réplica).

    La sección Related multi-Region keys (Claves de varias regiones relacionadas) muestra la región de la clave principal y sus claves de réplica. Puede utilizar esta pantalla para ayudarle a elegir la región para su nueva clave de réplica.

  7. Seleccione una o más Regiones de AWS. Este procedimiento crea una clave de réplica en cada una de las regiones seleccionadas.

    El menú incluye solo Regiones en la misma partición AWS que la clave principal. Las regiones que ya tienen una clave de varias regiones relacionadas se muestran, pero no se pueden seleccionar. Es posible que no tenga permiso para replicar una clave en todas las regiones del menú.

    Cuando haya terminado de elegir Regiones, cierre el menú. Aparecerán las regiones elegidas. Para cancelar la replicación en una región, seleccione la Xque está junto al nombre de la región.

  8. Escriba un alias para la clave de réplica.

    La consola muestra uno de los alias actuales de la clave principal, pero puede cambiarlo. Puede asignar a su clave principal de varias regiones y sus réplicas el mismo alias o a alias diferentes. Los alias no son una propiedad compartida de claves de varias regiones. AWS KMS no sincroniza los alias de las claves de varias regiones.

    Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Uso de alias para controlar el acceso a las claves KMS.

  9. (Opcional) Escriba una descripción de la clave de réplica.

    La consola muestra la descripción actual de la clave principal, pero puede cambiarla. Las descripciones no son una propiedad compartida de las claves de varias regiones. Puede dar a su clave principal de varias regiones y sus réplicas la misma descripción o descripciones diferentes. AWS KMS no sincroniza las descripciones de las claves de varias regiones.

  10. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para asignar más de una etiqueta a la clave de réplica, elija Add tag (Agregar etiqueta).

    La consola muestra las etiquetas actualmente conectadas a la clave principal, pero puede cambiarlas. Las etiquetas no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas las mismas etiquetas o etiquetas diferentes. AWS KMS no sincroniza las etiquetas de las claves de varias regiones.

    Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte ABAC para AWS KMS y Uso de etiquetas para controlar el acceso a las claves KMS.

  11. Seleccione los usuarios y roles de IAM que pueden administrar la clave de réplica.

    nota

    Las políticas de IAM pueden otorgar permisos para que los usuarios y roles de IAM administren las claves de réplica.

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

    Este paso comienza el proceso de creación de una política de claves para la clave de réplica. La consola muestra la política de clave actual de la clave principal, pero puede cambiarla. Las políticas de clave no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas la misma política de claves o políticas de claves diferentes. AWS KMS no sincroniza las políticas de claves. Puede cambiar la política de claves de cualquier clave KMS en cualquier momento.

  12. Complete los pasos para crear la política de claves, incluida la selección de usuarios de claves. Después de revisar la política de claves, elija Finish (Finalizar) para crear la clave de réplica.

Crear una clave de réplica (API de AWS KMS)

Para crear una clave de réplica multirregional, utilice la ReplicateKeyoperación. No puede utilizar la CreateKeyoperación para crear una clave de réplica. Esta operación crea las claves de réplica de una en una. La región que especifique debe cumplir con los Requisitos de región para las claves de réplica.

Cuando utiliza la operación ReplicateKey, no especifique valores para ninguna propiedad compartida de claves de varias regiones. Los valores de propiedad compartida se copian de la clave principal y se mantienen sincronizados. Sin embargo, puede especificar valores para las propiedades que no se comparten. De lo contrario, AWS KMS aplica los valores predeterminados estándar para las claves KMS, no los valores de la clave principal.

nota

Si no especifica valores para los parámetros Description, KeyPolicy o Tags, AWS KMS crea la clave de réplica sin etiquetas con una descripción de cadena vacía y la política de claves predeterminada.

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Por ejemplo, el comando siguiente crea una clave de réplica de varias regiones en la región Asia Pacífico (Sídney) (ap-southeast-2). Esta clave de réplica está modelada en la clave principal de la región EE. UU. Este (Norte de Virginia) (us-east-1), que se identifica mediante el valor del parámetro KeyId. En este ejemplo se aceptan valores predeterminados para todas las demás propiedades, incluida la política de claves.

La respuesta describe la nueva clave de réplica. Incluye campos para propiedades compartidas, como el KeyId, KeySpec, KeyUsage y el origen del material clave (Origin). También incluye propiedades que son independientes de la clave principal, como la Description, la política de claves (ReplicaKeyPolicy), y las etiquetas (ReplicaTags).

La respuesta también incluye el ARN clave y la región de la clave principal y todas sus claves de réplica, incluida la que se acaba de crear en la región ap-southeast-2. En este ejemplo, el elemento ReplicaKey muestra que esta clave principal ya se replicó en la región Europa (Irlanda) (eu-west-1).

$ aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2 { "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }