Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Proceso de replicación de claves multirregión

Modo de enfoque
Proceso de replicación de claves multirregión - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS KMS utiliza un mecanismo de replicación entre regiones para copiar el material clave de una clave KMS de un HSM en uno Región de AWS a un HSM en otro diferente. Región de AWS Para que este mecanismo funcione, la clave KMS que se replica debe ser una clave multirregión. Al replicar una clave KMS de una región a otra, las regiones no pueden comunicarse directamente porque están HSMs en redes aisladas. En su lugar, los mensajes intercambiados durante la replicación entre regiones los entrega un servicio proxy.

Durante la replicación entre regiones, todos los mensajes generados por un AWS KMS HSM se firman criptográficamente con una clave de firma de replicación. Las claves de firma de replicación (RSKs) son claves ECDSA en la curva P-384 del NIST. Cada región posee al menos un RSK y el componente público de cada RSK se comparte con todas las demás regiones de la misma partición. AWS

El proceso de replicación entre regiones para copiar material de clave de la región A a la región B funciona como se explica a continuación:

  1. El HSM de la región B genera una clave ECDH efímera en la curva NIST P-384, Clave B del acuerdo de replicación (RAKB). El componente público de RAKB se envía a un HSM de la región A por el servicio proxy.

  2. El HSM de la región A recibe el componente público de RAKB y, a continuación, genera otra clave ECDH efímera en la curva NIST P-384, Clave A del acuerdo de replicación (RAKA). El HSM ejecuta el esquema de establecimiento de claves ECDH en RAKA y el componente público de RAKB, y obtiene una clave simétrica de la salida, la Clave de encapsulamiento de replicación (RWK). La RWK se utiliza para cifrar el material de clave de la clave KMS multirregión que se está replicando.

  3. El componente público de RAKA y el material de clave cifrado con la RWK se envían al HSM de la región B a través del servicio proxy.

  4. El HSM de la región B recibe el componente público de RAKA y el material de clave cifrado mediante la RWK. El HSM se obtiene por la RWK ejecutando el esquema de establecimiento de claves ECDH en RAKB y el componente público de RAKA.

  5. El HSM de la región B utiliza la RWK para descifrar el material de clave de la región A.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.