Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS utiliza un mecanismo de replicación entre regiones para copiar el material clave de una clave KMS de un HSM en uno Región de AWS a un HSM en otro diferente. Región de AWS Para que este mecanismo funcione, la clave KMS que se replica debe ser una clave multirregión. Al replicar una clave KMS de una región a otra, las regiones no pueden comunicarse directamente porque están HSMs en redes aisladas. En su lugar, los mensajes intercambiados durante la replicación entre regiones los entrega un servicio proxy.
Durante la replicación entre regiones, todos los mensajes generados por un AWS KMS HSM se firman criptográficamente con una clave de firma de replicación. Las claves de firma de replicación (RSKs) son claves ECDSA en la curva P-384 del NIST. Cada región posee al menos un RSK y el componente público de cada RSK se comparte con todas las demás regiones de la misma partición. AWS
El proceso de replicación entre regiones para copiar material de clave de la región A a la región B funciona como se explica a continuación:
-
El HSM de la región B genera una clave ECDH efímera en la curva NIST P-384, Clave B del acuerdo de replicación (RAKB). El componente público de RAKB se envía a un HSM de la región A por el servicio proxy.
-
El HSM de la región A recibe el componente público de RAKB y, a continuación, genera otra clave ECDH efímera en la curva NIST P-384, Clave A del acuerdo de replicación (RAKA). El HSM ejecuta el esquema de establecimiento de claves ECDH en RAKA y el componente público de RAKB, y obtiene una clave simétrica de la salida, la Clave de encapsulamiento de replicación (RWK). La RWK se utiliza para cifrar el material de clave de la clave KMS multirregión que se está replicando.
-
El componente público de RAKA y el material de clave cifrado con la RWK se envían al HSM de la región B a través del servicio proxy.
-
El HSM de la región B recibe el componente público de RAKA y el material de clave cifrado mediante la RWK. El HSM se obtiene por la RWK ejecutando el esquema de establecimiento de claves ECDH en RAKB y el componente público de RAKA.
-
El HSM de la región B utiliza la RWK para descifrar el material de clave de la región A.