Clés multirégionales dans AWS KMS - AWS Key Management Service
Considérations sur la sécurité pour les clés multi-régionFonctionnement des clés multi-régionConcepts

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés multirégionales dans AWS KMS

AWS KMS prend en charge les clés multirégionales, qui sont AWS KMS keys différentes Régions AWS et peuvent être utilisées de manière interchangeable, comme si vous aviez la même clé dans plusieurs régions. Chaque ensemble de clés multirégionales associées possède le même contenu clé et le même identifiant de clé. Vous pouvez donc chiffrer les données dans une clé Région AWS et les déchiffrer dans une autre Région AWS sans les chiffrer à nouveau ni effectuer un appel interrégional. AWS KMS

Comme toutes les clés KMS, les clés multirégionales ne sont jamais AWS KMS déchiffrées. Vous pouvez créer des clés multirégionales symétriques ou asymétriques pour le chiffrement ou la signature, créer des clés multirégionales HMAC pour générer et vérifier des balises HMAC, et créer des clés multirégionales à partir du matériel clé importé ou du matériel clé généré. AWS KMS Vous devez gérer chaque clé multi-région indépendamment, notamment en créant des alias et des balises, en définissant les politiques et les octrois de clé, en les activant et en les désactivant de manière sélective. Vous pouvez utiliser des clés multi-région dans le cadre de toutes les opérations de chiffrement que vous pouvez effectuer avec des clés à région unique.

Les clés multi-région sont une solution flexible et puissante pour de nombreux scénarios courants liés à la sécurité des données.

Reprise après sinistre

Dans une architecture de sauvegarde et de restauration, les clés multirégionales vous permettent de traiter les données chiffrées sans interruption, même en cas de Région AWS panne. Les données conservées dans les régions de sauvegarde peuvent être déchiffrées dans la région de sauvegarde, et les données nouvellement chiffrées dans la région de sauvegarde peuvent être déchiffrées dans la région principale lorsque cette région est restaurée.

Gestion globale des données

Les entreprises qui opèrent à l'échelle mondiale ont besoin de données distribuées dans le monde entier et qui soient disponibles entre les Régions AWS. Vous pouvez créer des clés multi-région dans toutes les régions où résident vos données, puis utiliser les clés comme s'il s'agissait d'une clé à région unique sans la latence d'un appel inter-régions ou le coût du re-chiffrement des données sous une clé différente dans chaque région.

Applications de signature distribuées

Les applications qui nécessitent des fonctionnalités de signature inter-régions peuvent utiliser des clés de signature asymétriques multi-région pour générer des signatures numériques identiques de manière cohérente et répétée dans différentes Régions AWS.

Si vous utilisez le chaînage de certificats avec un seul magasin d'approbation global (pour une seule autorité de certification [CA] racine), et des CA intermédiaires régionales signées par la CA racine, vous n'avez pas besoin de clés multi-régions. Toutefois, si votre système ne prend pas en charge les CA intermédiaires, telles que la signature d'applications, vous pouvez utiliser des clés multi-région pour assurer la cohérence des certifications régionales.

Applications active/active couvrant plusieurs régions

Certaines charges de travail et applications peuvent couvrir plusieurs régions dans des architectures active/active. Pour ces applications, les clés multi-région peuvent réduire la complexité en fournissant les mêmes éléments de clé pour les opérations simultanées de chiffrement et de déchiffrement sur les données susceptibles de se déplacer au-delà des limites de la région.

Vous pouvez utiliser des clés multi-région avec des bibliothèques de chiffrement côté client, telles que le AWS Encryption SDK, le client de chiffrement DynamoDB, et le chiffrement côté client Amazon S3. Pour un exemple d'utilisation de clés multirégionales avec les tables globales Amazon DynamoDB et le client de chiffrement DynamoDB, consultez la section Chiffrer les données globales côté client avec des clés multirégionales dans le blog sur la sécurité. AWS KMS AWS

AWS les services intégrés au chiffrement au repos ou aux AWS KMS signatures numériques traitent actuellement les clés multirégionales comme s'il s'agissait de clés à région unique. Ils peuvent ré-encapsulper ou re-chiffrer les données déplacées entre les régions. Par exemple, la réplication inter-régions Amazon S3 déchiffre et rechiffre les données sous une clé KMS dans la région de destination, même lors de la réplication d'objets protégés par une clé multi-région.

Les clés multi-région ne sont pas globales. Vous créez une clé principale multi-région, puis vous la répliquez dans les régions que vous sélectionnez dans une partition AWS. Vous gérez ensuite la clé multi-région dans chaque région de manière indépendante. Ni AWS ne AWS KMS crée ni ne réplique automatiquement les clés multirégionales dans aucune région en votre nom. Clés gérées par AWS, les clés KMS que les AWS services créent pour vous dans votre compte sont toujours des clés à région unique.

Vous ne pouvez pas transformer une clé à région unique en clé multi-région. Cette conception garantit que toutes les données protégées avec les clés à région unique existantes conservent les mêmes propriétés de résidence et de souveraineté des données.

Pour la plupart des besoins de sécurité des données, l'isolation régionale et la tolérance aux pannes des ressources régionales font des clés AWS KMS unirégionales standard la solution la mieux adaptée. Toutefois, lorsque vous avez besoin de chiffrer ou de signer des données dans des applications côté client entre plusieurs régions, les clés multi-région peuvent être la solution.

Régions

Les clés multirégionales sont prises en charge sur tous Régions AWS les AWS KMS supports, à l'exception de la Chine (Pékin) et de la Chine (Ningxia).

Tarification et quotas

Chaque clé d'un ensemble de clés multi-région associées compte comme une clé KMS pour la tarification et les quotas. Les quotas AWS KMS sont calculés séparément pour chaque région d'un compte. L'utilisation et la gestion des clés multi-région dans chaque région sont prises en compte dans les quotas pour cette région.

Types de clés KMS non pris en charge

Vous pouvez créer les types suivants de clés KMS multirégions :

  • Clés KMS de chiffrement symétrique

  • Clés KMS asymétriques

  • Clés KMS HMAC

  • Clés KMS avec des éléments de clé importés

Vous ne pouvez pas créer de clés multi-région dans un magasin de clés personnalisé.

Rubriques

Considérations sur la sécurité pour les clés multi-région

Utilisez une clé AWS KMS multirégionale uniquement lorsque vous en avez besoin. Les clés multi-région fournissent une solution flexible et évolutive pour les applications qui déplacent des données chiffrées entre Régions AWS ou ont besoin d'un accès inter-régions. Envisagez une clé multi-région si vous devez partager, déplacer ou sauvegarder des données protégées entre les régions ou si vous avez besoin de créer des signatures numériques identiques d'applications fonctionnant dans différentes régions.

Toutefois, le processus de création d'une clé multi-région déplace vos éléments de clé au-delà des frontières des Région AWS au sein de AWS KMS. Le texte chiffré généré par une clé multi-région peut potentiellement être déchiffré par plusieurs clés associées dans plusieurs emplacements géographiques. Il y a également des avantages importants pour les services et les ressources isolés dans la région. Chaque Région AWS est indépendante et isolée des autres régions. Les régions fournissent une tolérance aux pannes, une stabilité et une résilience, et peuvent également réduire la latence. Elles vous permettent de créer des ressources redondantes qui restent disponibles et qui ne sont pas affectées par les pannes dans les autres régions. En AWS KMS, ils garantissent également que chaque texte chiffré peut être déchiffré par une seule clé.

Les clés multi-région soulèvent également de nouvelles considérations de sécurité :

  • Le contrôle de l'accès et l'application de la politique de sécurité des données sont plus complexes avec les clés multi-région. Vous devez vous assurer que la politique est auditée de manière cohérente sur la clé dans plusieurs régions isolées. Vous devez également utiliser la politique pour appliquer les frontières, au lieu de vous appuyer sur des clés séparées.

    Par exemple, vous devez définir des conditions de politique sur les données pour empêcher les équipes de paie d'une région de lire les données de paie pour une autre région. En outre, vous devez utiliser le contrôle d'accès pour empêcher un scénario dans lequel une clé multi-région dans une région protège les données d'un locataire et une clé multi-région associée dans une autre région protège les données d'un autre locataire.

  • L'audit des clés entre les régions est également plus complexe. Avec les clés multi-région, vous devez examiner et réconcilier les activités d'audit entre plusieurs régions afin d'obtenir une compréhension complète des activités de clé liées aux données protégées.

  • La conformité aux mandats de résidence des données peut être plus complexe. Avec les régions isolées, vous pouvez garantir la résidence des données et la conformité à la souveraineté des données. Les clés KMS d'une région donnée peuvent déchiffrer des données sensibles uniquement dans cette région. Les données chiffrées dans une région peuvent rester complètement protégées et inaccessibles dans toute autre région.

    Pour vérifier la résidence et la souveraineté des données à l'aide de clés multirégionales, vous devez mettre en œuvre des politiques d'accès et compiler AWS CloudTrail des événements dans plusieurs régions.

Pour faciliter la gestion du contrôle d'accès sur les clés multirégionales, l'autorisation de répliquer une clé multirégionale (kms : ReplicateKey) est distincte de l'autorisation standard de création de clés (kms :). CreateKey AWS KMS Prend également en charge plusieurs conditions de politique pour les clés multirégionaleskms:MultiRegion, notamment celles qui autorisent ou refusent l'autorisation de créer, d'utiliser ou de gérer des clés multirégionales et kms:ReplicaRegion qui restreint les régions dans lesquelles une clé multirégionale peut être répliquée. Pour plus de détails, veuillez consulter Contrôle de l'accès aux clés multi-régions.

Fonctionnement des clés multi-région

Vous commencez par créer une clé primaire multirégionale symétrique ou asymétrique dans une clé AWS KMS compatible, telle Région AWS que USA East (Virginie du Nord). Vous décidez si une clé est à région unique ou multi-région uniquement lorsque vous la créez ; vous ne pouvez pas modifier cette propriété ultérieurement. Comme pour toute clé KMS, vous définissez une politique de clé pour la clé multi-région, et vous pouvez créer des octrois et ajouter des alias et des balises pour la catégorisation et l'autorisation. (Ce sont des propriétés indépendantes qui ne sont pas partagées ou synchronisées avec d'autres clés.) Vous pouvez utiliser votre clé principale multi-région dans les opérations de chiffrement pour le chiffrement ou la signature.

Vous pouvez créer une clé primaire multirégionale dans la AWS KMS console ou en utilisant l'CreateKeyAPI avec le MultiRegion paramètre défini sur. true Notez que les clés multi-région ont un ID de clé distinctif qui commence par mrk-. Vous pouvez utiliser le préfixe mrk- pour identifier les clés multi-région par programmation.

Si vous le souhaitez, vous pouvez répliquer la clé primaire multirégionale dans une ou plusieurs Régions AWS autres clés de la même AWS partition, par exemple en Europe (Irlande). Lorsque vous le faites, AWS KMS crée une réplique de clé dans la région spécifiée avec le même ID de clé et d'autres propriétés partagées que la clé primaire. Ensuite, il transporte en toute sécurité les éléments de clé au-delà des limites de la région et les associe à la nouvelle clé KMS dans la région de destination, le tout dans AWS KMS. Le résultat donne deux clés multi-région associées : une clé principale et une clé de réplica, pouvant être utilisées de manière interchangeable.

Vous pouvez créer une réplique de clé multirégionale dans la AWS KMS console ou à l'aide de l'ReplicateKeyAPI.

La clé de réplica multi-région qui en résulte est une clé KMS pleinement fonctionnelle, avec les mêmes propriétés partagées que clé principale. À tous autres égards, il s'agit d'une clé KMS indépendante avec ses propres description, politique de clé, octrois, alias et balises. L'activation ou la désactivation d'une clé multi-région n'a aucun effet sur les clés multi-région associées. Vous pouvez utiliser les clés principales et de réplica indépendamment dans les opérations cryptographiques ou coordonner leur utilisation. Par exemple, vous pouvez chiffrer des données avec la clé principale dans la région USA Est (Virginie du Nord), déplacer les données vers la région UE (Irlande) et utiliser la clé de réplica pour déchiffrer les données.

Les clés multi-région associées ont le même ID de clé. Leurs ARN de clé (Amazon Resource Names) ne diffèrent que dans le champ Région. Par exemple, la clé principale multi-région et les clés de réplica peuvent avoir les ARN de clé suivants. L'ID de clé (le dernier élément de l'ARN de clé) est identique. Les deux clés ont l'ID de clé distinctif des clés multi-régions, qui commence par mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Le même ID de clé est requis pour l'interopérabilité. Lors du chiffrement, AWS KMS lie l'ID de clé KMS au texte chiffré afin que le texte chiffré ne puisse être déchiffré qu'avec cette clé KMS ou une clé KMS avec le même identifiant de clé. Cette fonction facilite également la reconnaissance des clés multi-région associées ainsi que leur utilisation interchangeable. Par exemple, lorsque vous les utilisez dans une application, vous pouvez faire référence aux clés multi-région associées par leur ID de clé partagé. Ensuite, si nécessaire, spécifiez la région ou l'ARN pour les distinguer.

À mesure que vos besoins en matière de données évoluent, vous pouvez répliquer la clé primaire vers d'autres Régions AWS utilisateurs de la même partition, comme USA West (Oregon) et Asie-Pacifique (Sydney). Le résultat consiste en quatre clés multi-région associées avec les mêmes éléments de clé et ID de clé, comme illustré dans le diagramme suivant. Vous gérez les clés indépendamment. Vous pouvez les utiliser indépendamment ou de manière coordonnée. Par exemple, vous pouvez chiffrer des données avec la clé de réplica dans la région Asie-Pacifique (Sydney), déplacer les données vers la région USA Ouest (Oregon) et les déchiffrer avec la clé de réplica dans la région USA Ouest (Oregon).

Les clés principales et de réplica dans une clé multi-région

Voici d'autres considérations pour les clés multi-région.

Synchronisation des propriétés partagées : si une propriété partagée des clés multirégionales change, la modification est AWS KMS automatiquement synchronisée entre la clé primaire et toutes ses clés répliquées. Vous ne pouvez pas demander ou forcer la synchronisation des propriétés partagées. AWS KMS détecte et synchronise toutes les modifications pour vous. Vous pouvez toutefois auditer la synchronisation en utilisant l'SynchronizeMultiRegionKeyévénement dans CloudTrail les journaux.

Par exemple, si vous activez la rotation automatique des clés sur une clé primaire multirégionale symétrique, AWS KMS copie ce paramètre sur toutes ses clés répliques. Lorsque les éléments de clé sont soumis à une rotation, la rotation est synchronisée entre toutes les clés multi-région associées, de sorte qu'elles continuent d'avoir les mêmes éléments de clé actuels et d'accéder à toutes les versions plus anciennes des éléments de clé. Si vous créez une nouvelle clé de réplica, elle dispose des mêmes éléments de clé actuels que toutes les clés multi-région associées et de l'accès à toutes les versions précédentes des éléments de clé. Pour plus de détails, veuillez consulter Rotation de clés multi-région.

Modification de la clé principale — Chaque ensemble de clés multi-région doit avoir exactement une clé principale. La clé principale est la seule clé qui peut être répliquée. C'est également la source des propriétés partagées de ses clés de réplica. Toutefois, vous pouvez transformerr la clé principale en un réplica et transformer l'une des clés de réplica en clé principale. Vous pouvez procéder ainsi afin de supprimer une clé principale multi-région d'une région particulière ou de placer la clé principale dans une région plus proche des administrateurs de projet. Pour plus de détails, veuillez consulter Mise à jour de la région principale.

Suppression des clés multirégionales — Comme toutes les clés KMS, vous devez planifier la suppression des clés multirégionales avant de les AWS KMS supprimer. Lorsque la clé est en attente de suppression, vous ne pouvez pas l'utiliser dans une opération de chiffrement. Toutefois, une clé primaire multirégionale ne AWS KMS sera pas supprimée tant que toutes ses clés répliquées ne seront pas supprimées. Pour plus de détails, consultez Suppression de clés multi-régions.

Concepts

Les termes et concepts suivants sont utilisés avec des clés multi-région.

Clé multi-région

Une clé multi-région fait partie d'un ensemble de clés KMS avec le même ID de clé et les mêmes éléments de clé (et d'autres propriétés partagées) dans différentes Régions AWS. Chaque clé multi-région est une clé KMS pleinement fonctionnelle qui peut être utilisée indépendamment des clés multi-région associées. Comme toutes les clés multirégionales associées ont le même identifiant de clé et le même contenu clé, elles sont interopérables, c'est-à-dire que toute clé multirégionale associée Région AWS peut déchiffrer le texte chiffré par n'importe quelle autre clé multirégionale associée.

Vous définissez la propriété multi-région d'une clé KMS lors de sa création. Vous ne pouvez pas modifier propriété multi-région sur une clé existante. Vous ne pouvez pas convertir une clé à région unique en clé multi-région ou convertir une clé multi-région en clé à région unique. Pour déplacer des charges de travail existantes dans des scénarios multi-région, vous devez chiffrer à nouveau vos données ou créer de nouvelles signatures avec de nouvelles clés multi-région.

Une clé multirégionale peut être symétrique ou asymétrique et elle peut utiliser du matériel clé ou du matériel AWS KMS clé importé. Vous ne pouvez pas créer de clés multi-région dans un magasin de clés personnalisé.

Dans un ensemble de clés multi-région associées, il y a exactement une clé principale à tout moment. Vous pouvez créer des clés de réplica de cette clé principale dans d'autres Régions AWS. Vous pouvez également mettre à jour la région principale, qui transforme la clé principale en clé de réplica et transforme une clé de réplica spécifiée en clé principale. Toutefois, vous ne pouvez conserver qu'une seule clé primaire ou une seule clé de réplique dans chacune d'elles Région AWS. Toutes les régions doivent être dans la même partition AWS.

Vous pouvez avoir plusieurs ensembles de clés multi-région associées dans la même ou dans plusieurs Régions AWS. Bien que les clés multi-région associées soient interopérables, les clés multi-région non associées ne sont pas interopérables.

Clé primaire

Une clé primaire multirégionale est une clé KMS qui peut être répliquée Régions AWS dans d'autres clés de la même partition. Chaque ensemble de clés multi-région ne possède qu'une seule clé principale.

Une clé principale diffère d'une clé de réplica comme suit :

Cependant, les clés principales et les clés de réplica ne diffèrent pas au niveau des propriétés cryptographiques. Vous pouvez utiliser une clé primaire et ses clés de réplica de manière interchangeable.

Vous n'êtes pas tenu de répliquer une clé principale. Vous pouvez l'utiliser comme n'importe quelle clé KMS et la répliquer si elle est utile. Toutefois, étant donné que les clés multi-région ont des propriétés de sécurité différentes de celles des clés à région unique, nous vous recommandons de créer une clé multi-région uniquement lorsque vous envisagez de la répliquer.

Clé de réplica

Une clé de réplica multi-région est une clé KMS qui a les mêmes ID de clé et éléments de clé que sa clé principale et les clés de réplica associées, mais qui existe dans une Région AWS différente.

Une clé de réplica est une clé KMS pleinement fonctionnelle avec ses propres politiques de clé, octrois, alias, balises et autres propriétés. Il ne s'agit pas d'une copie ou d'un pointeur vers la clé principale ou toute autre clé. Vous pouvez utiliser une clé de réplica même si sa clé principale et toutes les clés de réplica associées sont désactivées. Vous pouvez également transformer une clé de réplica en clé principale et une clé principale en clé de réplica. Une fois créée, une clé de réplica s'appuie sur sa clé principale uniquement pour la rotation des clés et la mise à jour de la région principale.

Les clés principales et les clés de réplica ne diffèrent pas au niveau des propriétés cryptographiques. Vous pouvez utiliser une clé primaire et ses clés de réplica de manière interchangeable. Les données chiffrées par une clé principale ou de réplica peuvent être déchiffrées par la même clé, ou par toute clé principale ou de réplica associée.

Répliquer

Vous pouvez répliquer une clé primaire multirégionale dans une autre Région AWS clé de la même partition. Lorsque vous le faites, AWS KMS crée une clé de réplique multirégionale dans la région spécifiée avec le même ID de clé et d'autres propriétés partagées que sa clé primaire. Ensuite, il transporte en toute sécurité les éléments de clé au-delà des limites de la région et les associe à la nouvelle clé de réplica, le tout dans AWS KMS.

Propriétés partagées

Les propriétés partagées sont les propriétés d'une clé primaire multirégionale qui sont partagées avec ses clés de réplique. AWS KMS crée les clés de réplique avec les mêmes valeurs de propriétés partagées que celles de la clé primaire. Ensuite, il synchronise périodiquement les valeurs de propriété partagées de la clé principale avec ses clés de réplica. Vous ne pouvez pas définir ces propriétés sur une clé de réplica.

Voici les propriétés partagées des clés multi-région.

Vous pouvez également considérer les désignations principales et de réplica des clés multi-région associées comme des propriétés partagées. Lorsque vous créez de nouvelles clés répliquées ou que vous mettez à jour la clé primaire, la modification est AWS KMS synchronisée avec toutes les clés multirégionales associées. Lorsque ces modifications sont terminées, toutes les clés multi-région associées répertorient avec précision leur clé principale et leurs clés de réplica.

Toutes les autres propriétés des clés multi-région sont des propriétés indépendantes, y compris la description, la politique de clé, les octrois, les états de clé activé et désactivé, les alias et les balises. Vous pouvez définir les mêmes valeurs pour ces propriétés sur toutes les clés multi-région associées, mais si vous modifiez la valeur d'une propriété indépendante, AWS KMS ne la synchronise pas.

Vous pouvez suivre la synchronisation des propriétés partagées de vos clés multi-région. Dans votre AWS CloudTrail journal, recherchez l'SynchronizeMultiRegionKeyévénement.