Clés multi-régions dans AWS KMS - AWS Key Management Service

Clés multi-régions dans AWS KMS

AWS KMS prend en charge des clés multi-région, qui sont des AWS KMS keys dans différentes Régions AWS pouvant être utilisées de façon interchangeable, comme si vous aviez la même clé dans plusieurs régions. Chaque ensemble de clés multi-région liées est doté des mêmes éléments de clé et ID de clé, afin que vous puissiez chiffrer des données dans une Région AWS et les déchiffrer dans une Région AWS différente, sans avoir à rechiffrer ou à procéder à un appel inter-régions vers AWS KMS.

Comme toutes les clés KMS, les clés multi-région ne quittent jamais AWS KMS non chiffrées. Vous pouvez créer des clés multi-région symétriques ou asymétriques pour le chiffrement ou la signature, créer des clés multi-régions HMAC pour la génération et la vérification de balises HMAC, mais aussi créer des clés multi-région avec des éléments de clé importés ou des éléments de clé générés par AWS KMS. Vous devez gérer chaque clé multi-région indépendamment, notamment en créant des alias et des balises, en définissant les politiques et les octrois de clé, en les activant et en les désactivant de manière sélective. Vous pouvez utiliser des clés multi-région dans le cadre de toutes les opérations de chiffrement que vous pouvez effectuer avec des clés à région unique.

Les clés multi-région sont une solution flexible et puissante pour de nombreux scénarios courants liés à la sécurité des données.

Reprise après sinistre

Dans une architecture de sauvegarde et de reprise, les clés multi-région vous permettent de traiter des données chiffrées sans interruption, même en cas de panne de Région AWS. Les données conservées dans les régions de sauvegarde peuvent être déchiffrées dans la région de sauvegarde, et les données nouvellement chiffrées dans la région de sauvegarde peuvent être déchiffrées dans la région principale lorsque cette région est restaurée.

Gestion globale des données

Les entreprises qui opèrent à l'échelle mondiale ont besoin de données distribuées dans le monde entier et qui soient disponibles entre les Régions AWS. Vous pouvez créer des clés multi-région dans toutes les régions où résident vos données, puis utiliser les clés comme s'il s'agissait d'une clé à région unique sans la latence d'un appel inter-régions ou le coût du re-chiffrement des données sous une clé différente dans chaque région.

Applications de signature distribuées

Les applications qui nécessitent des fonctionnalités de signature inter-régions peuvent utiliser des clés de signature asymétriques multi-région pour générer des signatures numériques identiques de manière cohérente et répétée dans différentes Régions AWS.

Si vous utilisez le chaînage de certificats avec un seul magasin d'approbations global (pour une autorité de certification (CA) racine unique) et des autorités de certification intermédiaires régionales signées par l'autorité de certification racine, vous n'avez pas besoin de clés multi-région. Toutefois, si votre système ne prend pas en charge les CA intermédiaires, telles que la signature d'applications, vous pouvez utiliser des clés multi-région pour assurer la cohérence des certifications régionales.

Applications active/active couvrant plusieurs régions

Certaines charges de travail et applications peuvent couvrir plusieurs régions dans des architectures active/active. Pour ces applications, les clés multi-région peuvent réduire la complexité en fournissant les mêmes éléments de clé pour les opérations simultanées de chiffrement et de déchiffrement sur les données susceptibles de se déplacer au-delà des limites de la région.

Vous pouvez utiliser des clés multi-région avec des bibliothèques de chiffrement côté client, telles que le AWS Encryption SDK, le client de chiffrement DynamoDB, et le chiffrement côté client Amazon S3. Pour obtenir un exemple d'utilisation de clés multi-région avec les tables globales Amazon DynamoDB et le client de chiffrement DynamoDB, veuillez consulter Chiffrer les données globales côté client avec les clés AWS KMS multi-région dans le blog AWS sur la sécurité.

Les services AWS qui s'intègrent à AWS KMS pour le chiffrement au repos ou les signatures numériques traitent actuellement les clés multi-région comme s'il s'agissait de clés à région unique. Ils peuvent ré-encapsulper ou re-chiffrer les données déplacées entre les régions. Par exemple, la réplication inter-régions Amazon S3 déchiffre et rechiffre les données sous une clé KMS dans la région de destination, même lors de la réplication d'objets protégés par une clé multi-région.

Les clés multi-région ne sont pas globales. Vous créez une clé principale multi-région, puis vous la répliquez dans les régions que vous sélectionnez dans une partition AWS. Vous gérez ensuite la clé multi-région dans chaque région de manière indépendante. Ni AWS ni AWS KMS ne créent ou ne répliquent automatiquement des clés multi-région dans n'importe quelle région en votre nom. Les Clés gérées par AWS, les clés KMS que les services AWS créent dans votre compte pour vous, sont toujours des clés à région unique.

Vous ne pouvez pas transformer une clé à région unique en clé multi-région. Cette conception garantit que toutes les données protégées avec les clés à région unique existantes conservent les mêmes propriétés de résidence et de souveraineté des données.

Pour la plupart des besoins en matière de sécurité des données, l'isolement régional et la tolérance aux pannes des ressources régionales font des clés à région unique AWS KMS standard la solution la plus adaptée. Toutefois, lorsque vous avez besoin de chiffrer ou de signer des données dans des applications côté client entre plusieurs régions, les clés multi-région peuvent être la solution.

Régions

Les clés multi-région sont prises en charge dans toutes les Régions AWS prises en charge par AWS KMS, à l'exception des régions Chine (Beijing) et Chine (Ningxia).

Tarification et quotas

Chaque clé d'un ensemble de clés multi-région associées compte comme une clé KMS pour la tarification et les quotas. Les quotas AWS KMS sont calculés séparément pour chaque région d'un compte. L'utilisation et la gestion des clés multi-région dans chaque région sont prises en compte dans les quotas pour cette région.

Considérations sur la sécurité pour les clés multi-région

Utilisez une clé multi-région AWS KMS uniquement lorsque vous en avez besoin. Les clés multi-région fournissent une solution flexible et évolutive pour les applications qui déplacent des données chiffrées entre Régions AWS ou ont besoin d'un accès inter-régions. Envisagez une clé multi-région si vous devez partager, déplacer ou sauvegarder des données protégées entre les régions ou si vous avez besoin de créer des signatures numériques identiques d'applications fonctionnant dans différentes régions.

Toutefois, le processus de création d'une clé multi-région déplace vos éléments de clé au-delà des frontières des Région AWS au sein de AWS KMS. Le texte chiffré généré par une clé multi-région peut potentiellement être déchiffré par plusieurs clés associées dans plusieurs emplacements géographiques. Il y a également des avantages importants pour les services et les ressources isolés dans la région. Chaque Région AWS est indépendante et isolée des autres régions. Les régions fournissent une tolérance aux pannes, une stabilité et une résilience, et peuvent également réduire la latence. Elles vous permettent de créer des ressources redondantes qui restent disponibles et qui ne sont pas affectées par les pannes dans les autres régions. Dans AWS KMS, elles veillent également à ce que chaque texte chiffré puisse être déchiffré par une seule clé.

Les clés multi-région soulèvent également de nouvelles considérations de sécurité :

  • Le contrôle de l'accès et l'application de la politique de sécurité des données sont plus complexes avec les clés multi-région. Vous devez vous assurer que la politique est auditée de manière cohérente sur la clé dans plusieurs régions isolées. Vous devez également utiliser la politique pour appliquer les frontières, au lieu de vous appuyer sur des clés séparées.

    Par exemple, vous devez définir des conditions de politique sur les données pour empêcher les équipes de paie d'une région de lire les données de paie pour une autre région. En outre, vous devez utiliser le contrôle d'accès pour empêcher un scénario dans lequel une clé multi-région dans une région protège les données d'un locataire et une clé multi-région associée dans une autre région protège les données d'un autre locataire.

  • L'audit des clés entre les régions est également plus complexe. Avec les clés multi-région, vous devez examiner et réconcilier les activités d'audit entre plusieurs régions afin d'obtenir une compréhension complète des activités de clé liées aux données protégées.

  • La conformité aux mandats de résidence des données peut être plus complexe. Avec les régions isolées, vous pouvez garantir la résidence des données et la conformité à la souveraineté des données. Les clés KMS d'une région donnée peuvent déchiffrer des données sensibles uniquement dans cette région. Les données chiffrées dans une région peuvent rester complètement protégées et inaccessibles dans toute autre région.

    Pour vérifier la résidence des données et la souveraineté des données à l'aide de clés multi-région, vous devez implémenter des politiques d'accès et compiler des événements AWS CloudTrail dans plusieurs régions.

Pour faciliter la gestion du contrôle d'accès sur les clés multi-région, l'autorisation de répliquer une clé multi-région (kms:ReplicateKey) est séparée de l'autorisation standard de créer des clés (kms:CreateKey). De plus, AWS KMS prend en charge plusieurs conditions de politique pour les clés multi-région, notamment kms:MultiRegion, qui autorise ou refuse l'autorisation de créer, d'utiliser ou de gérer des clés multi-région et kms:ReplicaRegion, qui limite les régions dans lesquelles une clé multi-région peut être répliquée. Pour plus de détails, veuillez consulter Contrôle de l'accès aux clés multi-régions.

Fonctionnement des clés multi-région

Vous commencez par créer une clé principale multi-région symétrique ou asymétrique dans une Région AWS prise en charge par AWS KMS, telle que USA Est (Virginie du Nord). Vous décidez si une clé est à région unique ou multi-région uniquement lorsque vous la créez ; vous ne pouvez pas modifier cette propriété ultérieurement. Comme pour toute clé KMS, vous définissez une politique de clé pour la clé multi-région, et vous pouvez créer des octrois et ajouter des alias et des balises pour la catégorisation et l'autorisation. (Ce sont des propriétés indépendantes qui ne sont pas partagées ou synchronisées avec d'autres clés.) Vous pouvez utiliser votre clé principale multi-région dans les opérations de chiffrement pour le chiffrement ou la signature.

Vous pouvez créer une clé principale multi-région dans la console AWS KMS ou à l'aide de l'API CreateKey avec le paramètre MultiRegion défini sur true. Notez que les clés multi-région ont un ID de clé distinctif qui commence par mrk-. Vous pouvez utiliser le préfixe mrk- pour identifier les clés multi-région par programmation.

Si vous le souhaitez, vous pouvez répliquer la clé principale multi-région dans une ou plusieurs Régions AWS différentes dans la même partition AWS, telle que la région UE (Irlande). Dans ce cas, AWS KMS créer une clé de réplica dans la région spécifiée, avec le même ID de clé et d'autres propriétés partagées en tant que clé principale. Ensuite, il transporte en toute sécurité les éléments de clé au-delà des limites de la région et les associe à la nouvelle clé KMS dans la région de destination, le tout dans AWS KMS. Le résultat donne deux clés multi-région associées : une clé principale et une clé de réplica, pouvant être utilisées de manière interchangeable.

Vous pouvez créer une clé de réplica multi-région dans la console AWS KMS ou en utilisant l'API ReplicateKey.

La clé de réplica multi-région qui en résulte est une clé KMS pleinement fonctionnelle, avec les mêmes propriétés partagées que clé principale. À tous autres égards, il s'agit d'une clé KMS indépendante avec ses propres description, politique de clé, octrois, alias et balises. L'activation ou la désactivation d'une clé multi-région n'a aucun effet sur les clés multi-région associées. Vous pouvez utiliser les clés principales et de réplica indépendamment dans les opérations cryptographiques ou coordonner leur utilisation. Par exemple, vous pouvez chiffrer des données avec la clé principale dans la région USA Est (Virginie du Nord), déplacer les données vers la région UE (Irlande) et utiliser la clé de réplica pour déchiffrer les données.

Les clés multi-région associées ont le même ID de clé. Leurs ARN de clé (Amazon Resource Names) ne diffèrent que dans le champ Région. Par exemple, la clé principale multi-région et les clés de réplica peuvent avoir les ARN de clé suivants. L'ID de clé (le dernier élément de l'ARN de clé) est identique. Les deux clés ont l'ID de clé distinctif des clés multi-régions, qui commence par mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Le même ID de clé est requis pour l'interopérabilité. Lors du chiffrement, AWS KMS lie l'ID de clé de la clé KMS au texte chiffré afin que le texte chiffré puisse être déchiffré uniquement avec cette clé KMS ou avec une clé KMS dotée du même ID de clé. Cette fonction facilite également la reconnaissance des clés multi-région associées ainsi que leur utilisation interchangeable. Par exemple, lorsque vous les utilisez dans une application, vous pouvez faire référence aux clés multi-région associées par leur ID de clé partagé. Ensuite, si nécessaire, spécifiez la région ou l'ARN pour les distinguer.

Au fur et à mesure que vos besoins en données évoluent, vous pouvez répliquer la clé principale vers d'autres Régions AWS dans la même partition, comme USA Ouest (Oregon) et Asie-Pacifique (Sydney). Le résultat consiste en quatre clés multi-région associées avec les mêmes éléments de clé et ID de clé, comme illustré dans le diagramme suivant. Vous gérez les clés indépendamment. Vous pouvez les utiliser indépendamment ou de manière coordonnée. Par exemple, vous pouvez chiffrer des données avec la clé de réplica dans la région Asie-Pacifique (Sydney), déplacer les données vers la région USA Ouest (Oregon) et les déchiffrer avec la clé de réplica dans la région USA Ouest (Oregon).


                Les clés principales et de réplica dans une clé multi-région

Voici d'autres considérations pour les clés multi-région.

Synchronisation des propriétés partagées — Si une propriété partagée des clés multi-région change, AWS KMS synchronise automatiquement la modification à partir de la clé principale à l'ensemble de ses clés de réplica. Vous ne pouvez pas demander ou forcer une synchronisation des propriétés partagées. AWS KMS détecte et synchronise toutes les modifications pour vous. Toutefois, vous pouvez auditer la synchronisation à l'aide de l'événement SynchronizeMultiRegionKey dans les journaux CloudTrail.

Par exemple, si vous activez la rotation automatique des clés sur une clé principale multi-région symétrique, AWS KMS copie ce paramètre sur toutes ses clés de réplica. Lorsque les éléments de clé sont soumis à une rotation, la rotation est synchronisée entre toutes les clés multi-région associées, de sorte qu'elles continuent d'avoir les mêmes éléments de clé actuels et d'accéder à toutes les versions plus anciennes des éléments de clé. Si vous créez une nouvelle clé de réplica, elle dispose des mêmes éléments de clé actuels que toutes les clés multi-région associées et de l'accès à toutes les versions précédentes des éléments de clé. Pour plus de détails, veuillez consulter Rotation de clés multi-région.

Modification de la clé principale — Chaque ensemble de clés multi-région doit avoir exactement une clé principale. La clé principale est la seule clé qui peut être répliquée. C'est également la source des propriétés partagées de ses clés de réplica. Toutefois, vous pouvez transformerr la clé principale en un réplica et transformer l'une des clés de réplica en clé principale. Vous pouvez procéder ainsi afin de supprimer une clé principale multi-région d'une région particulière ou de placer la clé principale dans une région plus proche des administrateurs de projet. Pour plus de détails, veuillez consulter Mise à jour de la région principale.

Suppression de clés multi-région — Comme toutes les clés KMS, vous devez planifier la suppression des clés multi-région avant que AWS KMS ne les supprime. Lorsque la clé est en attente de suppression, vous ne pouvez pas l'utiliser dans une opération de chiffrement. Toutefois, AWS KMS ne supprimera pas une clé principale multi-région tant que toutes ses clés de réplica n'auront pas été supprimées. Pour plus d'informations, consultez Suppression de clés multi-régions.

Concepts

Les termes et concepts suivants sont utilisés avec des clés multi-région.

Clé multi-région

Une clé multi-région fait partie d'un ensemble de clés KMS avec le même ID de clé et les mêmes éléments de clé (et d'autres propriétés partagées) dans différentes Régions AWS. Chaque clé multi-région est une clé KMS pleinement fonctionnelle qui peut être utilisée indépendamment des clés multi-région associées. Puisque toutes les clés multi-région associées ont le même ID de clé et les mêmes éléments de clé, elles sont interopérables, c'est-à-dire que toute clé multi-région associée dans n'importe quelle Région AWS peut déchiffrer le texte chiffré par toute autre clé multi-région associée.

Vous définissez la propriété multi-région d'une clé KMS lors de sa création. Vous ne pouvez pas modifier propriété multi-région sur une clé existante. Vous ne pouvez pas convertir une clé à région unique en clé multi-région ou convertir une clé multi-région en clé à région unique. Pour déplacer des charges de travail existantes dans des scénarios multi-région, vous devez chiffrer à nouveau vos données ou créer de nouvelles signatures avec de nouvelles clés multi-région.

Une clé multi-région peut être symétrique ou asymétrique et peut utiliser des éléments de clé AWS KMSou des éléments de clé importés. Vous ne pouvez pas créer de clés multi-région dans un magasin de clés personnalisé.

Dans un ensemble de clés multi-région associées, il y a exactement une clé principale à tout moment. Vous pouvez créer des clés de réplica de cette clé principale dans d'autres Régions AWS. Vous pouvez également mettre à jour la région principale, qui transforme la clé principale en clé de réplica et transforme une clé de réplica spécifiée en clé principale. Toutefois, vous ne pouvez conserver qu'une seule clé principale ou clé de réplica dans chaque Région AWS. Toutes les régions doivent être dans la même partition AWS.

Vous pouvez avoir plusieurs ensembles de clés multi-région associées dans la même ou dans plusieurs Régions AWS. Bien que les clés multi-région associées soient interopérables, les clés multi-région non associées ne sont pas interopérables.

Clé primaire

Une clé principale multi-région est une clé KMS qui peut être répliquée dans d'autres Régions AWS de la même partition. Chaque ensemble de clés multi-région ne possède qu'une seule clé principale.

Une clé principale diffère d'une clé de réplica comme suit :

Cependant, les clés principales et les clés de réplica ne diffèrent pas au niveau des propriétés cryptographiques. Vous pouvez utiliser une clé primaire et ses clés de réplica de manière interchangeable.

Vous n'êtes pas tenu de répliquer une clé principale. Vous pouvez l'utiliser comme n'importe quelle clé KMS et la répliquer si elle est utile. Toutefois, étant donné que les clés multi-région ont des propriétés de sécurité différentes de celles des clés à région unique, nous vous recommandons de créer une clé multi-région uniquement lorsque vous envisagez de la répliquer.

Clé de réplica

Une clé de réplica multi-région est une clé KMS qui a les mêmes ID de clé et éléments de clé que sa clé principale et les clés de réplica associées, mais qui existe dans une Région AWS différente.

Une clé de réplica est une clé KMS pleinement fonctionnelle avec ses propres politiques de clé, octrois, alias, balises et autres propriétés. Il ne s'agit pas d'une copie ou d'un pointeur vers la clé principale ou toute autre clé. Vous pouvez utiliser une clé de réplica même si sa clé principale et toutes les clés de réplica associées sont désactivées. Vous pouvez également transformer une clé de réplica en clé principale et une clé principale en clé de réplica. Une fois créée, une clé de réplica s'appuie sur sa clé principale uniquement pour la rotation des clés et la mise à jour de la région principale.

Les clés principales et les clés de réplica ne diffèrent pas au niveau des propriétés cryptographiques. Vous pouvez utiliser une clé primaire et ses clés de réplica de manière interchangeable. Les données chiffrées par une clé principale ou de réplica peuvent être déchiffrées par la même clé, ou par toute clé principale ou de réplica associée.

Répliquer

Vous pouvez répliquer une clé principale multi-région dans une autre Région AWS de la même partition. Dans ce cas, AWS KMS crée une clé de réplica multi-région dans la région spécifiée, avec le même ID de clé et d'autres propriétés partagées en tant que clé primaire. Ensuite, il transporte en toute sécurité les éléments de clé au-delà des limites de la région et les associe à la nouvelle clé de réplica, le tout dans AWS KMS.

Propriétés partagées

Les propriétés partagées sont des propriétés d'une clé principale multi-région qui sont partagées avec ses clés de réplica. AWS KMS crée les clés de réplica avec les mêmes valeurs de propriété partagées que celles de la clé principale. Ensuite, il synchronise périodiquement les valeurs de propriété partagées de la clé principale avec ses clés de réplica. Vous ne pouvez pas définir ces propriétés sur une clé de réplica.

Voici les propriétés partagées des clés multi-région.

Vous pouvez également considérer les désignations principales et de réplica des clés multi-région associées comme des propriétés partagées. Lorsque vous créez de nouvelles clés de réplica ou mettez à jour la clé principale, AWS KMSsynchronise la modification sur toutes les clés multi-région associées. Lorsque ces modifications sont terminées, toutes les clés multi-région associées répertorient avec précision leur clé principale et leurs clés de réplica.

Toutes les autres propriétés des clés multi-région sont des propriétés indépendantes, y compris la description, la politique de clé, les octrois, les états de clé activé et désactivé, les alias et les balises. Vous pouvez définir les mêmes valeurs pour ces propriétés sur toutes les clés multi-région associées, mais si vous modifiez la valeur d'une propriété indépendante, AWS KMS ne la synchronise pas.

Vous pouvez suivre la synchronisation des propriétés partagées de vos clés multi-région. Dans votre journal AWS CloudTrail, recherchez l'événement SynchronizeMultiRegionKey.