Régions de réplica Création de clés de réplica (console)Création d'une clé de réplica (API AWS KMS)

Création de clés de réplica multi-région

Vous pouvez créer une réplique de clé multirégionale dans la AWS KMS console, en utilisant l'ReplicateKeyopération ou en utilisant un AWS CloudFormationmodèle. Vous ne pouvez pas utiliser CreateKeycette opération pour créer une clé de réplique.

Vous pouvez utiliser ces procédures pour répliquer n'importe quelle clé principale multi-région, y compris une clé KMS de chiffrement symétrique, une clé KMS asymétrique ou une clé KMS HMAC.

Lorsque cette opération est terminée, la nouvelle clé de réplica a un état de clé de Creating. Cet état de clé passe à Enabled (ou PendingImport) au bout de quelques secondes lorsque le processus de création de la nouvelle clé de réplique est terminé. Alors que l'état de la clé est Creating, vous pouvez gérer la clé, mais vous ne pouvez pas encore l'utiliser dans les opérations cryptographiques. Si vous créez et utilisez la clé de réplique par programmation, réessayez KMSInvalidStateException ou appelez DescribeKeypour vérifier sa KeyState valeur avant de l'utiliser.

Si vous supprimez par erreur une clé de réplica, vous pouvez utiliser cette procédure pour la recréer. Si vous répliquez la même clé primaire dans la même région, la nouvelle clé de réplica que vous allez créer aura les mêmes propriétés partagées que la clé de réplica d'origine.

Important

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

En savoir plus

Pour créer une clé de réplica multi-région avec des éléments de clé importés, veuillez consulter Création d'une clé de réplica avec des éléments de clé importés.
Pour utiliser un AWS CloudFormation modèle afin de créer une réplique de clé, reportez-vous AWS::KMS::ReplicaKeyau guide de l'AWS CloudFormationutilisateur.

Rubriques

Régions de réplica
Création de clés de réplica (console)
Création d'une clé de réplica (API AWS KMS)

Régions de réplica

Vous choisissez généralement de répliquer une clé multi-région dans une Région AWS en fonction de votre modèle économique et de vos exigences réglementaires. Par exemple, vous pouvez répliquer une clé dans les régions où vous conservez vos ressources. Ou, pour vous conformer à une exigence de reprise après sinistre, vous pouvez répliquer une clé dans des régions géographiquement éloignées.

Les éléments suivants sont les exigences AWS KMS pour les régions de réplica. Si la région que vous choisissez n'est pas conforme à ces exigences, les tentatives de réplication d'une clé échouent.

Une clé multi-région associée par région — Vous ne pouvez pas créer de clé de réplica dans la même région que sa clé principale ou dans la même région qu'un autre réplica de la clé principale.

Si vous essayez de répliquer une clé primaire dans une région qui possède déjà un réplica de cette clé, la tentative échouera. Si la clé de réplica actuelle dans la région affiche l'état de clé PendingDeletion, vous pouvez annuler la suppression de la clé de réplica ou attendre que la clé de réplica soit supprimée.
Plusieurs clés multi-région non associées dans la même région — Vous pouvez avoir plusieurs clés multi-région non associées dans la même région. Vous pouvez par exemple avoir deux clés principales multi-région dans la région us-east-1. Chacune des clés principales peut avoir une clé de réplica dans la région us-west-2.
Régions dans la même partition — La région de clé de réplica doit être dans la même partition AWS que la région de clé principale.
La région doit être activée — Si une région est désactivée par défaut, vous ne pouvez pas créer de ressources dans cette région tant qu'elle n'est pas activée pour votre Compte AWS.

Création de clés de réplica (console)

Dans la console AWS KMS, vous pouvez créer un ou plusieurs réplicas d'une clé principale multi-région dans la même opération.

Cette procédure est similaire à la création d'une clé KMS standard à région unique dans la console. Toutefois, comme une clé de réplica est basée sur la clé principale, vous ne sélectionnez pas de valeurs pour les propriétés partagées, telles que les spécifications (symétrique ou asymétrique), l'utilisation ou l'origine de la clé.

Vous spécifiez des propriétés qui ne sont pas partagées, notamment un alias, des balises, une description et une politique de clé. Par commodité, la console affiche les valeurs de propriété actuelles de la clé principale, mais vous pouvez les modifier. Même si vous conservez les valeurs de clé principale, AWS KMS ne conserve pas ces valeurs synchronisées.

Important

N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.
Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
Dans le volet de navigation, choisissez Clés gérées par le client.
Sélectionnez l'ID de clé ou l'alias d'une clé principale multi-région. Cela ouvre la page des détails de clé pour la clé KMS.

Pour identifier une clé principale multi-région, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne Regionality (Régionalité) dans la table.
Cliquez sur l'onglet Regionality (Régionalité).
Dans la section Related multi-Region keys (Clés multi-région associées), choisissez Create new replica keys (Créer de nouvelles clés de réplica).

La section Related multi-Region keys (Clés multi-région associées) affiche la région de la clé principale et de ses clés de réplica. Vous pouvez utiliser cet affichage pour vous aider à choisir la région pour votre nouvelle clé de réplica.
Sélectionnez une ou plusieurs Régions AWS. Cette procédure crée une clé de réplica dans chacune des régions que vous sélectionnez.

Le menu inclut uniquement les régions dans la même partition AWS que la clé principale. Les régions qui ont déjà une clé multi-région associée sont affichées, mais ne peuvent pas être sélectionnées. Vous n'êtes peut-être pas autorisé à répliquer une clé dans toutes les régions du menu.

Lorsque vous avez terminé de choisir les régions, fermez le menu. Les régions que vous avez choisies s'affichent. Pour annuler la réplication dans une région, cliquez sur le X en regard du nom de la région.
Saisissez un alias pour la clé de réplica.

La console affiche l'un des alias actuels de la clé principale, mais vous pouvez le modifier. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas le même alias ou des alias différents. Les alias ne sont pas une propriété partagée des clés multi-région. AWS KMS ne synchronise pas les alias des clés multi-région.

L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utilisation d'alias pour contrôler l'accès aux clés KMS.
(Facultatif) Saisissez une description de la clé de réplica.

La console affiche la description actuelle de la clé principale, mais vous pouvez la modifier. Les descriptions ne sont pas une propriété partagée des clés multi-région. Vous pouvez donner à votre clé principale multi-région et à ses réplicas la même description ou des descriptions différentes. AWS KMS ne synchronise pas les descriptions de clé des clés multi-région.
(Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour affecter plus d'une balise à la clé de réplica, sélectionnez Add tag (Ajouter une balise).

La console affiche les balises actuellement attachées à la clé principale, mais vous pouvez les modifier. Les balises ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas les mêmes balises ou des balises différentes. AWS KMS ne synchronise pas les balises des clés multi-région.

L'étiquetage ou le désétiquetage d'une clé KMS permet d'accorder ou refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS et Utilisation de balises pour contrôler l'accès aux clés KMS.
Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé de réplica.

Note
Les politiques IAM peuvent accorder à d'autres utilisateurs et rôles IAM l'autorisation de gérer les clés de réplica.
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.

Cette étape démarre le processus de création d'une politique de clé pour la clé de réplica. La console affiche la politique de clé actuelle de la clé principale, mais vous pouvez la modifier. Les politiques de clé ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas la même politique de clé ou des politiques de clé différentes. AWS KMS ne synchronise pas les politiques de clé. Vous pouvez modifier la politique de clé d'une clé KMS à tout moment.
Suivez les étapes de création de la politique de clé, y compris sur la sélection des utilisateurs de clés. Après avoir passé en revue la politique de clé, choisissez Finish (Terminer) pour créer la clé de réplica.

Afficher plus

Afficher moins

Création d'une clé de réplica (API AWS KMS)

Pour créer une clé de réplique multirégionale, utilisez l'ReplicateKeyopération. Vous ne pouvez pas utiliser CreateKeycette opération pour créer une clé de réplique. Cette opération crée une clé de réplica à la fois. La région que vous spécifiez doit respecter les exigences de région pour les clés de réplica.

Lorsque vous utilisez l'opération ReplicateKey, vous ne spécifiez aucune valeur pour les propriétés partagées des clés multi-région. Les valeurs des propriétés partagées sont copiées à partir de la clé principale et leur synchronisation est maintenue. Toutefois, vous pouvez spécifier des valeurs pour les propriétés qui ne sont pas partagées. Sinon, AWS KMS applique les valeurs par défaut standard pour les clés KMS, et non les valeurs de la clé principale.

Note

Si vous ne spécifiez pas de valeurs pour les paramètres Description, KeyPolicy ou Tags, AWS KMS crée la clé de réplica sans balises, une description de chaîne vide et la politique de clé par défaut.

N'incluez pas d'informations confidentielles ou sensibles dans les champs Description ou Tags. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.

Par exemple, la commande suivante crée une clé de réplica multi-région dans la région Asie-Pacifique (Sydney) (ap-southeast-2). Cette clé de réplica est modélisée sur la clé principale de la région USA Est (Virginie du Nord) (us-east-1), qui est identifiée par la valeur du paramètre KeyId. Cet exemple accepte les valeurs par défaut pour toutes les autres propriétés, y compris la politique de clé.

La réponse décrit la nouvelle clé de réplica. Elle inclut des champs pour les propriétés partagées, tels que KeyId, KeySpec, KeyUsage, et l'origine des éléments de clé (Origin). Elle inclut également des propriétés indépendantes de la clé principale, telles que la Description, la politique de clé (ReplicaKeyPolicy), et les balises (ReplicaTags).

La réponse inclut également l'ARN de clé et la région de la clé principale et toutes ses clés de réplica, y compris celle qui vient d'être créée dans la région ap-southeast-2. Dans cet exemple, l'élément ReplicaKey montre que cette clé principale a déjà été répliquée dans la région UE (Irlande) (eu-west-1).


$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}

Afficher plus

Afficher moins

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création de clés principales

Affichage des clés multi-régions