Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de répliques de clés multirégionales
Vous pouvez créer une clé de réplique multirégionale dans la AWS KMS console, en utilisant l'ReplicateKeyopération ou en utilisant un ReplicaKey AWS CloudFormation modèle AWS : : KMS : :. Vous ne pouvez pas utiliser CreateKeycette opération pour créer une clé de réplique.
Lorsque cette opération est terminée, la nouvelle clé de réplica a un état de clé de Creating
. Cet état clé devient Enabled
(ou PendingImport
si vous créez une clé multirégionale avec du matériel clé importé) après quelques secondes lorsque le processus de création de la nouvelle clé de réplique est terminé. Alors que l'état de la clé est Creating
, vous pouvez gérer la clé, mais vous ne pouvez pas encore l'utiliser dans les opérations cryptographiques. Si vous créez et utilisez la clé de réplique par programmation, réessayez KMSInvalidStateException
ou appelez DescribeKeypour vérifier sa KeyState
valeur avant de l'utiliser.
Si vous supprimez par erreur une clé de réplica, vous pouvez utiliser cette procédure pour la recréer. Si vous répliquez la même clé primaire dans la même région, la nouvelle clé de réplica que vous allez créer aura les mêmes propriétés partagées que la clé de réplica d'origine.
Important
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Pour utiliser un AWS CloudFormation modèle afin de créer une réplique de clé, voir AWS: : KMS : ReplicaKey dans le guide de AWS CloudFormation l'utilisateur.
Étape 1 : Choisissez les régions de réplication
Vous choisissez généralement de répliquer une clé multirégionale dans un fichier en Région AWS fonction de votre modèle commercial et des exigences réglementaires. Par exemple, vous pouvez répliquer une clé dans les régions où vous conservez vos ressources. Ou, pour vous conformer à une exigence de reprise après sinistre, vous pouvez répliquer une clé dans des régions géographiquement éloignées.
Les AWS KMS exigences relatives aux régions de réplication sont les suivantes. Si la région que vous choisissez n'est pas conforme à ces exigences, les tentatives de réplication d'une clé échouent.
-
Une clé multi-région associée par région — Vous ne pouvez pas créer de clé de réplica dans la même région que sa clé principale ou dans la même région qu'un autre réplica de la clé principale.
Si vous essayez de répliquer une clé primaire dans une région qui possède déjà un réplica de cette clé, la tentative échouera. Si la clé de réplica actuelle dans la région affiche l'état de clé PendingDeletion, vous pouvez annuler la suppression de la clé de réplica ou attendre que la clé de réplica soit supprimée.
-
Plusieurs clés multi-région non associées dans la même région — Vous pouvez avoir plusieurs clés multi-région non associées dans la même région. Vous pouvez par exemple avoir deux clés principales multi-région dans la région
us-east-1
. Chacune des clés principales peut avoir une clé de réplica dans la régionus-west-2
. Régions dans la même partition — La région de clé de réplica doit être dans la même partition AWS que la région de clé principale.
-
La région doit être activée — Si une région est désactivée par défaut, vous ne pouvez pas créer de ressources dans cette région tant qu'elle n'est pas activée pour votre Compte AWS.
Étape 2 : Création de répliques de clés
Note
Lorsque vous créez des clés de réplique, examinez attentivement les IAM utilisateurs et les rôles que vous sélectionnez pour administrer et utiliser la clé de réplique. IAMles politiques peuvent autoriser d'autres IAM utilisateurs et rôles à gérer la KMS clé.
IAMles meilleures pratiques découragent l'utilisation d'IAMutilisateurs possédant des informations d'identification à long terme. Dans la mesure du possible, utilisez IAM des rôles qui fournissent des informations d'identification temporaires. Pour plus de détails, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.
Dans la AWS KMS console, vous pouvez créer une ou plusieurs répliques d'une clé primaire multirégionale au cours de la même opération.
Cette procédure est similaire à la création d'une KMS clé standard à région unique dans la console. Toutefois, comme une clé de réplica est basée sur la clé principale, vous ne sélectionnez pas de valeurs pour les propriétés partagées, telles que les spécifications (symétrique ou asymétrique), l'utilisation ou l'origine de la clé.
Vous spécifiez des propriétés qui ne sont pas partagées, notamment un alias, des balises, une description et une politique de clé. Par commodité, la console affiche les valeurs de propriété actuelles de la clé principale, mais vous pouvez les modifier. Même si vous conservez les valeurs de la clé primaire, ces valeurs AWS KMS ne sont pas synchronisées.
Important
N'incluez pas d'informations confidentielles ou sensibles dans l'alias, la description ou les balises. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Sélectionnez l'ID de clé ou l'alias d'une clé principale multi-région. La page de détails de la clé s'ouvre KMS alors.
Pour identifier une clé principale multi-région, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne Regionality (Régionalité) dans la table.
-
Cliquez sur l'onglet Regionality (Régionalité).
-
Dans la section Related multi-Region keys (Clés multi-région associées), choisissez Create new replica keys (Créer de nouvelles clés de réplica).
La section Related multi-Region keys (Clés multi-région associées) affiche la région de la clé principale et de ses clés de réplica. Vous pouvez utiliser cet affichage pour vous aider à choisir la région pour votre nouvelle clé de réplica.
-
Sélectionnez une ou plusieurs Régions AWS. Cette procédure crée une clé de réplica dans chacune des régions que vous sélectionnez.
Le menu inclut uniquement les régions situées dans la même AWS partition que la clé primaire. Les régions qui ont déjà une clé multi-région associée sont affichées, mais ne peuvent pas être sélectionnées. Vous n'êtes peut-être pas autorisé à répliquer une clé dans toutes les régions du menu.
Lorsque vous avez terminé de choisir les régions, fermez le menu. Les régions que vous avez choisies s'affichent. Pour annuler la réplication dans une région, cliquez sur le X en regard du nom de la région.
-
Saisissez un alias pour la clé de réplica.
La console affiche l'un des alias actuels de la clé principale, mais vous pouvez le modifier. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas le même alias ou des alias différents. Les alias ne sont pas une propriété partagée des clés multirégionales. AWS KMS ne synchronise pas les alias des clés multirégionales.
L'ajout, la suppression ou la mise à jour d'un alias peuvent autoriser ou refuser l'accès à la KMS clé. Pour plus de détails, veuillez consulter ABACpour AWS KMS et Utiliser des alias pour contrôler l'accès aux clés KMS.
-
(Facultatif) Saisissez une description de la clé de réplica.
La console affiche la description actuelle de la clé principale, mais vous pouvez la modifier. Les descriptions ne sont pas une propriété partagée des clés multi-région. Vous pouvez donner à votre clé primaire multirégionale et à ses répliques la même description ou des descriptions différentes. AWS KMS ne synchronise pas les descriptions des clés multirégionales.
-
(Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour affecter plus d'une balise à la clé de réplica, sélectionnez Add tag (Ajouter une balise).
La console affiche les balises actuellement attachées à la clé principale, mais vous pouvez les modifier. Les balises ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé primaire multirégionale et à ses répliques les mêmes balises ou des balises différentes. AWS KMS ne synchronise pas les balises des clés multirégionales.
Le fait de baliser ou de débaliser une KMS clé peut autoriser ou refuser l'autorisation d'accès à la clé. KMS Pour plus d'informations, consultez ABACpour AWS KMS et Utiliser des balises pour contrôler l'accès aux KMS clés.
-
Sélectionnez les IAM utilisateurs et les rôles qui peuvent administrer la clé de réplique.
Remarques
-
Si vous avez modifié la politique de clé par défaut lors de la création de votre clé primaire multirégionale, la console ne vous demandera pas de sélectionner des administrateurs ou des utilisateurs clés (étapes 11 à 15) lors de la création de la réplique de clés. Dans ce cas, vous devrez ajouter manuellement les autorisations nécessaires pour les administrateurs et les utilisateurs clés à la politique clé en sélectionnant Modifier à l'étape Modifier la politique clé (étape 17).
-
Cette étape démarre le processus de création d'une politique de clé pour la clé de réplica. La console affiche la politique de clé actuelle de la clé principale, mais vous pouvez la modifier. Les politiques de clé ne sont pas une propriété partagée des clés multi-région. Vous pouvez attribuer à votre clé principale multi-région et à ses réplicas la même politique de clé ou des politiques de clé différentes. AWS KMS ne synchronise pas les politiques de clé. Vous pouvez modifier la politique de clé de n'importe quelle KMS clé à tout moment.
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction
"Allow access for Key Administrators"
. La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
-
-
(Facultatif) Pour empêcher les IAM utilisateurs et les rôles sélectionnés de supprimer cette KMS clé, dans la section Suppression de clé en bas de page, désactivez la case à cocher Autoriser les administrateurs des clés à supprimer cette clé.
-
Choisissez Suivant.
-
Sélectionnez les IAM utilisateurs et les rôles autorisés à utiliser la KMS clé pour les opérations cryptographiques.
Remarque
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration
"Allow use of the key"
et"Allow attachment of persistent resources"
. La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction. -
(Facultatif) Vous pouvez autoriser d'autres Comptes AWS utilisateurs à utiliser cette KMS clé pour des opérations cryptographiques. Pour cela, dans la section Autres Comptes AWS en bas de la page, sélectionnez Ajouter un autre Compte AWS et saisissez le numéro d'identification Compte AWS d'un compte externe. Pour ajouter plusieurs comptes externes, répétez cette étape.
Note
Pour permettre aux principaux des comptes externes d'utiliser la KMS clé, les administrateurs du compte externe doivent créer des IAM politiques fournissant ces autorisations. Pour de plus amples informations, veuillez consulter Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.
-
Choisissez Suivant.
-
Passez en revue les principales déclarations de politique pour la clé. Pour apporter des modifications à la politique clé, sélectionnez Modifier.
-
Choisissez Suivant.
-
Passez en revue les paramètres de clé que vous avez choisis. Vous pouvez toujours revenir en arrière et modifier tous les paramètres.
-
Choisissez Terminer pour créer la clé de réplique multirégionale.
Pour créer une clé de réplique multirégionale, utilisez l'ReplicateKeyopération. Vous ne pouvez pas utiliser CreateKeycette opération pour créer une clé de réplique. Cette opération crée une clé de réplica à la fois. La région que vous spécifiez doit respecter les exigences de région pour les clés de réplica.
Lorsque vous utilisez l'opération ReplicateKey
, vous ne spécifiez aucune valeur pour les propriétés partagées des clés multi-région. Les valeurs des propriétés partagées sont copiées à partir de la clé principale et leur synchronisation est maintenue. Toutefois, vous pouvez spécifier des valeurs pour les propriétés qui ne sont pas partagées. Dans le cas contraire, AWS KMS applique les valeurs par défaut standard pour KMS les clés, et non les valeurs de la clé primaire.
Note
Si vous ne spécifiez pas de valeurs pour le Description
KeyPolicy
, ou Tags
les paramètres, AWS KMS crée la clé de réplique avec une description sous forme de chaîne vide, la politique de clé par défaut et aucune balise.
N'incluez pas d'informations confidentielles ou sensibles dans les champs Description
ou Tags
. Ces champs peuvent apparaître en texte brut dans CloudTrail les journaux et autres sorties.
Par exemple, la commande suivante crée une clé de réplica multi-région dans la région Asie-Pacifique (Sydney) (ap-southeast-2). Cette clé de réplica est modélisée sur la clé principale de la région USA Est (Virginie du Nord) (us-east-1), qui est identifiée par la valeur du paramètre KeyId
. Cet exemple accepte les valeurs par défaut pour toutes les autres propriétés, y compris la politique de clé.
La réponse décrit la nouvelle clé de réplica. Elle inclut des champs pour les propriétés partagées, tels que KeyId
, KeySpec
, KeyUsage
, et l'origine des éléments de clé (Origin
). Elle inclut également des propriétés indépendantes de la clé principale, telles que la Description
, la politique de clé (ReplicaKeyPolicy
), et les balises (ReplicaTags
).
La réponse inclut également la clé ARN et la région de la clé primaire et toutes ses clés de réplique, y compris celle qui vient d'être créée dans la région ap-southeast-2. Dans cet exemple, l'élément ReplicaKey
montre que cette clé principale a déjà été répliquée dans la région UE (Irlande) (eu-west-1).
aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2
$
{ "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }