Modifier la clé primaire dans un ensemble de clés multirégionales

Chaque ensemble de clés multi-région associées doit posséder une clé principale. Mais vous pouvez changer la clé principale. Cette action, connue sous le nom de mise à jour de la région principale, convertit la clé principale actuelle en clé de réplica et convertit l'une des clés de réplica associées en clé principale. Vous pouvez le faire si vous avez besoin de supprimer la clé principale actuelle tout en conservant les clés de réplica, ou si vous devez localiser la clé principale dans la même région que vos administrateurs de clé.

Vous pouvez sélectionner n'importe quelle clé de réplica associée comme nouvelle clé principale. La clé principale et la clé de réplica doivent être toutes les deux dans l'état de clé Enabled lorsque l'opération démarre.

L'état Updating clé

Même une fois l'UpdatePrimaryRegionopération terminée, le processus de mise à jour de la région principale peut encore être en cours pendant quelques secondes. Pendant ce temps, les anciennes et les nouvelles clés principales ont un état de clé transitoire Updating (Mise à jour en cours). Lorsque l'état de la clé est Updating, vous pouvez utiliser les clés dans les opérations cryptographiques, mais vous ne pouvez pas répliquer la nouvelle clé principale ou effectuer certaines opérations de gestion, telles que l'activation ou la désactivation de ces clés. Des opérations telles que celles DescribeKeysusceptibles d'afficher à la fois les anciennes et les nouvelles clés primaires sous forme de répliques. L'état de la clé Enabled est restauré lorsque la mise à jour est terminée.

Pour plus d'informations sur l'effet de l'état de clé Updating, veuillez consulter États clés des AWS KMS clés.

Comment ça marche

Supposons que vous avez une clé principale dans la région USA Est (Virginie du Nord) (us-east-1) et une clé de réplica dans la région UE (Irlande) (eu-west-1). Vous pouvez utiliser la fonction de mise à jour pour remplacer la clé principale dans la région USA Est (Virginie du Nord) (us-east-1) par une clé de réplica et transformer la clé de réplica dans la région UE (Irlande) (eu-west-1) par la clé principale.

Une fois le processus de mise à jour terminé, la clé multi-région dans la région UE (Irlande) (eu-west-1) est une clé principale multi-région et la clé dans la région USA Est (Virginie du Nord) (us-east-1) est sa clé de réplica. S'il existe d'autres clés de réplica associées, elles deviennent des réplicas de la nouvelle clé principale. La prochaine fois qu'il AWS KMS synchronisera les propriétés partagées des clés multirégionales, il obtiendra les propriétés partagées de la nouvelle clé primaire et les copiera dans ses clés répliques, y compris l'ancienne clé primaire.

L'opération de mise à jour n'a aucun effet sur l'ARN de clé de n'importe quelle clé multi-région. Elle n'a pas non plus d'effet sur les propriétés partagées, telles que les éléments de clé, ni sur les propriétés indépendantes, telles que la politique de clé. Toutefois, vous devrez peut-être mettre à jour la politique de clé de la nouvelle clé principale. Par exemple, vous souhaiterez peut-être ajouter kms : ReplicateKey permission for trusted principals à la nouvelle clé primaire et la supprimer de la nouvelle clé de réplique.

Mettre à jour la région principale

Vous pouvez convertir une clé de réplique en clé primaire, ce qui transforme l'ancienne clé primaire en réplique. Pour mettre à jour la région principale, vous devez disposer de UpdatePrimaryRegion l'autorisation kms : dans les deux régions.

Vous pouvez mettre à jour la région principale dans la AWS KMS console ou en utilisant l'UpdatePrimaryRegionopération.

Vous pouvez mettre à jour la clé primaire dans la AWS KMS console. Commencez sur la page des détails de la clé principale actuelle.

Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
Dans le volet de navigation, sélectionnez Clés gérées par le client.
Sélectionnez l'ID de clé ou l'alias de la clé principale multi-région. La page des détails de la clé principale s'ouvre.

Pour identifier une clé principale multi-région, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne Regionality (Régionalité) dans la table.
Cliquez sur l'onglet Regionality (Régionalité).
Dans la section Primary key (Clé principale), choisissez Change primary Region (Modifier la région principale).
Choisissez la région de la nouvelle clé principale. Vous ne pouvez choisir qu'une seule région dans le menu.

Le menu Change primary Regions (Modifier les régions principales) n'inclut que les régions associées à une clé multi-région. Vous n'êtes peut-être pas autorisé à mettre à jour la région principale dans toutes les régions du menu.
Choisissez Change primary Region (Modifier la région principale).

Pour modifier la clé primaire dans un ensemble de clés multirégionales associées, utilisez l'UpdatePrimaryRegionopération.

Utilisez le paramètre KeyId pour identifier la clé principale actuelle. Utilisez le PrimaryRegion paramètre pour indiquer Région AWS la nouvelle clé primaire. Si la clé principale n'a pas déjà de réplica dans la nouvelle région principale, l'opération échoue.

L'exemple suivant transforme la clé principale de la clé multi-région dans la région us-west-2 en son réplica dans la région eu-west-1. Le paramètre KeyId identifie la clé principale actuelle dans la région us-west-2. Le PrimaryRegion paramètre spécifie Région AWS la nouvelle clé primaire,eu-west-1.


$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

En cas de succès, cette opération ne renvoie aucune sortie ; seulement le code d'état HTTP. Pour voir l'effet, appelez l'DescribeKeyopération sur l'une des touches multirégions. Vous devrez peut-être attendre que l'état de la clé repasse à Enabled. Pendant que l'état de la clé est Updating (Mise à jour en cours), les valeurs de la clé peuvent toujours être en flux.

Par exemple, l'appel DescribeKey suivant obtient les détails sur la clé multi-région dans la région eu-west-1. La sortie indique que la clé multi-région dans la région eu-west-1 est désormais la clé principale. La clé multi-région associée (même ID de clé) dans la région us-west-2 est désormais une clé de réplica.


$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Faites pivoter les touches manuellement

Suppression des clés