Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Processus de réplication pour clés multi-régions

PDF
RSS
Mode de mise au point
Processus de réplication pour clés multi-régions - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS utilise un mécanisme de réplication entre régions pour copier le contenu clé d'une clé KMS d'un HSM d'un HSM d'un autre Région AWS vers un HSM d'un autre. Région AWS Pour que ce mécanisme fonctionne, la clé KMS qui est répliquée doit être une clé multi-Régions. Lors de la réplication d'une clé KMS d'une région à l'autre, les HSMs régions ne peuvent pas communiquer directement, car elles se trouvent dans des réseaux isolés. Au lieu de cela, les messages échangés pendant la réplication entre régions sont délivrés par un service proxy.

Lors de la réplication entre régions, chaque message généré par un AWS KMS HSM est signé cryptographiquement à l'aide d'une clé de signature de réplication. Les clés de signature de réplication (RSKs) sont des clés ECDSA sur la courbe NIST P-384. Chaque région possède au moins une RSK, et la composante publique de chaque RSK est partagée avec toutes les autres régions de la même AWS partition.

Le processus de réplication entre régions pour copier les éléments de clé de la région A à la région B fonctionne comme suit :

  1. Le HSM de la région B génère une clé ECDH éphémère sur la courbe NIST P-384, Replication Agreement Key B (RAKB). La composante publique de RAKB est envoyée à un HSM de la région A par le service proxy.

  2. Le HSM de la région A reçoit la composante publique de RAKB, puis génère une autre clé ECDH éphémère sur la courbe NIST P-384, Replication Agreement Key A (RAKA). Le HSM exécute le schéma d'établissement de clé ECDH sur RAKA et la composante publique de RAKB, et dérive une clé symétrique de la sortie, la Replication Wrapping Key (RWK). La clé RWK est utilisée pour chiffrer les éléments de clé de la clé KMS multi-régions en cours de réplication.

  3. La composante publique de RAKA et les éléments de clé chiffrés avec la clé RWK sont envoyés au HSM de la région B via le service proxy.

  4. Le HSM de la région B reçoit la composante publique de RAKA et les éléments de clé chiffrés à l'aide de la clé RWK. Le HSM dérive la clé RWK en exécutant le schéma d'établissement de clé ECDH sur RAKB et la composante publique de RAKA.

  5. Le HSM de la région B utilise la clé RWK pour déchiffrer la clé de la région A.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.