Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Processus de réplication pour clés multi-régions

PDF
RSS
Mode de mise au point
Processus de réplication pour clés multi-régions - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS utilise un mécanisme de réplication entre régions pour copier le contenu clé d'une KMS clé d'un HSM dans un Région AWS vers un HSM dans un autre Région AWS. Pour que ce mécanisme fonctionne, la KMS clé répliquée doit être une clé multirégionale. Lors de la réplication d'une KMS clé d'une région à une autre, HSMs les régions ne peuvent pas communiquer directement, car elles se trouvent dans des réseaux isolés. Au lieu de cela, les messages échangés pendant la réplication entre régions sont délivrés par un service proxy.

Lors de la réplication entre régions, chaque message généré par un AWS KMS HSM est signé cryptographiquement à l'aide d'une clé de signature de réplication. Les clés de signature de réplication (RSKs) sont ECDSA des clés situées sur la courbe NIST P-384. Chaque région en possède au moins uneRSK, et la composante publique de chacune RSK est partagée avec toutes les autres régions de la même AWS partition.

Le processus de réplication entre régions pour copier les éléments de clé de la région A à la région B fonctionne comme suit :

  1. HSMDans la région B, une ECDH clé éphémère est générée sur la courbe NIST P-384, la clé d'accord de réplication B (). RAKB Le composant public de RAKB est envoyé à un HSM dans la région A par le service proxy.

  2. La HSM région A reçoit la composante publique de RAKB puis génère une autre ECDH clé éphémère sur la courbe NIST P-384, la clé d'accord de réplication A (). RAKA HSMExécute le schéma d'établissement des ECDH clés RAKA et le composant public deRAKB, et en déduit une clé symétrique à partir de la sortie, la clé d'encapsulation de réplication (RWK). Le RWK est utilisé pour chiffrer le contenu clé de la clé multirégionale qui est KMS répliquée.

  3. Le composant public RAKA et le matériel clé crypté avec le RWK sont envoyés HSM à la région B via le service proxy.

  4. La HSM région B reçoit le composant public RAKA et le matériel clé chiffré à l'aide duRWK. Cela HSM se fait RWK en exécutant le système d'établissement ECDH clé RAKB et la composante publique deRAKA.

  5. HSMDans la région B, utilisez le RWK pour déchiffrer le contenu clé de la région A.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.