Processo di replica per chiavi multi-regione - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Processo di replica per chiavi multi-regione

AWS KMS utilizza un meccanismo di replica tra regioni per copiare il materiale chiave in una chiave KMS da un HSM in una Regione AWS in un HSM in un'altra Regione AWS. Perché questo meccanismo funzioni, la chiave KMS replicata deve essere una chiave multi-regione. Quando si replica una chiave KMS da una regione all'altra, gli HSM nelle regioni non possono comunicare direttamente perché si trovano in reti isolate. I messaggi scambiati durante la replica tra regioni vengono invece recapitati da un servizio proxy.

Durante la replica tra regioni, ogni messaggio generato da un HSM AWS KMS è firmato crittograficamente tramite unachiave di firma della replica. Le chiavi di firma della replica (RSK, Replication Signing Keys) sono chiavi ECDSA sulla curva NIST P-384. Ogni regione possiede almeno una chiave RSK e la componente pubblica di ogni RSK è condivisa con ogni altra regione nella stessa partizione AWS.

Il processo di replica tra regioni per copiare il materiale chiave dalla regione A alla regione B funziona come segue:

  1. L'HSM nella regione B genera una chiave ECDH effimera sulla curva NIST P-384, la chiave B dell'accordo di replica (RAKB). La componente pubblica della chiave RAKB viene inviata a un HSM nella regione A dal servizio proxy.

  2. L'HSM nella regione A riceve la componente pubblica di RAKB e genera quindi un'altra chiave ECDH effimera sulla curva NIST P-384, la chiave A dell'accordo di replica (RAKA). L'HSM gestisce lo schema di istituzione della chiave ECDH su RAKA e la componente pubblica di RAKB e deriva una chiave simmetrica dall'output, la chiave di replica di wrapping (RWK). La chiave RWK viene utilizzata per crittografare il materiale delle chiavi della chiave KMS multi-regione che viene replicata.

  3. La componente pubblica di RAKA e il materiale chiave crittografato con la RWK vengono inviati all'HSM nella regione B tramite il servizio proxy.

  4. L'HSM nella regione B riceve la componente pubblica di RAKA e il materiale chiave crittografato tramite la RWK. L'HSM deriva da RWK eseguendo lo schema di istituzione della chiave ECDH su RAKB e la componente pubblica di RAKA.

  5. L'HSM nella regione B utilizza la RWK per decrittare il materiale chiave dalla regione A.