Creazione di chiavi primarie multiregionali - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di chiavi primarie multiregionali

È possibile creare una chiave primaria multiregionale nella AWS KMS console o utilizzando. AWS KMS API È possibile creare la chiave primaria Regione AWS ovunque AWS KMS supporti le chiavi multiregionali.

Per creare una chiave primaria multiregionale, il principale necessita delle stesse autorizzazioni di cui ha bisogno per creare qualsiasi KMS chiave, inclusa l'CreateKeyautorizzazione kms: in una policy. IAM Il principale necessita anche dell'autorizzazione iam:. CreateServiceLinkedRole Puoi usare la chiave kms: MultiRegionKeyType condition per consentire o negare l'autorizzazione alla creazione di chiavi primarie multiregionali.

Per creare una chiave primaria multiregionale nella AWS KMS console, utilizza lo stesso processo che utilizzeresti per creare qualsiasi KMS chiave. Seleziona una chiave multiregione in Opzioni avanzate. Per istruzioni complete, consulta Crea una KMS chiave.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Selezionare un tipo di chiave simmetrico o asimmetrico. Le chiavi simmetriche sono le chiavi di default.

    È possibile creare chiavi simmetriche e asimmetriche multiregione, incluse chiavi multiregione, che sono simmetriche. HMAC KMS

  6. Seleziona l'utilizzo della chiave. Encrypt and decrypt (Crittografa e decrittografa) è l'utilizzo di default.

    Per assistenza, consulta le sezioni Crea una KMS chiave, Creare una chiave asimmetrica KMS o Crea una HMAC KMS chiave.

  7. Espandere Advanced options (Opzioni avanzate).

  8. In Origine del materiale chiave, per AWS KMS generare il materiale chiave che condivideranno le chiavi primarie e di replica, scegli. KMS Se importi il materiale della chiave nelle chiavi primarie e di replica, scegli External (Import key material) (Esterna (Importa materiale della chiave)).

  9. In Regionalità, scegli la chiave multiregionale.

    Non puoi modificare questa impostazione dopo aver creato la chiave. KMS

  10. Digita un alias per la chiave primaria.

    Gli alias non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregionale e alle relative repliche lo stesso alias o alias diversi. AWS KMS non sincronizza gli alias delle chiavi multiregionali.

    Nota

    L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave. KMS Per informazioni dettagliate, consulta ABACper AWS KMS e Utilizzate gli alias per controllare l'accesso alle chiavi KMS.

  11. (Facoltativo) Digita una descrizione della chiave primaria.

    Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregionale e alle relative repliche la stessa descrizione o descrizioni diverse. AWS KMS non sincronizza le descrizioni dei tasti delle chiavi multiregionali.

  12. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per assegnare più di un tag alla chiave primaria, scegli Aggiungi tag.

    I tag non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregione. È possibile modificare i tag sui KMS tasti in qualsiasi momento.

    Nota

    L'aggiunta di tag o detag a una KMS chiave può consentire o negare l'autorizzazione alla chiave. KMS Per informazioni dettagliate, consulta ABACper AWS KMS e Utilizzate i tag per controllare l'accesso alle KMS chiavi.

  13. Seleziona IAM gli utenti e i ruoli che possono amministrare la chiave primaria.

    Nota

    IAMle politiche possono concedere ad altri IAM utenti e ruoli l'autorizzazione a gestire la KMS chiave.

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

    Questo passaggio avvia il processo di creazione di una policy chiave per la chiave primaria. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregionale e alle relative repliche la stessa politica chiave o politiche chiave diverse. AWS KMS non sincronizza le politiche chiave delle chiavi multiregionali. È possibile modificare la politica chiave di una KMS chiave in qualsiasi momento.

  14. Completa la procedura per la creazione della policy delle chiavi, inclusa la selezione degli utenti della chiave. Dopo aver esaminato la politica chiave, scegli Fine per creare la KMS chiave.

Per creare una chiave primaria multiregionale, utilizzare l'CreateKeyoperazione. Usa il parametro MultiRegion con valore True.

Ad esempio, il comando seguente crea una chiave primaria multiregionale in quella del chiamante ( Regione AWS us-east-1). Accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave. I valori predefiniti per le chiavi primarie multiregionali sono gli stessi valori predefiniti per tutte le altre KMS chiavi, inclusa la politica delle chiavi predefinita. Questa procedura crea una chiave di crittografia simmetrica, la chiave predefinita. KMS

La risposta include l'elemento MultiRegion e l'elemento MultiRegionConfiguration con sottoelementi e valori tipici per una chiave primaria multiregione senza chiavi di replica. L'ID chiave di una chiave multiregione inizia sempre con mrk-.

Importante

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}