Perché tutte le chiavi KMS con materiale importato non sono interoperabili?Creazione di una chiave primaria con materiale chiave importato Creazione di una chiave di replica con materiale chiave importato

Importazione di materiale chiave in chiavi multiregione

Puoi importare il tuo materiale della chiave in una chiave KMS multi-regione. Le chiavi multiregione create con il tuo materiale chiave sono interoperabili. È possibile crittografare i dati in una Regione e decrittarli in una Regione diversa con una chiave multiregione correlata.

Tuttavia, è necessario gestire il materiale chiave.

AWS KMS non copia o sincronizza il materiale della chiave da una chiave primaria con il materiale chiave importato nelle relative chiavi di replica. È necessario importare lo stesso materiale chiave nelle chiavi primarie e di replica correlate.
È possibile impostare il modello di scadenza e le date di scadenza per ogni chiave in modo indipendente quando si importa il materiale chiave. È possibile configurare lo stesso modello di scadenza o uno stesso modello di scadenza e le date di scadenza per le chiavi multiregione correlate. Se il materiale chiave si avvicina alla data di scadenza, è necessario reimportare il materiale chiave nella chiave multiregione interessata.

Gli stati delle chiavi multiregione correlate sono indipendenti l'una dall'altra. Ad esempio, se il materiale chiave nella chiave primaria scade, le relative chiavi di replica non vengono influenzate.

Gli stessi requisiti per le chiavi di replica si applicano alle chiavi multiregione con materiale chiave importato. Se si importa lo stesso materiale chiave in chiavi di Regioni singole o chiavi multiregione non correlate, queste chiavi KMS sono non interoperabili.

Puoi creare chiavi multi-regione con materiale di chiavi simmetriche, asimmetriche o HMAC. AWS KMS non supporta materiale della chiave importato in archivi di chiavi personalizzate. Inoltre, non puoi abilitare la rotazione automatica delle chiavi di chiavi KMS con materiale chiave importato.

A parte le funzioni multiregione, le chiavi multiregione con materiale chiave importato sono uguali alle altre chiavi KMS con materiale chiave importato. Per ulteriori informazioni sulla creazione e la configurazione di chiavi per singola Regione con materiale chiave importato, consulta Informazioni sul materiale della chiave importato.

Argomenti

Perché tutte le chiavi KMS con materiale importato non sono interoperabili?
Creazione di una chiave primaria con materiale chiave importato
Creazione di una chiave di replica con materiale chiave importato

Perché tutte le chiavi KMS con materiale importato non sono interoperabili?

Le chiavi KMS con materiale importato non sono interoperabili, anche se hanno lo stesso materiale chiave. Quando AWS KMS utilizza una chiave KMS per crittografare i dati, associa crittograficamente alcuni dei metadati chiave al testo cifrato. Questo protegge il testo cifrato in modo che solo la chiave KMS che ha crittografato i dati possa decrittarli.

Le chiavi multiregione sono progettate per essere interoperabili. Oltre ad avere lo stesso materiale chiave, hanno gli stessi ID chiave e altri metadati. Pertanto, i testi cifrati che generano possono essere decrittografati da qualsiasi chiave multiregione correlata. Di conseguenza, le proprietà di trust delle chiavi multiregione sono diverse da quelle delle chiavi della singola Regione. Tuttavia, per alcuni clienti, il vantaggio della decrittografia multiregione supera il valore di sicurezza di un testo cifrato basato su una singola chiave KMS in una singola Regione AWS.

Creazione di una chiave primaria con materiale chiave importato

Per creare una chiave primaria con materiale della chiave importato, inizia creando una chiave KMS senza materiale della chiave. Quando crei la chiave primaria senza materiale della chiave, devi indicare le specifiche della chiave che riflettono il tipo di materiale della chiave da importare. Importa, quindi, il materiale della chiave nella chiave primaria.

La procedura per la creazione di una chiave primaria multiregione senza materiale chiave è quasi la stessa della creazione di una chiave in una singola regione senza materiale chiave. L'unica differenza è che specifichi che la chiave è una chiave multi-regione.

Le autorizzazioni per la creazione di una chiave primaria multiregione con materiale chiave importato sono le stesse richieste per creare una chiave primaria multiregione con materiale AWS KMS chiave, incluse le CreateServiceLinkedRole autorizzazioni kms: CreateKey e iam: in una policy IAM. Puoi utilizzare le chiavi condizionali kms: MultiRegionKeyType e kms: KeyOrigin per consentire o negare l'autorizzazione alla creazione di chiavi primarie multiregionali con materiale chiave importato.

Quando crei una chiave primaria con materiale della chiave importato nella console AWS KMS, utilizza le impostazioni nella sezione Opzioni avanzate. Una volta creata la chiave KMS, non è più possibile modificare queste proprietà.

Imposta Key material origin (Origine del materiale della chiave) su External (Import key material) (Esterna (Importa materiale della chiave)).
Imposta Replica multiregione per consentire la replica di questa chiave in altre Regioni.

Quando si utilizza l'CreateKeyoperazione per creare una chiave primaria con materiale chiave importato, utilizzare i MultiRegion parametri Origin and e specificare e. KeySpec KeyUsage L'esempio seguente crea una chiave KMS EXTERNAL che può importare materiale della chiave ECC_NIST_P384.


$ aws kms create-key --origin EXTERNAL --key-spec ECC_NIST_P384 --key-usage SIGN_VERIFY --multi-region

Il risultato è una chiave primaria multiregione senza materiale chiave e uno stato della chiave PendingImport.

Per abilitare questa chiave KMS, è necessario scaricare una chiave pubblica e importare il token, utilizzare la chiave pubblica per crittografare il materiale chiave e quindi importare il materiale chiave. Per istruzioni, consulta Importazione di materiale chiave per le AWS KMS chiavi.

Creazione di una chiave di replica con materiale chiave importato

È possibile creare una AWS KMSchiave di replica multiregione nella console o utilizzando l'operazione API AWS KMS. Per replicare una chiave primaria multiregione con materiale chiave importato, utilizzare la stessa procedura utilizzata per la creazione di una chiave di replica con materiale chiave AWS KMS Tuttavia, il risultato è diverso. Anziché restituire una chiave di replica con lo stesso materiale chiave della chiave primaria, il processo di replica restituisce una chiave di replica senza materiale chiave e uno stato della chiave PendingImport. Per abilitare la chiave di replica, è necessario importare lo stesso materiale chiave nella chiave di replica importata nella chiave primaria.

Anche se non replica il materiale della chiave, AWS KMS crea la chiave di replica con lo stesso ID chiave, la stessa specifica della chiave, lo stesso utilizzo della chiave e la stessa origine del materiale della chiave della chiave primaria. Garantisce inoltre che il materiale chiave importato nella chiave di replica sia identico a quello importato nella chiave primaria.

Per creare una chiave di replica con materiale chiave importato:

Crea una chiave primaria multiregione con materiale chiave importato.
Scegli una delle seguenti operazioni.

Nella console AWS KMS scegli una chiave primaria multiregione con materiale chiave importato. Quindi, sulla tab Regionalità, scegli Crea nuove chiavi di replica. Per istruzioni, consulta Creazione di chiavi di replica (console).

Oppure utilizzate l'ReplicateKeyoperazione. Per il parametro KeyId, immetti l'ID chiave o l'ARN della chiave di una chiave primaria multiregione con materiale chiave importato. Per istruzioni, consulta Creazione di una chiave di replica (API AWS KMS).
Per ogni nuova chiave di replica, attieniti alla procedura per scaricare una chiave pubblica e importare il token. Utilizza la chiave pubblica per crittografare il materiale della chiave primaria e quindi importare il materiale della chiave primaria nella chiave di replica. Per ciascuna chiave di replica è necessario disporre di una chiave pubblica e di un token di importazione diverso.

Se il materiale chiave che tenti di importare nella chiave di replica non è lo stesso materiale chiave della chiave primaria, l'operazione ha esito negativo. AWS KMS non richiede che il modello di scadenza e le date di scadenza siano coordinate, ma è possibile stabilire regole business per le chiavi multiregione. Per istruzioni, consulta Importazione di materiale chiave per le AWS KMS chiavi.

Autorizzazioni per replicare chiavi con materiali chiave importati

Per creare una chiave di replica con materiale chiave importato, è necessario disporre delle autorizzazioni seguenti.

Nella Regione della chiave primaria:

kms: ReplicateKey sulla chiave primaria (nella regione della chiave primaria). Includi questa autorizzazione nelle policy chiave della chiave primaria o in una policy IAM.

Nella Regione della chiave di replica:

kms: CreateKey in una politica IAM.
km:. GetParametersForImport È possibile includere questa autorizzazione nelle policy chiave della chiave di replica o in una policy IAM.
km:. ImportKeyMaterial È possibile includere questa autorizzazione nelle policy chiave della chiave di replica o in una policy IAM.
kms: TagResource è necessario per assegnare tag durante la replica. Includi questa autorizzazione in una policy IAM nella Regione di replica.
kms: CreateAlias è necessario per replicare una chiave nella console. AWS KMS Per informazioni dettagliate, vedi Controllo dell'accesso agli alias.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione delle chiavi multiregione

Eliminazione di chiavi multiregione