Gestione delle chiavi multiregione - AWS Key Management Service
Aggiornamento della Regione principaleRotazione di chiavi multiregioneDownload delle chiavi pubbliche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle chiavi multiregione

Per la maggior parte delle azioni, gestisci le chiavi multiregione nello stesso modo in cui utilizzi e gestisci le chiavi in una singola Regione. È possibile abilitare e disabilitare le chiavi, impostare e aggiornare alias, policy chiave, concessioni e tag. Tuttavia, la gestione delle chiavi multiregione differisce nei seguenti modi.

La proprietà multi-Regione impostata al momento della creazione di una chiave KMS è immutabile. Non è possibile convertire una chiave a Regione singola in chiave multi-Regione o convertire una chiave multi-Regione in una chiave a Regione singola.

Aggiornamento della Regione principale

Ogni set di chiavi multiregione correlate deve avere una chiave primaria. Ma puoi cambiare la chiave primaria. Questa azione, nota come aggiornamento della Regione principale, converte la chiave primaria corrente in una chiave di replica e converte una delle chiavi di replica correlate nella chiave primaria. È possibile eseguire questa operazione se è necessario eliminare la chiave primaria corrente mantenendo le chiavi di replica o individuare la chiave primaria nella stessa Regione degli amministratori delle chiavi.

È possibile selezionare qualsiasi chiave di replica correlata come nuova chiave primaria. Sia la chiave primaria che la chiave di replica devono avere come stato della chiave Enabled all'avvio dell'operazione.

Anche al termine di questa operazione, il processo di aggiornamento della Regione primaria potrebbe essere ancora in corso per alcuni secondi. Durante questo periodo, le chiavi primarie vecchie e nuove hanno uno stato di chiave transitorio Aggiornamento in corso. Quando lo stato della chiave è Updating, è possibile utilizzare le chiavi nelle operazioni di crittografia, ma non è possibile replicare la nuova chiave primaria o eseguire determinate operazioni di gestione, ad esempio l'attivazione o la disattivazione di queste chiavi. Operazioni come DescribeKeypotrebbero visualizzare sia la vecchia che la nuova chiave primaria come repliche. Lo stato della chiave Enabled viene ripristinato al termine dell'aggiornamento.

Supponi di avere una chiave primaria negli Stati Uniti orientali (Virginia settentrionale) (us-east-1) e una chiave replica in Europa (Irlanda) (eu-west-1). È possibile utilizzare la funzionalità di aggiornamento per modificare la chiave primaria negli Stati Uniti orientali (Virginia settentrionale) (us-east-1) in una chiave di replica e modificare la chiave di replica in Europa (Irlanda) (eu-west-1) nella chiave primaria.

Aggiornamento della chiave principale

Al termine del processo di aggiornamento, la chiave multiregione nella Regione Europa (Irlanda) (eu-west-1) è una chiave primaria multiregione e la chiave nella Regione Stati Uniti orientali (Virginia) (us-est-1) è la chiave di replica. Se sono presenti altre chiavi di replica correlate, queste diventano repliche della nuova chiave primaria. La prossima volta che AWS KMS sincronizzerà le proprietà condivise delle chiavi multiregionali, otterrà le proprietà condivise dalla nuova chiave primaria e le copierà nelle relative chiavi di replica, inclusa la precedente chiave primaria.

L'operazione di aggiornamento non ha alcun effetto sull'ARN della chiavedi qualsiasi chiave multiregione. Inoltre, non ha alcun effetto sulle proprietà condivise, come il materiale chiave, o sulle proprietà indipendenti, come la policy chiave. Tuttavia, potresti voler aggiornare la policy chiave della nuova chiave primaria. Ad esempio, potresti voler aggiungere kms: ReplicateKey permission for trusted principals alla nuova chiave primaria e rimuoverla dalla nuova chiave di replica.

Stato della chiave Updating

Il processo di aggiornamento di una regione primaria richiede un po' più di tempo rispetto al breve ritardo di coerenza che si ripercuote sulla maggior parte delle operazioni. AWS KMS Il processo potrebbe essere ancora in corso dopo l'operazione UpdatePrimaryRegion o dopo che è stata completata la procedura di aggiornamento nella console. Operazioni come DescribeKeypotrebbero visualizzare sia la vecchia che la nuova chiave primaria come repliche fino al completamento del processo.

Durante il processo di aggiornamento della Regione primaria, la vecchia chiave primaria e la nuova chiave primaria hanno come stato della chiave Updating. Quando il processo di aggiornamento viene completato correttamente, entrambe le chiavi ritornano allo stato della chiave Enabled. Durante lo stato Updating, alcune operazioni di gestione, come l'attivazione e la disattivazione delle chiavi, non sono disponibili. È tuttavia possibile continuare a utilizzare entrambe le chiavi nelle operazioni di crittografia senza interruzioni. Per informazioni sull'effetto dello stato della chiave Updating, consulta Stati chiave delle AWS KMS chiavi.

Aggiornamento di una Regione primaria (console)

È possibile aggiornare la chiave primaria nella AWS KMS console. Inizia nella pagina dei dettagli delle chiavi per la chiave primaria corrente.

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Selezionare l'alias o l'ID chiave della chiave primaria multiregione. In questo modo si apre la pagina dei dettagli delle chiavi per la chiave primaria.

    Per identificare una chiave primaria multiregione, utilizza l'icona dello strumento nell'angolo in alto a destra per aggiungere la colonna Regionalità nella tabella.

  5. Seleziona la tab Regionalità.

  6. Nella sezione Chiave primaria, scegli Modifica Regione primaria.

  7. Scegliere la Regione della nuova chiave primaria. È possibile scegliere una sola Regione dal menu.

    Il menu Modifica Regioni principali include solo le Regioni che dispongono di una chiave multiregione correlata. Potresti non avere l'autorizzazione per aggiornare la Regione primaria in tutte le Regioni del menu.

  8. Scegli Modifica Regione primaria.

Mostra piùMostra meno

Aggiornamento di una regione principale (API)AWS KMS

Per modificare la chiave primaria in un set di chiavi multiregionali correlate, utilizzare l'UpdatePrimaryRegionoperazione.

Usa il parametro KeyId per identificare la chiave primaria corrente. Utilizzate il PrimaryRegion parametro per indicare Regione AWS la nuova chiave primaria. Se la chiave primaria non dispone già di una replica nella nuova Regione primaria, l'operazione ha esito negativo.

Nell'esempio seguente la chiave primaria viene modificata da chiave multiregione nella Regione us-west-2 a sua replica nella Regione eu-west-1. Il parametro KeyId identifica la chiave primaria corrente nella Regione us-west-2. Il PrimaryRegion parametro specifica Regione AWS la nuova chiave primaria,eu-west-1.

$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1

In caso di esito positivo, questa operazione non restituisce alcun output; solo il codice di stato HTTP. Per vedere l'effetto, chiamate l'DescribeKeyoperazione su uno dei tasti multiregione. Potresti dover attendere fino a quando lo stato della chiave ritorna Enabled. Quando lo stato della chiave è Aggiornamento in corso, i valori per la chiave potrebbero essere ancora in flusso.

Ad esempio, la seguente chiamata DescribeKey ottiene i dettagli sulla chiave multiregione nella Regione eu-west-1. L'output indica che la chiave multiregione nella Regione eu-west-1 è ora la chiave primaria. La chiave multiregione correlata (stesso ID chiave) nella Regione us-west-2 è ora una chiave di replica.

$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}
Mostra piùMostra meno

Rotazione di chiavi multiregione

È possibile abilitare e disabilitare la rotazione automatica ed eseguire la rotazione su richiesta del materiale chiave nelle chiavi multiregionali. La rotazione delle chiavi è una proprietà condivisa delle chiavi multiregionali.

Puoi abilitare e disabilitare la rotazione automatica delle chiavi solo sulla chiave primaria. Si avvia la rotazione su richiesta solo sulla chiave primaria.

  • Quando AWS KMS sincronizza le chiavi multiregionali, copia l'impostazione della proprietà di rotazione dei tasti dalla chiave primaria a tutte le relative chiavi di replica.

  • Quando AWS KMS ruota il materiale chiave, crea nuovo materiale chiave per la chiave primaria e quindi copia il nuovo materiale chiave oltre i confini della regione in tutte le chiavi di replica correlate. Il materiale chiave non esce AWS KMS mai non crittografato. Questo passaggio viene controllato con attenzione per garantire che il materiale chiave sia completamente sincronizzato prima che qualsiasi chiave venga utilizzata in un'operazione di crittografia.

  • AWS KMS non cripta alcun dato con il nuovo materiale chiave finché tale materiale chiave non è disponibile nella chiave primaria e in tutte le relative chiavi di replica.

  • Quando si replica una chiave primaria che è stata ruotata, la nuova chiave di replica contiene il materiale chiave corrente e tutte le versioni precedenti del materiale chiave per le relative chiavi multiregione.

Questo modello assicura che le chiavi multiregione correlate siano completamente interoperabili. Qualsiasi chiave multiregione può decrittare qualsiasi testo cifrato crittografato da una chiave multiregione correlata, anche se il testo cifrato è stato crittografato prima della creazione della chiave.

La rotazione automatica delle chiavi non è supportata per le chiavi asimmetriche o le chiavi KMS con materiale chiave importato. Per informazioni sulla rotazione automatica e su richiesta delle chiavi, vedere. Rotante AWS KMS keys

Download delle chiavi pubbliche

Quando crei una chiave KMS asimmetrica multiregionale, AWS KMS crea una coppia di chiavi RSA o a curva ellittica (ECC) per la chiave primaria. Quindi copia quella coppia di chiavi in ogni replica della chiave primaria. Di conseguenza, è possibile scaricare la chiave pubblica dalla chiave primaria o da una qualsiasi delle relative chiavi di replica. Otterrai sempre lo stesso materiale chiave.

Per informazioni sul download e l'utilizzo di chiavi pubbliche all'esterno di, consulta. AWS KMSConsiderazioni speciali per il download delle chiavi pubbliche Per istruzioni, consultare Download delle chiavi pubbliche.