Criar chaves primárias de várias regiões - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar chaves primárias de várias regiões

Você pode criar uma chave primária de várias regiões no console do AWS KMS ou com o uso da API do AWS KMS. Você pode criar a chave primária em qualquer Região da AWS em que o AWS KMS oferece suporte para chaves de várias regiões.

Para criar uma chave primária multirregional, o principal precisa das mesmas permissões necessárias para criar qualquer chave KMS, incluindo a CreateKey permissão kms: em uma política do IAM. O diretor também precisa do objetivo: CreateServiceLinkedRole permissão. Você pode usar a chave de MultiRegionKeyType condição kms: para permitir ou negar permissão para criar chaves primárias multirregionais.

Essas instruções criam uma chave primária de várias regiões com o material de chave gerado pelo AWS KMS. Para criar uma chave primária de várias regiões com material de chave importado, consulte Criar uma chave primária com material de chave importado.

Criar uma chave primária de várias regiões (console)

Para criar uma chave primária de várias regiões no console do AWS KMS, use o mesmo processo que você usaria para criar qualquer chave do KMS. Selecione uma chave de várias regiões em Advanced options (Opções avançadas). Para obter instruções completas, consulte Criar chaves.

Importante

Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Escolha Create key (Criar chave).

  5. Selecione um tipo de chave simétrica ou assimétrica. As chaves simétricas são o padrão.

    Você pode criar chaves simétricas e assimétricas de várias regiões, inclusive chaves do KMS de HMAC de várias regiões, que são simétricas.

  6. Selecione o uso da chave. Encrypt and decrypt (Criptografar e descriptografar) é o padrão.

    Para obter ajuda, consulte Criar chaves, Criar chaves do KMS assimétricas ou Criar chaves do KMS de HMAC.

  7. Expanda Advanced options (Opções avançadas).

  8. Em Key material origin (Origem do material de chave), para que o AWS KMS gere o material chave que as suas chaves primárias e de réplica compartilharão, escolha KMS. Se você estiver importando material de chave para chaves primárias e de réplica, escolha External (Import key material) (Externo [Importar material de chave]).

  9. Em Multi-Region replication (Replicação em várias regiões), escolha Allow this key to be replicated into other Regions (Permitir que esta chave seja replicada em outras regiões).

    Não será possível alterar essa configuração após a criação da chave do KMS.

  10. Digite um alias para a chave primária.

    Aliases não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas o mesmo alias ou alias diferentes. AWS KMS não sincroniza os aliases de chaves de várias regiões.

    nota

    Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar aliases para controlar o acesso a chaves do KMS.

  11. (Opcional) Digite uma descrição da chave primária.

    Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma descrição ou descrições diferentes. O AWS KMS não sincroniza as descrições de chaves de várias regiões.

  12. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para atribuir mais de uma etiqueta à chave primária, selecione Add tag (Adicionar etiqueta).

    Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões. É possível alterar as etiquetas em chaves do KMS a qualquer momento.

    nota

    Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar etiquetas para controlar o acesso a chaves do KMS.

  13. Selecione os usuários e as funções do IAM que podem administrar a chave primária.

    nota

    As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.

    As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

    Essa etapa inicia o processo de criação de uma política de chaves para a chave primária. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma política de chaves ou políticas de chave diferentes. O AWS KMS não sincroniza as políticas de chaves de várias regiões. Você pode alterar a política de chaves de uma chave do KMS a qualquer momento.

  14. Conclua as etapas para criar a política de chaves, incluindo a seleção de usuários de chaves. Após revisar a política de chaves, escolhaFinish (Concluir) para criar a chave do KMS.

Criar uma chave primária de várias regiões (API do AWS KMS)

Para criar uma chave primária multirregional, use a CreateKeyoperação. Use também o parâmetro MultiRegion com um valor de True.

Por exemplo, o comando a seguir cria uma chave primária de várias regiões na Região da AWS (us-east-1) do autor da chamada. Ele aceita valores padrão para todas as outras propriedades, incluindo a política de chaves. Os valores padrão para chaves primárias de várias regiões são os mesmos que os valores padrão para todas as outras chaves do KMS, incluindo a política de chaves padrão. Este procedimento cria uma chave de criptografia simétrica, a chave padrão do KMS.

A resposta inclui o elemento MultiRegion e o elemento MultiRegionConfiguration com subelementos típicos e valores para uma chave primária de várias regiões sem chaves de réplica. O ID de chave de uma chave de várias regiões sempre começa com mrk-.

Importante

Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

$ aws kms create-key --multi-region { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }