Criar chaves primárias de várias regiões - AWS Key Management Service

Criar chaves primárias de várias regiões

Você pode criar uma chave primária de várias regiões no console do AWS KMS ou com o uso da API do AWS KMS. Você pode criar a chave primária em qualquer Região da AWS em que o AWS KMS oferece suporte para chaves de várias regiões.

Para criar uma chave primária de várias regiões, a entidade principal precisa das mesmas permissões necessárias para criar qualquer chave do KMS, incluindo a permissão kms:CreateKey em uma política do IAM. A entidade principal também precisa da permissão iam:CreateServiceLinkedRole. Você pode usar a chave de condição kms:MultiRegionKeyType para permitir ou negar permissão para criar chaves primárias de várias regiões.

Para criar uma chave primária de várias regiões no console do AWS KMS, use o mesmo processo que você usaria para criar qualquer chave do KMS. Selecione uma chave de várias regiões em Advanced options (Opções avançadas). Para obter instruções completas, consulte Criar uma chave do KMS.

Importante

Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples nos logs do CloudTrail e em outras saídas.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Escolha Create key (Criar chave).

  5. Selecione um tipo de chave simétrica ou assimétrica. As chaves simétricas são o padrão.

    Você pode criar chaves simétricas e assimétricas de várias regiões, inclusive chaves do KMS de HMAC de várias regiões, que são simétricas.

  6. Selecione o uso da chave. Encrypt and decrypt (Criptografar e descriptografar) é o padrão.

    Para obter ajuda, consulte Criar uma chave do KMS, Criar uma chave do KMS assimétrica ou Criar uma chave do KMS HMAC.

  7. Expanda Advanced options (Opções avançadas).

  8. Em Key material origin (Origem do material de chave), para que o AWS KMS gere o material chave que as suas chaves primárias e de réplica compartilharão, escolha KMS. Se você estiver importando material de chave para chaves primárias e de réplica, escolha External (Import key material) (Externo [Importar material de chave]).

  9. Em Regionalidade, escolha Chave de várias regiões.

    Não será possível alterar essa configuração após a criação da chave do KMS.

  10. Digite um alias para a chave primária.

    Aliases não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas o mesmo alias ou alias diferentes. AWS KMS não sincroniza os aliases de chaves de várias regiões.

    nota

    Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar aliases para controlar o acesso a chaves do KMS.

  11. (Opcional) Digite uma descrição da chave primária.

    Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma descrição ou descrições diferentes. O AWS KMS não sincroniza as descrições de chaves de várias regiões.

  12. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para atribuir mais de uma etiqueta à chave primária, selecione Add tag (Adicionar etiqueta).

    Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões. É possível alterar as etiquetas em chaves do KMS a qualquer momento.

    nota

    Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar tags para controlar o acesso a chaves do KMS.

  13. Selecione os usuários e as funções do IAM que podem administrar a chave primária.

    nota

    As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.

    As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

    Essa etapa inicia o processo de criação de uma política de chaves para a chave primária. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma política de chaves ou políticas de chave diferentes. O AWS KMS não sincroniza as políticas de chaves de várias regiões. Você pode alterar a política de chaves de uma chave do KMS a qualquer momento.

  14. Conclua as etapas para criar a política de chaves, incluindo a seleção de usuários de chaves. Após revisar a política de chaves, escolhaFinish (Concluir) para criar a chave do KMS.

Para criar uma chave primária de várias regiões, use a operação CreateKey. Use também o parâmetro MultiRegion com um valor de True.

Por exemplo, o comando a seguir cria uma chave primária de várias regiões na Região da AWS (us-east-1) do autor da chamada. Ele aceita valores padrão para todas as outras propriedades, incluindo a política de chaves. Os valores padrão para chaves primárias de várias regiões são os mesmos que os valores padrão para todas as outras chaves do KMS, incluindo a política de chaves padrão. Este procedimento cria uma chave de criptografia simétrica, a chave padrão do KMS.

A resposta inclui o elemento MultiRegion e o elemento MultiRegionConfiguration com subelementos típicos e valores para uma chave primária de várias regiões sem chaves de réplica. O ID de chave de uma chave de várias regiões sempre começa com mrk-.

Importante

Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples nos logs do CloudTrail e em outras saídas.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}