Importar material de chave para chaves de várias regiões - AWS Key Management Service

Importar material de chave para chaves de várias regiões

Você pode importar seu próprio material de chave para chaves de várias regiões. As chaves de várias regiões que você cria com seu próprio material de chave são interoperáveis. Você pode criptografar dados em uma região e descriptografá-los em qualquer outra região com uma chave de várias regiões relacionada.

No entanto, você deve gerenciar o material de chave.

  • AWS KMSO não copia nem sincroniza o material de chave de uma chave primária que contém material de chave importado com suas chaves de réplica. É necessário importar o mesmo material de chave para chaves primárias e de réplica relacionadas.

  • Defina o modelo de validade e as datas de validade para cada chave independentemente ao importar o material de chave. É possível configurar o mesmo modelo de validade e datas de validade diferentes para chaves de várias regiões relacionadas. Se o material de chave se aproximar da data de validade, você deverá reimportá-lo para a chave de várias regiões afetada.

    Os estados chave das chaves de várias regiões relacionadas são independentes uns dos outros. Por exemplo, se o material de chave na chave primária expirar, suas chaves de réplica não serão afetadas.

Os mesmos Requisitos de região para chaves de réplica aplicam-se a chaves de várias regiões com material de chave importado. Se você importar o mesmo material de chave para chaves de região única ou chaves de várias regiões não relacionadas, essas chaves do KMS não serão interoperáveis.

Chaves de várias regiões com material de chave importado devem ser chaves do KMS simétricas com uma origem de material de chave EXTERNA. O AWS KMS não oferece suporte para material de chave importado em chaves do KMS assimétricas ou em chaves do KMS em armazenamentos de chaves personalizados. Além disso, não é possível habilitar a alternância automática de chaves de qualquer chave do KMS com material de chave importado.

Com exceção de seus recursos de várias regiões, chaves de várias regiões com material de chave importado são as mesmas que outras chaves do KMS com material de chave importado. Para obter informações detalhadas sobre como criar e configurar chaves de uma única região com material de chave importado, consulte Sobre o material de chave importada.

Por que nem todas as chaves do KMS com material de chave importado são interoperáveis?

As chaves do KMS de região única com material de chave importado não são interoperáveis, mesmo quando possuem o mesmo material de chave. Quando o AWS KMS usa uma chave do KMS para criptografar dados, ele vincula criptograficamente alguns dos metadados de chave ao texto cifrado. Isso protege o texto cifrado, para que somente a chave do KMS que criptografou os dados possa descriptografá-los.

Chaves de várias regiões foram projetadas para serem interoperáveis. Além de terem o mesmo material de chave, elas têm o mesmo ID de chave e outros metadados. Assim, os textos cifrados que elas geram podem ser descriptografados por qualquer chave de várias regiões relacionada. Como resultado, as propriedades de confiança de chaves de várias regiões são diferentes das de chaves de uma única região. Porém, para alguns clientes, o benefício da descriptografia em várias regiões supera o valor de segurança de um texto cifrado dependente de uma única chave do KMS em uma única Região da AWS.

Criar uma chave primária com material de chave importado

Para criar uma chave primária com material de chave importado, comece criando uma chave primária sem material de chave. Em seguida, importe o material de chave para a chave primária.

O procedimento para criar uma chave primária de várias regiões sem material de chave é quase o mesmo que o procedimento para criar uma chave de região única sem material de chave. A única diferença é que você especifica uma chave de várias regiões e material de chave externo.

As permissões para criar uma chave primária de várias regiões com material de chave importado são as mesmas necessárias para criar uma chave primária de várias regiões com material de chave do AWS KMS, incluindo as permissões kms:CreateKey e iam:CreateServiceLinkedRole em uma política do IAM. Você pode usar as chaves de condição kms:MultiRegionKeyType e kms:KeyOrigin para permitir ou negar permissão para criar chaves primárias de várias regiões com material de chave importado.

Ao criar uma chave primária no console do AWS KMS, use as configurações na seção Advanced options (Opções avançadas). Defina Key material origin (Origem do material de chave) como External (Externa). Defina Multi-Region replication (Replicação em várias regiões) como Allow this key to be replicated into other Regions (Permitir que esta chave seja replicada em outras regiões). Não é possível alterar essas propriedades depois que a chave do KMS é criada.

Ao usar as operações de API, use os parâmetros Origin e MultiRegion para criar uma chave de várias regiões com uma origem de material de chave externa.

$ aws kms create-key --origin EXTERNAL --multi-region true

O resultado é uma chave primária de várias regiões sem material de chave e um estado de chave PendingImport.

Para habilitar essa chave do KMS, baixe uma chave pública e um token de importação, use a chave pública para criptografar seu material de chaves e, em seguida, importe seu material de chaves. Para obter instruções, consulte Importar material de chaves em chaves do AWS KMS.

Criar uma chave de réplica com material de chave importado

Você pode criar uma chave de réplica de várias regiões no console do AWS KMS ou usando as operações de API do AWS KMS. Para replicar uma chave primária de várias regiões com material de chave importado, use o mesmo procedimento usado para criar uma chave de réplica com material de chave do AWS KMS. Porém, o resultado é diferente. Em vez de retornar uma chave de réplica com o mesmo material de chave que a chave primária, o processo de replicação retorna uma chave de réplica sem material de chave e um estado de chave de PendingImport. Para habilitar a chave de réplica, você deve importar o mesmo material de chave para a chave de réplica importada para sua chave primária.

Embora ele não replique o material de chave, o AWS KMS cria a chave de réplica com o mesmo ID de chave, especificação de chave, uso de chave e origem de material de chave que a chave primária. Ele também garante que o material de chave importado para a chave de réplica seja idêntico ao material de chave importado para a chave primária.

Para criar uma chave de réplica com material de chave importado:

  1. Crie uma chave primária de várias regiões com material de chave importado.

  2. Faça uma das coisas a seguir.

    No console do AWS KMS, escolha uma chave primária de várias regiões com material de chave importado. Em seguida, na guia Regionality (Regionalidade), selecione Create new replica keys (Criar novas chaves de réplica). Para obter instruções, consulte Criar chaves de réplica (console).

    Ou use a operação ReplicateKey. Para o parâmetro KeyId, insira o ID da chave ou o ARN da chave de uma chave primária de várias regiões com material de chave importado. Para obter instruções, consulte Criar uma chave de réplica (API do AWS KMS).

  3. Para cada nova chave de réplica, siga as etapas para baixar uma chave pública e um token de importação. Use a chave pública para criptografar o material da chave primária e, em seguida, importe esse material para a chave de réplica. É necessário ter uma chave pública e um token de importação diferentes para cada chave de réplica.

    Se o material de chave que você tentar importar para a chave de réplica não for o mesmo material de chave da sua chave primária, a operação falhará. O AWS KMS não exige que o modelo de validade e as datas de validade sejam coordenados, mas você pode estabelecer regras de negócios para suas chaves de várias regiões. Para obter instruções, consulte Importar material de chaves em chaves do AWS KMS.

Permissões para replicar chaves com materiais de chave importado

Para criar uma chave de réplica com material de chaves importado, você deve ter as permissões a seguir.

Na região da chave primária:

  • kms:ReplicateKey na chave primária (na região da chave primária). Inclua essa permissão na política de chave primária ou em uma política do IAM.

Na região da chave de réplica: