As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importar material de chave para chaves de várias regiões
É possível importar seu próprio material de chave para chaves KMS de várias regiões. As chaves de várias regiões que você cria com seu próprio material de chave são interoperáveis. Você pode criptografar dados em uma região e descriptografá-los em qualquer outra região com uma chave de várias regiões relacionada.
No entanto, você deve gerenciar o material de chave.
-
O AWS KMS não copia nem sincroniza o material de chave de uma chave primária que contém material de chave importado com suas chaves de réplica. É necessário importar o mesmo material de chave para chaves primárias e de réplica relacionadas.
-
Defina o modelo de validade e as datas de validade para cada chave independentemente ao importar o material de chave. É possível configurar o mesmo modelo de validade e datas de validade diferentes para chaves de várias regiões relacionadas. Se o material de chave se aproximar da data de validade, você deverá reimportá-lo para a chave de várias regiões afetada.
Os estados chave das chaves de várias regiões relacionadas são independentes uns dos outros. Por exemplo, se o material de chave na chave primária expirar, suas chaves de réplica não serão afetadas.
Os mesmos Requisitos de região para chaves de réplica aplicam-se a chaves de várias regiões com material de chave importado. Se você importar o mesmo material de chave para chaves de região única ou chaves de várias regiões não relacionadas, essas chaves do KMS não serão interoperáveis.
É possível criar chaves de várias regiões com material de chave importado simétrico, assimétrico ou HMAC. O AWS KMS não é compatível com material de chave importado em repositórios de chaves personalizados. Além disso, não é possível habilitar a alternância automática de chaves de qualquer chave do KMS com material de chave importado.
Com exceção de seus recursos de várias regiões, chaves de várias regiões com material de chave importado são as mesmas que outras chaves do KMS com material de chave importado. Para obter informações detalhadas sobre como criar e configurar chaves de uma única região com material de chave importado, consulte Sobre o material de chave importada.
Tópicos
Por que nem todas as chaves do KMS com material de chave importado são interoperáveis?
As chaves do KMS de região única com material de chave importado não são interoperáveis, mesmo quando possuem o mesmo material de chave. Quando o AWS KMS usa uma chave do KMS para criptografar dados, ele vincula criptograficamente alguns dos metadados de chave ao texto cifrado. Isso protege o texto cifrado, para que somente a chave do KMS que criptografou os dados possa descriptografá-los.
Chaves de várias regiões foram projetadas para serem interoperáveis. Além de terem o mesmo material de chave, elas têm o mesmo ID de chave e outros metadados. Assim, os textos cifrados que elas geram podem ser descriptografados por qualquer chave de várias regiões relacionada. Como resultado, as propriedades de confiança de chaves de várias regiões são diferentes das de chaves de uma única região. Porém, para alguns clientes, o benefício da descriptografia em várias regiões supera o valor de segurança de um texto cifrado dependente de uma única chave do KMS em uma única Região da AWS.
Criar uma chave primária com material de chave importado
Para criar uma chave primária com material de chave importado, comece criando uma chave do KMS sem material de chave. Ao criar a chave primária sem material de chave, você deve especificar a especificação da chave que reflete o tipo de material de chave que você planeja importar. Em seguida, importe o material de chave para a chave primária.
O procedimento para criar uma chave primária de várias regiões sem material de chave é quase o mesmo que o procedimento para criar uma chave de região única sem material de chave. A única diferença é que você especifica que a chave é uma chave de várias regiões.
As permissões para criar uma chave primária multirregional com material de chave importado são as mesmas necessárias para criar uma chave primária multirregional com material de AWS KMS chave, incluindo as CreateServiceLinkedRole permissões kms: CreateKey e iam: em uma política do IAM. Você pode usar as chaves de KeyOrigin condição kms: MultiRegionKeyType e kms: para permitir ou negar permissão para criar chaves primárias multirregionais com material de chave importado.
Ao criar uma chave primária com material de chave importado no console do AWS KMS, use as configurações na seção Advanced options (Opções avançadas). Não é possível alterar essas propriedades depois que a chave do KMS é criada.
-
Defina Key material origin (Origem do material-chave) como External (Import key material) (Externa [Importar material-chave]).
-
Defina Multi-Region replication (Replicação em várias regiões) como Allow this key to be replicated into other Regions (Permitir que esta chave seja replicada em outras regiões).
Ao usar a CreateKeyoperação para criar uma chave primária com material de chave importado, use os MultiRegion parâmetros Origin e e especifique o KeySpec e KeyUsage o. O exemplo a seguir cria uma chave EXTERNAL do KMS que pode importar material de chaves ECC_NIST_P384.
$aws kms create-key --origin EXTERNAL --key-specECC_NIST_P384--key-usageSIGN_VERIFY--multi-region
O resultado é uma chave primária de várias regiões sem material de chave e um estado de chave PendingImport.
Para habilitar essa chave do KMS, baixe uma chave pública e um token de importação, use a chave pública para criptografar seu material de chaves e, em seguida, importe seu material de chaves. Para obter instruções, consulte Importação de material chave para AWS KMS chaves.
Criar uma chave de réplica com material de chave importado
Você pode criar uma chave de réplica de várias regiões no console do AWS KMS ou usando as operações de API do AWS KMS. Para replicar uma chave primária de várias regiões com material de chave importado, use o mesmo procedimento usado para criar uma chave de réplica com material de chave do AWS KMS. Porém, o resultado é diferente. Em vez de retornar uma chave de réplica com o mesmo material de chave que a chave primária, o processo de replicação retorna uma chave de réplica sem material de chave e um estado de chave de PendingImport. Para habilitar a chave de réplica, você deve importar o mesmo material de chave para a chave de réplica importada para sua chave primária.
Embora ele não replique o material de chave, o AWS KMS cria a chave de réplica com o mesmo ID de chave, especificação de chave, uso de chave e origem de material de chave que a chave primária. Ele também garante que o material de chave importado para a chave de réplica seja idêntico ao material de chave importado para a chave primária.
Para criar uma chave de réplica com material de chave importado:
-
Crie uma chave primária de várias regiões com material de chave importado.
-
Faça uma das coisas a seguir.
No console do AWS KMS, escolha uma chave primária de várias regiões com material de chave importado. Em seguida, na guia Regionality (Regionalidade), selecione Create new replica keys (Criar novas chaves de réplica). Para obter instruções, consulte Criar chaves de réplica (console).
Ou use a ReplicateKeyoperação. Para o parâmetro
KeyId, insira o ID da chave ou o ARN da chave de uma chave primária de várias regiões com material de chave importado. Para obter instruções, consulte Criar uma chave de réplica (API do AWS KMS). -
Para cada nova chave de réplica, siga as etapas para baixar uma chave pública e um token de importação. Use a chave pública para criptografar o material da chave primária e, em seguida, importe esse material para a chave de réplica. É necessário ter uma chave pública e um token de importação diferentes para cada chave de réplica.
Se o material de chave que você tentar importar para a chave de réplica não for o mesmo material de chave da sua chave primária, a operação falhará. O AWS KMS não exige que o modelo de validade e as datas de validade sejam coordenados, mas você pode estabelecer regras de negócios para suas chaves de várias regiões. Para obter instruções, consulte Importação de material chave para AWS KMS chaves.
Permissões para replicar chaves com materiais de chave importado
Para criar uma chave de réplica com material de chaves importado, você deve ter as permissões a seguir.
Na região da chave primária:
-
kms: ReplicateKey na chave primária (na região da chave primária). Inclua essa permissão na política de chave primária ou em uma política do IAM.
Na região da chave de réplica:
-
kms: CreateKey em uma política do IAM.
-
kms: GetParametersForImport. Essa permissão pode ser incluída na política de chaves da chave de réplica ou em uma política do IAM.
-
kms: ImportKeyMaterial. Essa permissão pode ser incluída na política de chaves da chave de réplica ou em uma política do IAM.
-
kms: TagResource é necessário para atribuir tags durante a replicação. Inclua essa permissão em uma política do IAM na região da réplica.
-
kms: CreateAlias é necessário para replicar uma chave no AWS KMS console. Para obter mais detalhes, consulte Controlar o acesso a aliases.
