Como gerenciar chaves de várias regiões - AWS Key Management Service

Como gerenciar chaves de várias regiões

Para a maioria das ações, você gerencia as chaves de várias regiões da mesma maneira que usa e gerencia as chaves de uma única região. Você pode habilitar e desabilitar as chaves, definir e atualizar aliases, políticas de chaves, concessões e etiquetas. No entanto, o gerenciamento de chaves de várias regiões difere das seguintes maneiras.

A propriedade de várias regiões definida quando uma chave do KMS é criada é imutável. Não é possível converter uma chave de região única em chave de várias regiões nem converter uma chave de várias regiões em uma chave de região única.

Atualizar a região primária

Todos os conjuntos de chaves de várias regiões relacionadas devem ter uma chave primária. Porém, você pode alterar a chave primária. Esta ação, conhecida como atualizar a região primária, converte a chave primária atual em uma chave de réplica e converte uma das chaves de réplica relacionadas na chave primária. Você pode fazer isso quando precisa excluir a chave primária atual enquanto mantém as chaves de réplica ou para localizar a chave primária na mesma região que seus administradores de chave.

Você pode selecionar qualquer chave de réplica relacionada para ser a nova chave primária. Tanto a chave primária quanto a chave de réplica devem estar no estado de chave Enabled quando a operação começar.

Mesmo após a conclusão dessa operação, o processo de atualização da região primária pode permanecer em andamento por mais alguns segundos. Durante esse tempo, as chaves primárias antigas e novas têm um estado de chave transitório Updating (Atualizando). Enquanto o estado de chave é Updating, você pode usar as chaves em operações de criptografia, mas não pode replicar a nova chave primária ou realizar certas operações de gerenciamento, como habilitar ou desabilitar essas chaves. Operações como DescribeKey podem mostrar as chaves primárias antigas e novas como réplicas. O estado de chave Enabled será restaurado quando a atualização estiver concluída.

Suponha que você tenha uma chave primária no Leste dos EUA (Norte da Virgínia) (us-east-1) e uma chave de réplica na Europa (Irlanda) (eu-west-1). É possível usar o recurso de atualização para transformar a chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1) em uma chave de réplica e transformar a chave de réplica na Europa (Irlanda) (eu-west-1) na chave primária.


                Atualizar a chave primária

Quando o processo de atualização for concluído, a chave de várias regiões na região Europa (Irlanda) (eu-west-1) é uma chave primária de várias regiões, enquanto a chave na região Leste dos EUA (Norte da Virgínia) (us-east-1) é sua chave de réplica. Se houver outras chaves de réplica relacionadas, elas se tornarão réplicas da nova chave primária. Da próxima vez que o AWS KMS sincronizar as propriedades compartilhadas das chaves de várias regiões, ele obterá as propriedades compartilhadas da nova chave primária e as copiará para suas chaves de réplica, incluindo a chave primária anterior.

A operação de atualização não surte efeito no ARN de chave de chaves de várias regiões. Ela também não surte efeito em propriedades compartilhadas, como material de chave, ou em propriedades independentes, como política de chaves. Porém, talvez você queira Aatualizar a política de chaves da nova chave primária. Por exemplo, talvez você queira adicionar a permissão kms:ReplicateKey para entidades confiáveis para a nova chave primária e remova-a da nova chave de réplica.

O estado de chave Updating

O processo de atualização de uma região primária demora um pouco mais que o breve atraso de consistência final que afeta a maioria das operações do AWS KMS. O processo ainda pode estar em andamento após o retorno da operação UpdatePrimaryRegion ou depois de você concluir o procedimento de atualização no console. Operações como DescribeKey podem mostrar as chaves primárias antigas e novas como réplicas até que o processo seja concluído.

Durante o processo de atualização da região primária, a chave primária antiga e a nova chave primária estão no estado de chave Updating. Quando o processo de atualização for concluído com êxito, ambas as chaves retornam para o estado de chave Enabled. Durante o estado Updating, algumas operações de gerenciamento, como habilitar e desabilitar chaves, não estão disponíveis. No entanto, você pode continuar a usar as duas chaves em operações de criptografia sem interrupção. Para obter informações sobre o efeito do estado de chave Updating, consulte Estados das chaves do AWS KMS.

Atualizar uma região primária (console)

É possível atualizar a chave primária no console do AWS KMS. Comece na página de detalhes de chaves da chave primária atual.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Selecione o ID de chave ou alias da chave primária de várias regiões. Isso abre a página de detalhes da chave primária.

    Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna Regionality (Regionalidade) à tabela.

  5. Escolha a guia Regionality (Regionalidade).

  6. Na seção Primary key (Chave primária), escolha Change primary Region (Alterar região primária).

  7. Escolha a região da nova chave primária. Você só pode escolher uma região no menu.

    O menu Change primary Regions (Alterar regiões primárias) inclui apenas regiões que têm uma chave de várias regiões relacionada. Você pode não ter permissão para atualizar a região primária em todas as regiões no menu.

  8. Escolha Alterar região primária.

Atualizar uma região primária (API do AWS KMS)

Para alterar a chave primária em um conjunto de chaves de várias regiões relacionadas, use a operação UpdatePrimaryRegion.

Usar o parâmetro KeyId para identificar a chave primária atual. Usar o parâmetro PrimaryRegion para indicar a Região da AWS da nova chave primária. Se a chave primária ainda não tiver uma réplica na nova região primária, a operação falhará.

O exemplo a seguir altera a chave primária da chave de várias regiões na região us-west-2 para sua réplica na região eu-west-1. O parâmetro KeyId identifica a chave primária atual na região us-west-2. O parâmetro PrimaryRegion especifica a Região da AWS da nova chave primária, eu-west-1.

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

Quando bem-sucedida, essa operação não retorna saída; apenas o código de status HTTP. Para ver o efeito, chame a operação DescribeKey em qualquer uma das chaves de várias regiões. Talvez você queira esperar até que o estado da chave volte a ser Enabled. Enquanto estado da chave é Updating (Atualizando), os valores da chave ainda podem estar em fluxo.

Por exemplo, a seguinte chamada DescribeKey obtém os detalhes sobre a chave de várias regiões na região eu-west-1. A saída mostra que a chave de várias regiões na região eu-west-1 é agora a chave primária. A chave de várias regiões relacionada (mesma ID de chave) na região us-west-2 agora é uma chave de réplica.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

Alternância de chaves de várias regiões

Você pode habilitar e desabilitar a alternância automática do material de chave em chaves de várias regiões. A alternância automática de chaves é um propriedade compartilhada de chaves de várias regiões.

Você habilita e desabilita a alternância automática de chaves somente na chave primária.

  • Quando o AWS KMS sincroniza as chaves de várias regiões, ele copia a configuração da propriedade de alternância de chaves da chave primária para todas as chaves de réplica relacionadas.

  • Quando o AWS KMS alterna o material de chave, ele cria novo material de chave para a chave primária e, em seguida, copia o novo material de chave entre limites de região para todas as chaves de réplica relacionadas. O material de chave nunca sai do AWS KMS sem criptografia. Essa etapa é cuidadosamente controlada para garantir que o material de chave seja totalmente sincronizado antes que qualquer chave seja usada em uma operação criptográfica.

  • O AWS KMS não criptografa dados com o novo material de chave até que esse material esteja disponível na chave primária e em cada uma de suas chaves de réplica.

  • Quando você replica uma chave primária que foi alternada, a nova chave de réplica tem o material de chave atual e todas as versões anteriores do material de chave para suas chaves de várias regiões relacionadas.

Esse padrão garante que as chaves de várias regiões relacionadas sejam totalmente interoperáveis. Qualquer chave de várias regiões pode descriptografar qualquer texto cifrado por uma chave de várias regiões relacionada, mesmo que esse texto cifrado tenha sido criptografado antes de a chave ser criada.

A alternância de chaves automática não tem suporte em chaves do KMS assimétricas ou em chaves do KMS com material de chave importado. Para obter informações sobre a alternância automática de chaves e instruções para habilitá-la e desabilitá-la, consulte Alternar AWS KMS keys.

Fazer download de chaves públicas

Quando você cria uma chave do KMS assimétrica de várias regiões, o AWS KMS cria um par de chaves RSA ou de curvas elípticas (ECC) para a chave primária. Em seguida, ele copia esse par de chaves para cada réplica da chave primária. Como resultado, é possível baixar a chave pública da chave primária ou de qualquer uma de suas chaves de réplica. Você sempre terá o mesmo material de chave.

Para obter informações sobre como baixar e usar chaves públicas fora do AWS KMS, consulte Considerações especiais sobre o download de chaves públicas. Para obter instruções, consulte Fazer download de chaves públicas.