As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Chaves multirregionais em AWS KMS
AWS KMS suporta chaves multirregionais, que são AWS KMS keys diferentes Regiões da AWS e podem ser usadas de forma intercambiável, como se você tivesse a mesma chave em várias regiões. Cada conjunto de chaves multirregionais relacionadas tem o mesmo material de chave e ID de chave, portanto, você pode criptografar dados em uma Região da AWS e descriptografá-las em outra Região da AWS sem precisar recriptografar ou fazer uma chamada entre regiões. AWS KMS
Como todas as KMS chaves, as chaves multirregionais nunca saem AWS KMS sem criptografia. Você pode criar chaves multirregionais simétricas ou assimétricas para criptografia ou assinatura, criar chaves HMAC multirregionais para gerar e verificar HMAC tags e criar chaves multirregionais com material de chave importado ou material de chave gerado. AWS KMS Você deve gerenciar cada chave de várias regiões de maneira independente, incluindo a criação de aliases e tags, a definição de suas principais políticas e concessões e sua habilitação e sua desabilitação seletivas. Você pode usar chaves de várias regiões em todas as operações de criptografia que podem ser feitas com chaves de região única.
As chaves de várias regiões são uma solução flexível e eficiente para vários cenários comuns de segurança de dados.
- Recuperação de desastres
-
Em uma arquitetura de backup e recuperação, as chaves multirregionais permitem que você processe dados criptografados sem interrupção, mesmo no caso de uma Região da AWS interrupção. Os dados mantidos na região de backup podem ser descriptografados nessa região, enquanto os dados recém-criptografados na região de backup podem ser descriptografados na região principal quando esta for restaurada.
- Gerenciamento de dados globais
-
As empresas que operam globalmente precisam de dados distribuídos globalmente que estejam disponíveis de forma consistente entre Regiões da AWS. Você pode criar chaves de várias regiões em todas as regiões nas quais seus dados residem e, em seguida, usar essas chaves como se fossem uma chave de região única, sem a latência de uma chamada entre regiões ou o custo de recriptografar os dados com uma chave diferente em cada região.
- Aplicações de assinatura distribuídas
-
As aplicações que exigem recursos de assinatura entre regiões podem usar chaves de assinatura assimétrica de várias regiões para gerar assinaturas digitais idênticas de maneira consistente e repetida em diferentes Regiões da AWS.
Se você usa o encadeamento de certificados com um único repositório confiável global (para uma única autoridade de certificação (CA) raiz e um intermediário regional CAs assinado pela CA raiz, você não precisa de chaves multirregionais. No entanto, se seu sistema não oferecer suporte a intermediáriosCAs, como assinatura de aplicativos, você poderá usar chaves multirregionais para dar consistência às certificações regionais.
- Aplicações ativas-ativas que abrangem várias regiões
-
Algumas workloads e aplicações podem abranger várias regiões em arquiteturas ativas-ativas. Para essas aplicações, chaves de várias regiões podem reduzir a complexidade, fornecendo o mesmo material de chave para operações simultâneas de criptografia e descriptografia em dados que podem estar se movendo pelos limites da região.
Você pode usar chaves multirregionais com bibliotecas de criptografia do lado do cliente, como a AWS Database Encryption e a criptografia SDK do lado do cliente do Amazon S3. AWS Encryption SDK
AWS os serviços que se integram AWS KMS
Chaves de várias Regiões não são globais. Você cria uma chave primária de várias Regiões e, em seguida, a replica em Regiões selecionadas em uma partição da AWS. Em seguida, você gerencia a chave de várias Regiões em cada Região independentemente. AWS Nem AWS KMS nunca cria ou replica automaticamente chaves multirregionais em qualquer região em seu nome. Chaves gerenciadas pela AWS, as KMS chaves que AWS os serviços criam em sua conta para você, são sempre chaves de região única.
Nas regiões da China, você pode usar o recurso de chave multirregional para replicar KMS chaves na partição das regiões da China ()aws-cn
. Por exemplo, você pode replicar uma chave da região da China (Pequim) para a região da China (Ningxia) ou vice-versa. Ao replicar uma chave de uma região da China para outra, você concorda em usar a AWS Key Management Service da região de destino e cumprir todos os termos de contrato aplicáveis à região de destino. Você não pode replicar uma chave das regiões de Pequim e Ningxia em uma AWS região fora da partição das regiões da China. Da mesma forma, você não pode replicar uma chave de uma região fora da partição das Regiões da China para as Regiões de Pequim e Ningxia.
Não é possível converter uma chave de Região única existente em uma chave de várias Regiões. Esse design garante que todos os dados protegidos com chaves de Região única existentes mantenham as mesmas propriedades de residência e soberania dos dados.
Para a maioria das necessidades de segurança de dados, o isolamento regional e a tolerância a falhas dos recursos regionais tornam as chaves padrão AWS KMS de região única a solução mais adequada. No entanto, quando você precisa criptografar ou assinar dados em aplicações no lado do cliente em várias Regiões, as chaves de várias Regiões podem ser a melhor solução.
Regiões
As chaves multirregionais são suportadas em todos Regiões da AWS os AWS KMS suportes.
Preços e cotas
Cada chave em um conjunto de chaves multirregionais relacionadas conta como uma KMS chave para preços e cotas.AWS KMS as cotas são calculadas separadamente para cada região de uma conta. O uso e o gerenciamento das chaves de várias Regiões em cada Região contam para as cotas para essa Região.
Tipos de KMS chaves compatíveis
Você pode criar os seguintes tipos de KMS chaves multirregionais:
-
Chaves de criptografia KMS simétricas
-
Teclas assimétricas KMS
-
HMACKMSchaves
-
KMSchaves com material de chave importado
Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.
Saiba mais
-
Para saber como controlar o acesso às KMS chaves multirregionais, consulteControlar o acesso a chaves de várias regiões.
-
Para criar KMS chaves primárias multirregionais de qualquer tipo, consulteCriar chaves primárias de várias regiões.
-
Para criar KMS chaves de réplica multirregionais, consulte. Criar chaves de réplica de várias regiões
-
Para atualizar a região primária, consulte Alterar a chave primária em um conjunto de chaves de várias regiões.
-
Para identificar e visualizar KMS chaves multirregionais, consulteIdentificar chaves do KMS de HMAC.
-
Para saber mais sobre considerações especiais sobre a exclusão de KMS chaves multirregionais, consulte. Deleting multi-Region keys
Terminologia e conceitos
Os seguintes termos e conceitos são usados com chaves de várias Regiões.
Chave de várias Regiões
Uma chave multirregional faz parte de um conjunto de KMS chaves com o mesmo ID de chave e material de chave (e outras propriedades compartilhadas) em diferentes Regiões da AWS. Cada chave multirregional é uma chave totalmente funcional que pode ser usada de forma totalmente independente das KMS chaves multirregionais relacionadas. Como todas as chaves multirregionais relacionadas têm o mesmo ID e material de chave, elas são interoperáveis, ou seja, qualquer chave multirregional relacionada em qualquer uma delas Região da AWS pode descriptografar texto cifrado criptografado por qualquer outra chave multirregional relacionada.
Você define a propriedade multirregional de uma KMS chave ao criá-la. Não é possível alterar a propriedade de várias regiões em uma chave existente. Não é possível converter uma chave de região única em chave de várias regiões nem converter uma chave de várias regiões em uma chave de região única. Para mover workloads existentes para cenários de várias regiões, é necessário recriptografar seus dados ou criar novas assinaturas com novas chaves de várias regiões.
Uma chave multirregional pode ser simétrica ou assimétrica e pode usar material chave ou material AWS KMS chave importado. Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.
Em um conjunto de chaves de várias Regiões relacionadas, há exatamente uma chave primária em um determinado momento. Você pode criar chaves de réplica dessa chave primária em outras Regiões da AWS. Também pode atualizar a região primária, o que transforma a chave primária em uma chave de réplica e transforma uma chave de réplica especificada na chave primária. No entanto, você pode manter somente uma chave primária ou chave de réplica em cada uma Região da AWS. Todas as Regiões devem estar na mesma partição da AWS.
Você pode ter diversos conjuntos de chaves de várias regiões relacionadas nas mesmas Regiões da AWS ou em regiões diferentes. Embora chaves de várias Regiões relacionadas sejam interoperáveis, chaves de várias Regiões não relacionadas não são interoperáveis.
Chave primária
Uma chave primária multirregional é uma KMS chave que pode ser replicada em outra Regiões da AWS na mesma partição. Cada conjunto de chaves de várias Regiões tem somente uma chave primária.
Uma chave primária é diferente de uma chave de réplica nos seguintes aspectos:
-
Somente uma chave primária pode ser replicada.
-
A chave primária é a fonte de propriedades compartilhadas de suas chaves de réplica, incluindo o material da chave e o ID da chave.
-
Você pode habilitar e desabilitar a alternância automática de chaves somente em uma chave primária.
-
Você pode programar a exclusão de uma chave primária a qualquer momento. Mas não AWS KMS excluirá uma chave primária até que todas as chaves de réplica sejam excluídas.
Entretanto, as chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente.
Não é necessário replicar uma chave primária. Você pode usá-la da mesma forma que faria com qualquer KMS chave e replicá-la se e quando for útil. No entanto, como chaves de várias Regiões têm propriedades de segurança diferentes das chaves de uma única Região, recomendamos criar uma chave de várias Regiões apenas quando você planeja replicá-la.
Chave de réplica
Uma chave de réplica multirregional é uma KMS chave que tem o mesmo ID de chave e material de chave da chave primária e das chaves de réplica relacionadas, mas existe em outra. Região da AWS
Uma chave de réplica é uma KMS chave totalmente funcional com sua própria política de chaves, concessões, alias, tags e outras propriedades. Ela não é uma cópia ou ponteiro da chave primária ou de qualquer outra chave. Você pode usar uma chave de réplica mesmo quando sua chave primária e todas as chaves de réplica relacionadas estão desabilitadas. Também pode converter uma chave de réplica em uma chave primária, e vice-versa. Depois de criada, uma chave de réplica depende de sua chave primária somente para alternância de chaves e atualização da Região primária.
Chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente. Os dados criptografados por uma chave primária ou uma chave de réplica podem ser descriptografados pela mesma chave ou por qualquer chave primária ou chave de réplica relacionada.
Replicar
Você pode replicar uma chave primária multirregional em outra Região da AWS na mesma partição. Ao fazer isso, AWS KMS cria uma chave de réplica multirregional na região especificada com o mesmo ID de chave e outras propriedades compartilhadas da chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave de réplica, tudo dentro do AWS KMS.
Propriedades compartilhadas
Propriedades compartilhadas são propriedades de uma chave primária multirregional que são compartilhadas com suas chaves de réplica. AWS KMS cria as chaves de réplica com os mesmos valores de propriedade compartilhada da chave primária. Em seguida, ele sincroniza periodicamente os valores das propriedades compartilhadas da chave primária com suas chaves de réplica. Não é possível definir essas propriedades em uma chave de réplica.
Veja a seguir as propriedades compartilhadas de chaves de várias Regiões.
-
ID da chave — (O
Region
elemento da chave ARN é diferente.) -
Especificação da chave e algoritmos de criptografia
-
Alternância da chave automática:: você pode habilitar e desabilitar a alternância automática de chaves somente em uma chave primária. Novas chaves de réplica são criadas com todas as versões do material de chave compartilhado. Para obter detalhes, consulte Rotating multi-Region keys.
-
Alternância sob demanda: você só pode realizar a alternância sob demanda na chave primária. Novas chaves de réplica são criadas com todas as versões do material de chave compartilhado. Para obter detalhes, consulte Rotating multi-Region keys.
Você também pode pensar nemas designações primárias e de réplicas de chaves de várias Regiões relacionadas como propriedades compartilhadas. Quando você cria novas chaves de réplica ou atualiza a chave primária, AWS KMS sincroniza a alteração com todas as chaves multirregionais relacionadas. Quando essas alterações estiverem concluídas, todas as chaves de várias Regiões relacionadas listarão suas chaves primárias e chaves de réplica com precisão.
Todas as outras propriedades das chaves de várias regiões são propriedades independentes, incluindo descrição, política de chaves, concessões, estados de chave habilitadas e desabilitadas, aliases e etiquetas. Você pode definir os mesmos valores para essas propriedades em todas as chaves de várias regiões relacionadas. Porém, se você alterar o valor de uma propriedade independente, o AWS KMS não a sincronizará.
Você pode rastrear a sincronização das propriedades compartilhadas das suas chaves de várias regiões. Em seu AWS CloudTrail registro, procure o SynchronizeMultiRegionKeyevento.