Chaves de várias regiões em AWS KMS - AWS Key Management Service

Chaves de várias regiões em AWS KMS

O AWS KMS oferece suporte a chaves de várias regiões, que são AWS KMS keys em diferentes Regiões da AWS que podem ser usadas de maneira alternada, como se você tivesse a mesma chave em várias Regiões. Cada conjunto de chaves de várias regiões relacionadas tem o mesmo material de chave e ID da chave, portanto, você pode criptografar dados em uma Região da AWS e descriptografá-los em uma Região da AWS diferente sem recriptografar ou fazer uma chamada entre regiões para o AWS KMS.

Como todas as chaves do KMS, chaves de várias regiões nunca saem do AWS KMS não criptografadas. Você pode criar chaves de várias regiões simétricas ou assimétricas para criptografia ou assinatura, criar chaves de várias regiões de HMAC para gerar e verificar etiquetas de HMAC, e criar chaves de várias regiões com material de chave importado ou o material de chave que o AWS KMS gera. Você deve gerenciar cada chave de várias regiões de maneira independente, incluindo a criação de aliases e tags, a definição de suas principais políticas e concessões e sua habilitação e sua desabilitação seletivas. Você pode usar chaves de várias regiões em todas as operações de criptografia que podem ser feitas com chaves de região única.

As chaves de várias regiões são uma solução flexível e eficiente para vários cenários comuns de segurança de dados.

Recuperação de desastres

Em uma arquitetura de backup e recuperação, chaves de várias regiões permitem processar dados criptografados sem interrupção, mesmo no caso de uma Interrupção na Região da AWS. Os dados mantidos na região de backup podem ser descriptografados nessa região, enquanto os dados recém-criptografados na região de backup podem ser descriptografados na região principal quando esta for restaurada.

Gerenciamento de dados globais

As empresas que operam globalmente precisam de dados distribuídos globalmente que estejam disponíveis de forma consistente entre Regiões da AWS. Você pode criar chaves de várias regiões em todas as regiões nas quais seus dados residem e, em seguida, usar essas chaves como se fossem uma chave de região única, sem a latência de uma chamada entre regiões ou o custo de recriptografar os dados com uma chave diferente em cada região.

Aplicações de assinatura distribuídas

As aplicações que exigem recursos de assinatura entre regiões podem usar chaves de assinatura assimétrica de várias regiões para gerar assinaturas digitais idênticas de maneira consistente e repetida em diferentes Regiões da AWS.

Se você usar o encadeamento de certificados com um único repositório de confiança global (para uma única autoridade de certificação (CA) raiz e CAs intermediárias regionais assinadas pela CA raiz, você não precisará de chaves de várias regiões. No entanto, se o sistema não for compatível com CAs intermediárias, como assinatura de aplicações, você poderá usar chaves de várias regiões para trazer consistência às certificações regionais.

Aplicações ativas-ativas que abrangem várias regiões

Algumas workloads e aplicações podem abranger várias regiões em arquiteturas ativas-ativas. Para essas aplicações, chaves de várias regiões podem reduzir a complexidade, fornecendo o mesmo material de chave para operações simultâneas de criptografia e descriptografia em dados que podem estar se movendo pelos limites da região.

Você pode usar chaves de várias regiões com bibliotecas de criptografia do lado do cliente, como AWS Encryption SDK, o DynamoDB Encryption Client e a criptografia do Amazon S3 no lado do cliente. Para obter um exemplo de uso de chaves de várias regiões com tabelas globais do Amazon DynamoDB e do DynamoDB Encryption Client, consulte Criptografar dados globais no lado do cliente com chaves de várias regiões do AWS KMS, no Blog de segurança da AWS

Serviços da AWS que se integram ao AWS KMS para criptografia em repouso ou assinaturas digitais atualmente tratam chaves de várias regiões como se fossem chaves de uma única Região. Elas podem reempacotar ou criptografar novamente os dados movidos entre Regiões. Por exemplo, a replicação entre regiões do Amazon S3 descriptografa e recriptografa os dados em uma chave do KMS na Região de destino, mesmo ao replicar objetos protegidos por uma chave de várias Regiões.

Chaves de várias Regiões não são globais. Você cria uma chave primária de várias Regiões e, em seguida, a replica em Regiões selecionadas em uma partição da AWS. Em seguida, você gerencia a chave de várias Regiões em cada Região independentemente. Nem o AWS, nem o AWS KMS cria ou replica automaticamente chaves de várias Regiões em qualquer Região em seu nome. Chaves gerenciadas pela AWS, as chaves do KMS que os serviços da AWS criam na sua conta para você, são sempre chaves de uma única Região.

Não é possível converter uma chave de Região única existente em uma chave de várias Regiões. Esse design garante que todos os dados protegidos com chaves de Região única existentes mantenham as mesmas propriedades de residência e soberania dos dados.

Para a maioria das necessidades de segurança de dados, o isolamento Regional e a tolerância a falhas dos recursos Regionais tornam as chaves de Região única padrão do AWS KMS uma solução bem mais adequada. No entanto, quando você precisa criptografar ou assinar dados em aplicações no lado do cliente em várias Regiões, as chaves de várias Regiões podem ser a melhor solução.

Regiões

Chaves de várias Regiões têm suporte em todas as Regiões da AWS com suporte pelo AWS KMS, com exceção da China (Pequim) e da China (Ningxia).

Preços e cotas

Cada chave em um conjunto de chaves de várias Regiões relacionado conta como uma única chave do KMS para preços e cotas. As cotas do AWS KMS são calculadas separadamente para cada Região de uma conta. O uso e o gerenciamento das chaves de várias Regiões em cada Região contam para as cotas para essa Região.

Tipos de chave do KMS com suporte

É possível criar os seguintes tipos de chaves KMS multirregionais:

  • Chaves do KMS de criptografia simétrica

  • Chaves do KMS assimétricas

  • Chaves do KMS de HMAC

  • Chaves do KMS com material de chave importado

Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.

Considerações de segurança de chaves de várias Regiões

Use uma chave de várias Regiões do AWS KMS apenas quando precisar de uma. Chaves de várias Regiões fornecem uma solução flexível e escalável para workloads que movem dados criptografados entre Regiões da AWS ou que precisam de acesso entre Regiões. Considere usar uma chave de várias Regiões se precisar compartilhar, mover ou fazer backup de dados protegidos entre Regiões ou se precisar criar assinaturas digitais idênticas de aplicações que operam em Regiões diferentes.

No entanto, o processo de criar uma chave de várias Regiões move seu material de chave entre limites de Região da AWS dentro do AWS KMS. O texto criptografado gerado por uma chave de várias Regiões pode ser descriptografado por várias chaves relacionadas em diversas localizações geográficas. Existem também benefícios significativos para serviços e recursos regionalmente isolados. Cada Região da AWS é independente e isolada das outras Regiões. As regiões fornecem tolerância a falhas, estabilidade e resiliência e também podem reduzir a latência. Elas permitem criar recursos redundantes que permanecem disponíveis e não são afetados por uma interrupção em outra Região. No AWS KMS, elas também garantem que cada texto criptografado possa ser descriptografado por somente uma chave.

As chaves de várias Regiões também levantam novas considerações de segurança:

  • É mais complexo controlar o acesso e impor a política de segurança de dados com chaves de várias Regiões. Você precisa garantir que a política seja auditada de maneira consistente na chave entre várias regiões isoladas. Também precisa usar políticas para impor limites, em vez de depender de chaves separadas.

    Por exemplo, você precisa definir condições de políticas nos dados para evitar que equipes de folha de pagamento em uma região possam ler dados de folha de pagamento de uma Região diferente. Além disso, você deve usar o controle de acesso para evitar um cenário em que uma chave de várias Regiões em uma Região protege os dados de um locatário e uma chave de várias Regiões relacionada em outra Região protege os dados de um locatário diferente.

  • A auditoria de chaves entre Regiões também é mais complexa. Com chaves de várias Regiões, você precisa examinar e reconciliar atividades de auditoria em várias Regiões para obter uma compreensão completa das principais atividades em dados protegidos.

  • A conformidade com exigências de residência de dados pode ser mais complexa. Com Regiões isoladas, você garante a conformidade da residência de dados e a soberania dos dados. As chaves do KMS em uma determinada Região podem descriptografar dados sigilosos somente nessa Região. Os dados criptografados em uma Região permanecem protegidos e inacessíveis em qualquer outra Região.

    Para verificar a residência e a soberania dos dados com chaves de várias Regiões, implemente políticas de acesso e compile eventos do AWS CloudTrail em várias Regiões.

Para facilitar o gerenciamento do controle de acesso em chaves de várias Regiões, a permissão para replicar uma chave de várias Regiões (KMS:ReplicateKey) é diferente da permissão padrão para criar chaves (kms:CreateKey). Além disso, o AWS KMS oferece suporte a diversas condições de política para chaves de várias Regiões, incluindo kms:MultiRegion, que permite ou nega permissão para criar, usar ou gerenciar chaves de várias Regiões, e kms:ReplicaRegion, que restringe as Regiões nas quais uma chave de várias Regiões pode ser replicada. Para obter mais detalhes, consulte Controlar o acesso a chaves de várias Regiões.

Como funcionam chaves de várias Regiões

Comece criando uma chave primária de várias Regiões simétrica ou assimétrica em uma Região da AWS com suporte pelo AWS KMS, como Leste dos EUA (Norte da Virgínia). Você decide se uma chave é de Região única ou de várias Regiões apenas ao criá-la. Não será possível alterar essa propriedade mais tarde. Como em qualquer chave do KMS, você define uma política de chave para a chave de várias Região, além de poder criar concessões e adicionar aliases e tags para categorização e autorização. (Estas são propriedades independentes que não são compartilhadas ou sincronizadas com outras chaves.) Você pode usar sua chave primária de várias Regiões em operações de criptografia para criptografia ou assinatura.

Você pode criar uma chave primária de várias Regiões no console do AWS KMS ou usando a API CreateKey com o parâmetro MultiRegion definido como true. Observe que chaves de várias Regiões têm um ID de chave distintivo que começa com mrk-. É possível usar o prefixo mrk- para identificar MRKs de maneira programática.

Se escolher, você pode replicar a chave primária de várias Regiões em uma ou mais Regiões da AWS diferentes na mesma partição da AWS, como Europa (Irlanda). Ao fazer isso, o AWS KMS cria uma chave de réplica na Região especificada com o mesmo ID de chave e outros propriedades compartilhadas como a chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave do KMS na Região de destino, tudo dentro do AWS KMS. O resultado são duas chaves de várias Regiões relacionados, uma chave primária e uma chave de réplica, que podem ser usadas de maneira intercambiável.

Você pode criar uma chave de réplica de várias Regiões no console do AWS KMS ou usando a API ReplicateKey.

A chave de réplica de várias Regiões resultante é uma chave do KMS totalmente funcional com as mesmas propriedades compartilhadas que a chave primária. Em todos os outros aspectos, ela é uma chave do KMS independente com sua própria descrição, política de chave, concessões, aliases e etiquetas. Habilitar ou desabilitar uma chave de várias Regiões não tem efeito sobre chaves de várias Regiões relacionadas. Você pode usar as chaves primárias e de réplica independentemente em operações de criptografia ou coordenar seu uso. Por exemplo, você pode criptografar dados com a chave primária na região Leste dos EUA (Norte da Virgínia), mover os dados até a região Europa (Irlanda) e usar a chave de réplica para descriptografar esses dados.

Chaves de várias Regiões relacionadas têm o mesmo ID de chave. Seus ARNs (Nomes de recursos Amazon) de chave diferem apenas no campo Região. Por exemplo, a chave primária e as chaves de réplica de várias Regiões podem ter os seguintes ARNs de chave de exemplo. O ID da chave, o último elemento no ARN da chave, é idêntico. Ambas as chaves têm o ID de chave distinto de chaves de várias regiões, que começa com mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

Ter o mesmo ID de chave é um requisito para interoperabilidade. Durante a criptografia, o AWS KMS vincula o ID da chave do KMS ao texto criptografado para que este último possa ser descriptografado somente com essa chave do KMS ou com uma chave do KMS com o mesmo ID de chave. Esse recurso também torna as chaves de várias Regiões relacionadas fáceis de reconhecer e facilita sua utilização intercambiável. Por exemplo, ao usá-las em uma aplicação, você pode fazer referência a chaves de várias Regiões relacionadas com base no ID de chave compartilhada. Em seguida, se necessário, especifique a Região ou o ARN para diferenciá-las.

À medida que suas necessidades de dados mudarem, você poderá replicar a chave primária para outras Regiões da AWS na mesma partição, como Oeste dos EUA (Oregon) e Ásia-Pacífico (Sydney). O resultado são quatro chaves de várias Regiões relacionados com o mesmo material de chave e IDs de chave, como mostra o seguinte diagrama. Você gerencia as chaves de maneira independente. Elas podem ser usadas de maneira independente ou coordenada. Por exemplo, é possível criptografar dados com a chave de réplica na região Ásia-Pacífico (Sydney), mover os dados para a região Oeste dos EUA (Oregon) e descriptografá-los com a chave de réplica na região Oeste dos EUA (Oregon).


                As chaves primárias e de réplica em uma chave de várias Regiões

Outras considerações para chaves de várias Regiões incluem as seguintes.

Sincronização de propriedades compartilhadas: se uma propriedade compartilhada das chaves de várias Regiões mudar, o AWS KMS sincronizará automaticamente a alteração a partir da chave primária com todas as suas chaves de réplica. Não é possível solicitar ou forçar uma sincronização de propriedades compartilhadas. O AWS KMS detecta e sincroniza todas as alterações para você. No entanto, é possível auditar a sincronização usando o evento SynchronizeMultiRegionKey nos logs do CloudTrail.

Por exemplo, se você habilitar a alternância automática de chaves em uma chave primária simétrica de várias Regiões, o AWS KMS copiará essa configuração para todas as suas chaves de réplica. Quando o material de chave é alternado, a alternância é sincronizada entre todas as chaves de várias Regiões relacionadas, para que elas continuem a ter o mesmo material de chave atual e também acesso a todas as versões mais antigas do material de chave. Se você criar uma nova chave de réplica, ela terá o mesmo material de chave atual de todas as chaves de várias Regiões relacionadas e terá acesso a todas as versões anteriores do material de chave. Para obter mais detalhes, consulte Alternância de chaves de várias regiões.

Alterar a chave primária: todo conjunto de chaves de várias Regiões deve ter exatamente uma chave primária. A chave primária é a única que pode ser replicada. Ela é também a fonte das propriedades compartilhadas das suas chaves de réplica. Porém, você pode transformar a chave primária em uma réplica e promover uma das chaves de réplica para chave primária. Você pode fazer isso para excluir uma chave primária de várias Regiões de uma determinada Região ou localizar a chave primária em uma Região mais próxima dos administradores do projeto. Para obter mais detalhes, consulte Atualizar a região primária.

Excluir chaves de várias Regiões: como todas as chaves do KMS, você deve programar a exclusão de chaves de várias Regiões antes que o AWS KMS as exclua. Enquanto a exclusão da chave estiver pendente, não será possível usá-la em operações de criptografia. No entanto, o AWS KMS não excluirá uma chave primária de várias Regiões até que todas as chaves de réplica sejam excluídas. Para obter mais detalhes, consulte Excluir chaves de várias regiões.

Conceitos

Os seguintes termos e conceitos são usados com chaves de várias Regiões.

Chave de várias Regiões

A chave de várias Regiões é uma chave de um conjunto de chaves do KMS com o mesmo ID de chave e material de chave (e outras propriedades compartilhadas) em diferentes Regiões da AWS. Cada chave de várias Regiões é uma chave do KMS totalmente funcional que pode ser usada de maneira independente de suas chaves de várias Regiões relacionadas. Como todas as chaves de várias Regiões relacionadas têm o mesmo ID de chave e material de chave, elas são interoperáveis, ou seja, qualquer chave de várias Regiões relacionada em qualquer Região da AWS pode descriptografar texto criptografado por qualquer outra chave de várias Regiões relacionada.

Você define a propriedade de várias Regiões de uma chave do KMS ao criá-la. Não é possível alterar a propriedade de várias regiões em uma chave existente. Não é possível converter uma chave de região única em chave de várias regiões nem converter uma chave de várias regiões em uma chave de região única. Para mover workloads existentes para cenários de várias regiões, é necessário recriptografar seus dados ou criar novas assinaturas com novas chaves de várias regiões.

Uma chave de várias Regiões pode ser simétrica ou assimétrica e pode usar material de chave do AWS KMS ou material de chave importado. Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.

Em um conjunto de chaves de várias Regiões relacionadas, há exatamente uma chave primária em um determinado momento. Você pode criar chaves de réplica dessa chave primária em outras Regiões da AWS. Também pode atualizar a região primária, o que transforma a chave primária em uma chave de réplica e transforma uma chave de réplica especificada na chave primária. Porém, apenas é possível manter chave primária ou chave de réplica em cada Região da AWS. Todas as Regiões devem estar na mesma partição da AWS.

Você pode ter diversos conjuntos de chaves de várias regiões relacionadas nas mesmas Regiões da AWS ou em regiões diferentes. Embora chaves de várias Regiões relacionadas sejam interoperáveis, chaves de várias Regiões não relacionadas não são interoperáveis.

Chave primária

Uma chave primária de várias Regiões é uma chave do KMS que pode ser replicada em outras Regiões da AWS na mesma partição. Cada conjunto de chaves de várias Regiões tem somente uma chave primária.

Uma chave primária é diferente de uma chave de réplica nos seguintes aspectos:

Entretanto, as chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente.

Não é necessário replicar uma chave primária. Você pode usá-la como faria com qualquer chave do KMS e replicá-la se e quando ela for útil. No entanto, como chaves de várias Regiões têm propriedades de segurança diferentes das chaves de uma única Região, recomendamos criar uma chave de várias Regiões apenas quando você planeja replicá-la.

Chave de réplica

Uma chave de réplica de várias Regiões é uma chave do KMS que tem o mesmo ID de chave e material de chave de sua chave primária e chaves de réplica relacionadas, mas existe em uma Região da AWS diferente,

Uma chave de réplica é uma chave do KMS totalmente funcional com sua própria política de chave, concessões, alias, etiquetas e outras propriedades. Ela não é uma cópia ou ponteiro da chave primária ou de qualquer outra chave. Você pode usar uma chave de réplica mesmo quando sua chave primária e todas as chaves de réplica relacionadas estão desabilitadas. Também pode converter uma chave de réplica em uma chave primária, e vice-versa. Depois de criada, uma chave de réplica depende de sua chave primária somente para alternância de chaves e atualização da Região primária.

Chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente. Os dados criptografados por uma chave primária ou uma chave de réplica podem ser descriptografados pela mesma chave ou por qualquer chave primária ou chave de réplica relacionada.

Replicar

Você pode replicar uma chave primária de várias Regiões uma Região da AWS diferente na mesma partição. Ao fazer isso, o AWS KMS cria uma chave de réplica de várias regiões na região especificada com o mesmo ID de chave e outras propriedades compartilhadas como sua chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave de réplica, tudo dentro do AWS KMS.

Propriedades compartilhadas

Propriedades compartilhadas são propriedades de uma chave primária de várias Regiões que são compartilhadas com suas chaves de réplica. O AWS KMS cria as chaves de réplica com os mesmos valores de propriedades compartilhadas da chave primária. Em seguida, ele sincroniza periodicamente os valores das propriedades compartilhadas da chave primária com suas chaves de réplica. Não é possível definir essas propriedades em uma chave de réplica.

Veja a seguir as propriedades compartilhadas de chaves de várias Regiões.

Você também pode pensar nemas designações primárias e de réplicas de chaves de várias Regiões relacionadas como propriedades compartilhadas. Quando você cria novas chaves de réplica ou atualizar a chave primária, o AWS KMS sincroniza a alteração para todas as chaves de várias Regiões relacionadas. Quando essas alterações estiverem concluídas, todas as chaves de várias Regiões relacionadas listarão suas chaves primárias e chaves de réplica com precisão.

Todas as outras propriedades das chaves de várias regiões são propriedades independentes, incluindo descrição, política de chaves, concessões, estados de chave habilitadas e desabilitadas, aliases e etiquetas. Você pode definir os mesmos valores para essas propriedades em todas as chaves de várias regiões relacionadas. Porém, se você alterar o valor de uma propriedade independente, o AWS KMS não a sincronizará.

Você pode rastrear a sincronização das propriedades compartilhadas das suas chaves de várias regiões. No log do AWS CloudTrail, procure o evento SynchronizeMultiRegionKey.