As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode criar uma chave de réplica multirregional no AWS KMS console, usando a ReplicateKeyoperação ou usando um AWS::KMS::ReplicaKey AWS CloudFormation modelo. Você não pode usar a CreateKeyoperação para criar uma chave de réplica.
Você pode usar esses procedimentos para replicar qualquer chave primária de várias regiões, inclusive uma chave do KMS de criptografia simétrica, uma chave do KMS de criptografia assimétrica ou uma chave do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash).
Quando essa operação for concluída, a nova chave de réplica terá um estado de chave transitório de Creating. Esse estado de chave mudará para Enabled (ou PendingImport se você criar uma chave de várias regiões com material de chave importado) após alguns segundos quando o processo de criação da nova chave de réplica estiver concluído. Enquanto o estado da chave for Creating, você poderá gerenciar a chave, mas ainda não poderá usá-la em operações de criptografia. Se você estiver criando e usando a chave de réplica programaticamente, tente novamente KMSInvalidStateException ou ligue DescribeKeypara verificar seu KeyState valor antes de usá-la.
Se você excluir uma chave de réplica por engano, poderá usar esse procedimento para recriá-la. Se você replicar a mesma chave primária na mesma região, a nova chave de réplica criada terá as mesmas propriedades compartilhadas que a chave de réplica original.
Importante
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
Para usar um AWS CloudFormation modelo para criar uma chave de réplica, consulte AWS::KMS::ReplicaKeyo Guia do AWS CloudFormation usuário.
Etapa 1: escolher regiões de réplica
Normalmente, você opta por replicar uma chave multirregional em uma Região da AWS com base em seu modelo de negócios e requisitos regulatórios. Por exemplo, você pode replicar uma chave em regiões nas quais você mantém seus recursos. Ou, para atender a um requisito de recuperação de desastres, você pode replicar uma chave em regiões geograficamente distantes.
A seguir estão os AWS KMS requisitos para regiões de réplica. Se a região escolhida não atender a esses requisitos, as tentativas de replicar uma chave falharão.
-
Uma chave de várias regiões relacionada por região — Não é possível criar uma chave de réplica na mesma região que a chave primária ou na mesma região que outra réplica da chave primária.
Se você tentar replicar uma chave primária em uma região que já tenha uma réplica dessa chave primária, a tentativa falhará. Se a chave de réplica atual na região estiver no estado de chave PendingDeletion, você poderá cancelar a exclusão da chave de réplica ou aguardar até que a chave de réplica seja excluída.
-
Várias chaves de várias regiões não relacionadas na mesma região — É possível ter várias chaves de várias regiões não relacionadas na mesma região. Por exemplo, você pode ter duas chaves primárias de várias regiões na região
us-east-1. Cada uma das chaves primárias pode ter uma chave de réplica na regiãous-west-2. Regiões na mesma partição — A região da chave de réplica deve estar na mesma partição da AWS que a região da chave primária.
-
A região deve estar habilitada — Se uma região estiver desabilitada por padrão, você não poderá criar nenhum recurso nessa região até que ela esteja habilitada para a sua Conta da AWS.
Etapa 2: criar chaves de réplica
nota
Ao criar chaves de réplica, considere cuidadosamente os usuários e funções do IAM que você seleciona para administrar e usar a chave de réplica. As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
No AWS KMS console, você pode criar uma ou várias réplicas de uma chave primária multirregional na mesma operação.
Esse procedimento é semelhante à criação de uma chave do KMS de região única padrão no console. No entanto, como uma chave de réplica é baseada na chave primária, você não seleciona valores para propriedades compartilhadas, como a especificação da chave (simétrica ou assimétrica), o uso da chave ou a origem da chave.
Você especifica propriedades que não são compartilhadas, incluindo alias, etiquetas, descrição e política de chaves. Por conveniência, o console mostra os valores de propriedade atuais da chave primária, mas é possível alterá-los. Mesmo que você mantenha os valores da chave primária, AWS KMS não mantém esses valores sincronizados.
Importante
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
-
Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).
-
Selecione o ID de chave ou alias de uma chave primária de várias regiões. Isso abre a página de detalhes da chave do KMS.
Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna Regionality (Regionalidade) à tabela.
-
Escolha a guia Regionality (Regionalidade).
-
Na seção Related multi-Region keys (Chaves de várias regiões relacionadas), selecione Create new replica keys (Criar novas chaves de réplica).
A seção Related multi-Region keys (Chaves de várias regiões relacionadas) mostra a região da chave primária e suas chaves de réplica. Você pode usar essa tela para ajudar a escolher a região da sua nova chave de réplica.
-
Escolha uma ou mais Regiões da AWS. Esse procedimento cria uma chave de réplica em cada uma das regiões selecionadas.
O menu inclui somente regiões na mesma AWS partição da chave primária. As regiões que já têm uma chave de várias regiões relacionada são exibidas, mas podem ser selecionadas. Talvez você não tenha permissão para replicar uma chave em todas as regiões no menu.
Quando terminar de escolher regiões, feche o menu. As regiões escolhidas são exibidas. Para cancelar a replicação em uma região, escolha a opção X ao lado do nome da região.
-
Digite um alias para a chave de réplica.
O console exibe um dos aliases atuais da chave primária, mas você pode alterá-lo. Você pode dar à chave primária de várias regiões e suas réplicas o mesmo alias ou alias diferentes. Os aliases não são uma propriedade compartilhada das chaves multirregionais. AWS KMS não sincroniza os aliases das chaves multirregionais.
Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar aliases para controlar o acesso a chaves do KMS.
-
(Opcional) Digite uma descrição da chave de réplica.
O console exibe a descrição atual da chave primária, mas é possível alterá-la. Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma descrição ou descrições diferentes. AWS KMS não sincroniza as descrições das chaves de várias regiões.
-
(Opcional) Digite uma chave de etiqueta e um valor de etiqueta opcional. Para atribuir mais de uma etiqueta à chave de réplica, escolha Add tag (Adicionar etiqueta).
O console mostra as etiquetas atualmente anexadas à chave primária, mas é possível alterá-las. Tags não são uma propriedade compartilhada de chaves de várias regiões. Você pode atribuir à sua chave primária multirregional e suas réplicas as mesmas tags ou tags diferentes. AWS KMS não sincroniza as tags das chaves multirregionais.
Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar tags para controlar o acesso a chaves do KMS.
-
Selecione os usuários e as funções do IAM que podem administrar a chave de réplica.
Observações
-
Se você modificou a política de chaves padrão ao criar sua chave primária multirregional, o console não solicitará que você selecione administradores ou usuários de chaves (etapas 11 a 15) durante a criação da chave de réplica. Nesse caso, você precisará adicionar manualmente as permissões necessárias para administradores e usuários de chaves à política de chaves selecionando Editar na etapa Editar política de chaves (Etapa 17).
-
Essa etapa inicia o processo de criação de uma política de chaves para a chave de réplica. O console exibe a política de chaves atual da chave primária, mas é possível alterá-la. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma política de chaves ou políticas de chave diferentes. O AWS KMS não sincroniza políticas de chaves. Você pode alterar a política de chaves de qualquer chave do KMS a qualquer momento.
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador
"Allow access for Key Administrators"de instrução. A modificação desse identificador de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração.
-
-
(Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção Exclusão de chaves na parte inferior da página, desmarque a caixa de seleção Permitir que os administradores de chaves excluam essa chave.
-
Escolha Próximo.
-
Selecione os usuários e as funções do IAM que podem usar a chave do KMS para operações de criptografia.
Observação
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração
"Allow use of the key"e."Allow attachment of persistent resources"A modificação desses identificadores de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração. -
(Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na parte inferior da página na seção Other Contas da AWS (Outras ), escolha Add another Conta da AWS (Adicionar outra ) e insira o número de identificação da Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
nota
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.
-
Escolha Próximo.
-
Analise as principais declarações de política para obter a chave. Para fazer alterações na política de chaves, selecione Editar.
-
Escolha Próximo.
-
Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.
-
Escolha Concluir para criar a chave de réplica multirregional.
Para criar uma chave de réplica multirregional, use a ReplicateKeyoperação. Você não pode usar a CreateKeyoperação para criar uma chave de réplica. Essa operação cria uma chave de réplica por vez. A região que você especificar deve estar em conformidade com os Requisitos de região para chaves de réplica.
Ao usar a operação ReplicateKey, não especifique valores para propriedades compartilhadas de chaves de várias regiões. Valores de propriedades compartilhadas são copiados da chave primária e mantidos sincronizados. No entanto, é possível especificar valores para propriedades não compartilhadas. Caso contrário, AWS KMS aplica os valores padrão padrão para as chaves KMS, não os valores da chave primária.
nota
Se você não especificar valores para os Tags parâmetrosDescription, ouKeyPolicy, AWS KMS cria a chave de réplica com uma descrição de string vazia, a política de chaves padrão e sem tags.
Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
Por exemplo, o comando a seguir cria uma chave de várias regiões na região Ásia-Pacífico (Sydney) (ap-southeast-2). Essa chave de réplica é modelada na chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1), identificada pelo valor do parâmetro KeyId. Esse exemplo aceita valores padrão para todas as outras propriedades, incluindo a política de chaves.
A resposta descreve a nova chave de réplica. Ela inclui campos para propriedades compartilhadas, como KeyId, KeySpec, KeyUsage e a origem do material de chave (Origin). Ela também inclui propriedades que são independentes da chave primária, como Description, política de chaves (ReplicaKeyPolicy) e etiquetas (ReplicaTags).
A resposta também inclui o ARN de chave e a região da chave primária e todas as suas chaves de réplica, incluindo aquela que acabou de ser criada na região ap-southeast-2. Neste exemplo, o elemento ReplicaKey mostra que essa chave primária já foi replicada na região Europa (Irlanda) (eu-west-1).
$ {
"ReplicaKeyMetadata": {
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "REPLICA",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "ap-southeast-2"
},
{
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
}
]
},
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1607472987.918,
"Description": "",
"Enabled": true,
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
},
"ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",...,
"ReplicaTags": []
}