Regiões de réplica Criar chaves de réplica (console)Criar uma chave de réplica (API do AWS KMS)

Criar chaves de réplica de várias regiões

Você pode criar uma chave de réplica multirregional no AWS KMS console, usando a ReplicateKeyoperação ou usando um AWS CloudFormation modelo. Você não pode usar a CreateKeyoperação para criar uma chave de réplica.

Você pode usar esses procedimentos para replicar qualquer chave primária de várias regiões, inclusive uma chave do KMS de criptografia simétrica, uma chave do KMS de criptografia assimétrica ou uma chave do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash).

Quando essa operação for concluída, a nova chave de réplica terá um estado de chave transitório de Creating. Esse estado da chave muda para Enabled (ou PendingImport) após alguns segundos, quando o processo de criação da nova chave de réplica é concluído. Enquanto o estado da chave for Creating, você poderá gerenciar a chave, mas ainda não poderá usá-la em operações de criptografia. Se você estiver criando e usando a chave de réplica programaticamente, tente novamente KMSInvalidStateException ou ligue DescribeKeypara verificar seu KeyState valor antes de usá-la.

Se você excluir uma chave de réplica por engano, poderá usar esse procedimento para recriá-la. Se você replicar a mesma chave primária na mesma região, a nova chave de réplica criada terá as mesmas propriedades compartilhadas que a chave de réplica original.

Importante

Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

Saiba mais

Para criar uma chave de réplica de várias regiões com material de chave importado, consulte Criar uma chave de réplica com material de chave importado.
Para usar um AWS CloudFormation modelo para criar uma chave de réplica, consulte AWS::KMS::ReplicaKeyo Guia do AWS CloudFormation usuário.

Tópicos

Regiões de réplica
Criar chaves de réplica (console)
Criar uma chave de réplica (API do AWS KMS)

Regiões de réplica

Você normalmente opta por replicar uma chave de várias regiões em uma Região da AWS com base no seu modelo de negócios e requisitos normativos. Por exemplo, você pode replicar uma chave em regiões nas quais você mantém seus recursos. Ou, para atender a um requisito de recuperação de desastres, você pode replicar uma chave em regiões geograficamente distantes.

Veja a seguir os requisitos do AWS KMS para regiões de réplica. Se a região escolhida não atender a esses requisitos, as tentativas de replicar uma chave falharão.

Uma chave de várias regiões relacionada por região — Não é possível criar uma chave de réplica na mesma região que a chave primária ou na mesma região que outra réplica da chave primária.

Se você tentar replicar uma chave primária em uma região que já tenha uma réplica dessa chave primária, a tentativa falhará. Se a chave de réplica atual na região estiver no estado de chave PendingDeletion, você poderá cancelar a exclusão da chave de réplica ou aguardar até que a chave de réplica seja excluída.
Várias chaves de várias regiões não relacionadas na mesma região — É possível ter várias chaves de várias regiões não relacionadas na mesma região. Por exemplo, você pode ter duas chaves primárias de várias regiões na região us-east-1. Cada uma das chaves primárias pode ter uma chave de réplica na região us-west-2.
Regiões na mesma partição — A região da chave de réplica deve estar na mesma partição da AWS que a região da chave primária.
A região deve estar habilitada — Se uma região estiver desabilitada por padrão, você não poderá criar nenhum recurso nessa região até que ela esteja habilitada para a sua Conta da AWS.

Criar chaves de réplica (console)

No console do AWS KMS, você pode criar uma ou várias réplicas de uma chave primária de várias regiões na mesma operação.

Esse procedimento é semelhante à criação de uma chave do KMS de região única padrão no console. No entanto, como uma chave de réplica é baseada na chave primária, você não seleciona valores para propriedades compartilhadas, como a especificação da chave (simétrica ou assimétrica), o uso da chave ou a origem da chave.

Você especifica propriedades que não são compartilhadas, incluindo alias, etiquetas, descrição e política de chaves. Por conveniência, o console mostra os valores de propriedade atuais da chave primária, mas é possível alterá-los. Mesmo que você mantenha os valores das chaves primárias, o AWS KMS não mantém esses valores sincronizados.

Importante

Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
Selecione o ID de chave ou alias de uma chave primária de várias regiões. Isso abre a página de detalhes da chave do KMS.

Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna Regionality (Regionalidade) à tabela.
Escolha a guia Regionality (Regionalidade).
Na seção Related multi-Region keys (Chaves de várias regiões relacionadas), selecione Create new replica keys (Criar novas chaves de réplica).

A seção Related multi-Region keys (Chaves de várias regiões relacionadas) mostra a região da chave primária e suas chaves de réplica. Você pode usar essa tela para ajudar a escolher a região da sua nova chave de réplica.
Escolha uma ou mais Regiões da AWS. Esse procedimento cria uma chave de réplica em cada uma das regiões selecionadas.

O menu inclui apenas regiões na mesma partição da AWS que a chave primária. As regiões que já têm uma chave de várias regiões relacionada são exibidas, mas podem ser selecionadas. Talvez você não tenha permissão para replicar uma chave em todas as regiões no menu.

Quando terminar de escolher regiões, feche o menu. As regiões escolhidas são exibidas. Para cancelar a replicação em uma região, escolha a opção X ao lado do nome da região.
Digite um alias para a chave de réplica.

O console exibe um dos aliases atuais da chave primária, mas você pode alterá-lo. Você pode dar à chave primária de várias regiões e suas réplicas o mesmo alias ou alias diferentes. Aliases não são uma propriedade compartilhada de chaves de várias regiões. O AWS KMS não sincroniza os aliases de chaves de várias regiões.

Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar aliases para controlar o acesso a chaves do KMS.
(Opcional) Digite uma descrição da chave de réplica.

O console exibe a descrição atual da chave primária, mas é possível alterá-la. Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma descrição ou descrições diferentes. O AWS KMS não sincroniza as descrições de chaves de várias regiões.
(Opcional) Digite uma chave de etiqueta e um valor de etiqueta opcional. Para atribuir mais de uma etiqueta à chave de réplica, escolha Add tag (Adicionar etiqueta).

O console mostra as etiquetas atualmente anexadas à chave primária, mas é possível alterá-las. Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões.

Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar etiquetas para controlar o acesso a chaves do KMS.
Selecione os usuários e as funções do IAM que podem administrar a chave de réplica.

nota
As políticas do IAM podem conceder permissão para gerenciar as chaves de réplica a outros usuários e funções do IAM.
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Essa etapa inicia o processo de criação de uma política de chaves para a chave de réplica. O console exibe a política de chaves atual da chave primária, mas é possível alterá-la. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma política de chaves ou políticas de chave diferentes. O AWS KMS não sincroniza políticas de chaves. Você pode alterar a política de chaves de qualquer chave do KMS a qualquer momento.
Conclua as etapas para criar a política de chaves, incluindo a seleção de usuários de chaves. Após revisar a política de chaves, escolha Finish (Concluir) para criar a chave de réplica.

Mostrar mais

Mostrar menos

Criar uma chave de réplica (API do AWS KMS)

Para criar uma chave de réplica multirregional, use a ReplicateKeyoperação. Você não pode usar a CreateKeyoperação para criar uma chave de réplica. Essa operação cria uma chave de réplica por vez. A região que você especificar deve estar em conformidade com os Requisitos de região para chaves de réplica.

Ao usar a operação ReplicateKey, não especifique valores para propriedades compartilhadas de chaves de várias regiões. Valores de propriedades compartilhadas são copiados da chave primária e mantidos sincronizados. No entanto, é possível especificar valores para propriedades não compartilhadas. De outra forma, o AWS KMS aplicara os valores padrão para chaves do KMS, e não os valores da chave primária.

nota

Se você não especificar valores para os parâmetros Description, KeyPolicy ou Tags, o AWS KMS criará a chave de réplica e uma descrição de string vazia, a política de chave padrão e sem etiquetas.

Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

Por exemplo, o comando a seguir cria uma chave de várias regiões na região Ásia-Pacífico (Sydney) (ap-southeast-2). Essa chave de réplica é modelada na chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1), identificada pelo valor do parâmetro KeyId. Esse exemplo aceita valores padrão para todas as outras propriedades, incluindo a política de chaves.

A resposta descreve a nova chave de réplica. Ela inclui campos para propriedades compartilhadas, como KeyId, KeySpec, KeyUsage e a origem do material de chave (Origin). Ela também inclui propriedades que são independentes da chave primária, como Description, política de chaves (ReplicaKeyPolicy) e etiquetas (ReplicaTags).

A resposta também inclui o ARN de chave e a região da chave primária e todas as suas chaves de réplica, incluindo aquela que acabou de ser criada na região ap-southeast-2. Neste exemplo, o elemento ReplicaKey mostra que essa chave primária já foi replicada na região Europa (Irlanda) (eu-west-1).


$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}

Mostrar mais

Mostrar menos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar chaves primárias

Visualizar chaves de várias regiões