Criar chaves de réplica de várias regiões - AWS Key Management Service

Criar chaves de réplica de várias regiões

Você pode criar uma chave de réplica de várias regiões no console do AWS KMS ou usando a operação ReplicateKey ou um modelo do AWS CloudFormation. Não é possível usar a operação CreateKey para criar uma chave de réplica.

Quando essa operação for concluída, a nova chave de réplica terá um estado de chave transitório de Creating. Esse estado de chave mudará para Enabled (ou PendingImport) após alguns segundos quando o processo de criação da nova chave de réplica estiver concluído. Enquanto o estado da chave for Creating, você poderá gerenciar a chave, mas ainda não poderá usá-la em operações de criptografia. Se estiver criando e usando a chave de réplica programaticamente, tente novamente em KMSInvalidStateException ou chame DescribeKey para conferir seu valor KeyState antes de usá-la.

Se você excluir uma chave de réplica por engano, poderá usar esse procedimento para recriá-la. Se você replicar a mesma chave primária na mesma região, a nova chave de réplica criada terá as mesmas propriedades compartilhadas que a chave de réplica original.

Saiba mais

Regiões de réplica

Você normalmente opta por replicar uma chave de várias regiões em uma Região da AWS com base no seu modelo de negócios e requisitos normativos. Por exemplo, você pode replicar uma chave em regiões nas quais você mantém seus recursos. Ou, para atender a um requisito de recuperação de desastres, você pode replicar uma chave em regiões geograficamente distantes.

Veja a seguir os requisitos do AWS KMS para regiões de réplica. Se a região escolhida não atender a esses requisitos, as tentativas de replicar uma chave falharão.

  • Uma chave de várias regiões relacionada por região — Não é possível criar uma chave de réplica na mesma região que a chave primária ou na mesma região que outra réplica da chave primária.

    Se você tentar replicar uma chave primária em uma região que já tenha uma réplica dessa chave primária, a tentativa falhará. Se a chave de réplica atual na região estiver no estado de chave PendingDeletion, você poderá cancelar a exclusão da chave de réplica ou aguardar até que a chave de réplica seja excluída.

  • Várias chaves de várias regiões não relacionadas na mesma região — É possível ter várias chaves de várias regiões não relacionadas na mesma região. Por exemplo, você pode ter duas chaves primárias de várias regiões na região us-east-1. Cada uma das chaves primárias pode ter uma chave de réplica na região us-west-2.

  • Regiões na mesma partição — A região da chave de réplica deve estar na mesma partição da AWS que a região da chave primária.

  • A região deve estar habilitada — Se uma região estiver desabilitada por padrão, você não poderá criar nenhum recurso nessa região até que ela esteja habilitada para a sua Conta da AWS.

Criar chaves de réplica (console)

No console do AWS KMS, você pode criar uma ou várias réplicas de uma chave primária de várias regiões na mesma operação.

Esse procedimento é semelhante à criação de uma chave do KMS de região única padrão no console. No entanto, como uma chave de réplica é baseada na chave primária, você não seleciona valores para propriedades compartilhadas, como a especificação da chave (simétrica ou assimétrica), o uso da chave ou a origem da chave.

Você especifica propriedades que não são compartilhadas, incluindo alias, etiquetas, descrição e política de chaves. Por conveniência, o console mostra os valores de propriedade atuais da chave primária, mas é possível alterá-los. Mesmo que você mantenha os valores das chaves primárias, o AWS KMS não mantém esses valores sincronizados.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Selecione o ID de chave ou alias de uma chave primária de várias regiões. Isso abre a página de detalhes da chave do KMS.

    Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna Regionality (Regionalidade) à tabela.

  5. Escolha a guia Regionality (Regionalidade).

  6. Na seção Related multi-Region keys (Chaves de várias regiões relacionadas), selecione Create new replica keys (Criar novas chaves de réplica).

    A seção Related multi-Region keys (Chaves de várias regiões relacionadas) mostra a região da chave primária e suas chaves de réplica. Você pode usar essa tela para ajudar a escolher a região da sua nova chave de réplica.

  7. Escolha uma ou mais Regiões da AWS. Esse procedimento cria uma chave de réplica em cada uma das regiões selecionadas.

    O menu inclui apenas regiões na mesma partição da AWS que a chave primária. As regiões que já têm uma chave de várias regiões relacionada são exibidas, mas podem ser selecionadas. Talvez você não tenha permissão para replicar uma chave em todas as regiões no menu.

    Quando terminar de escolher regiões, feche o menu. As regiões escolhidas são exibidas. Para cancelar a replicação em uma região, escolha a opção X ao lado do nome da região.

  8. Digite um alias para a chave de réplica.

    O console exibe um dos aliases atuais da chave primária, mas você pode alterá-lo. Você pode dar à chave primária de várias regiões e suas réplicas o mesmo alias ou alias diferentes. Aliases não são uma propriedade compartilhada de chaves de várias regiões. O AWS KMS não sincroniza os aliases de chaves de várias regiões.

    Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar aliases para controlar o acesso a chaves do KMS.

  9. (Opcional) Digite uma descrição da chave de réplica.

    O console exibe a descrição atual da chave primária, mas é possível alterá-la. Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma descrição ou descrições diferentes. O AWS KMS não sincroniza as descrições de chaves de várias regiões.

  10. (Opcional) Digite uma chave de etiqueta e um valor de etiqueta opcional. Para atribuir mais de uma etiqueta à chave de réplica, escolha Add tag (Adicionar etiqueta).

    O console mostra as etiquetas atualmente anexadas à chave primária, mas é possível alterá-las. Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões.

    Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS e Usar etiquetas para controlar o acesso a chaves do KMS.

  11. Selecione os usuários e as funções do IAM que podem administrar a chave de réplica.

    nota

    As políticas do IAM podem conceder permissão para gerenciar as chaves de réplica a outros usuários e funções do IAM.

    Essa etapa inicia o processo de criação de uma política de chaves para a chave de réplica. O console exibe a política de chaves atual da chave primária, mas é possível alterá-la. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma política de chaves ou políticas de chave diferentes. O AWS KMS não sincroniza políticas de chaves. Você pode alterar a política de chaves de qualquer chave do KMS a qualquer momento.

  12. Conclua as etapas para criar a política de chaves, incluindo a seleção de administradores de chaves. Após revisar a política de chaves, escolha Finish (Concluir) para criar a chave de réplica.

Criar uma chave de réplica (API do AWS KMS)

Para criar uma chave de réplica de várias regiões, use a operação ReplicateKey. Não é possível usar a operação CreateKey para criar uma chave de réplica. Essa operação cria uma chave de réplica por vez. A região que você especificar deve estar em conformidade com os Requisitos de região para chaves de réplica.

Ao usar a operação ReplicateKey, não especifique valores para propriedades compartilhadas de chaves de várias regiões. Valores de propriedades compartilhadas são copiados da chave primária e mantidos sincronizados. No entanto, é possível especificar valores para propriedades não compartilhadas. De outra forma, o AWS KMS aplicara os valores padrão para chaves do KMS, e não os valores da chave primária.

nota

Se você não especificar valores para os parâmetros Tags, Description ou KeyPolicy, o AWS KMS criará a chave de réplica sem etiquetas, uma descrição de string vazia e a política de chaves padrão.

Por exemplo, o comando a seguir cria uma chave de várias regiões na região Ásia-Pacífico (Sydney) (ap-southeast-2). Essa chave de réplica é modelada na chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1), identificada pelo valor do parâmetro KeyId. Esse exemplo aceita valores padrão para todas as outras propriedades, incluindo a política de chaves.

A resposta descreve a nova chave de réplica. Ela inclui campos para propriedades compartilhadas, como KeyId, KeySpec, KeyUsage e a origem do material de chave (Origin). Ela também inclui propriedades que são independentes da chave primária, como Description, política de chaves (ReplicaKeyPolicy) e etiquetas (ReplicaTags).

A resposta também inclui o ARN de chave e a região da chave primária e todas as suas chaves de réplica, incluindo aquela que acabou de ser criada na região ap-southeast-2. Neste exemplo, o elemento ReplicaKey mostra que essa chave primária já foi replicada na região Europa (Irlanda) (eu-west-1).

$ aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2 { "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }