Visualizar chaves de várias regiões

Você pode visualizar chaves de região única e chaves de várias regiões no console do AWS KMS e usando operações de API do AWS KMS.

Visualizar chaves de várias regiões no console

No console do AWS KMS, é possível visualizar chaves do KMS na região selecionada. Porém, se você tiver uma chave de várias regiões, poderá ver suas chaves de várias regiões relacionadas em outras Regiões da AWS.

A tabela Customer managed keys (Chaves gerenciadas pelo cliente) no console do AWS KMS mostra apenas as chaves do KMS na região selecionada. É possível visualizar chaves primárias e de réplica de várias regiões na região selecionada. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

A tabela Chaves gerenciadas pela AWS não tem os recursos de regionalidade porque Chaves gerenciadas pela AWS são sempre chaves de uma única região.

• Para facilitar a identificação das suas chaves de várias regiões, adicione a coluna Regionality (Regionalidade) à sua tabela de chaves. Para obter ajuda, consulte Personalizar suas tabelas de chaves do KMS.

  

• Para mostrar somente chaves de uma única região ou somente chaves de várias regiões na tabela de chaves, filtre suas chaves pela propriedade Regionality (Regionalidade) de cada chave. Para obter ajuda, consulte Classificar e filtrar as chaves do KMS .

  

• Também é possível classificar e filtrar a tabela Customer managed keys (Chaves gerenciadas pelo cliente) para o prefixo de ID de chave mrk- distintivo.

  

• Para obter detalhes sobre uma chave primária ou uma chave de réplica de várias regiões, acesse a página de detalhes da chave e escolha a guia Regionality (Regionalidade).

  A guia Regionality (Regionalidade) de uma chave primária inclui os botões Change primary Region (Alterar região primária) e Create new replica keys (Criar novas chaves de réplica). (A guia Regionality (Regionalidade) de uma chave de réplica não tem botão.) A seção Related multi-Region keys (Chaves de várias regiões relacionadas) lista todas as chaves de várias regiões relacionadas à atual. Se a chave atual for uma chave de réplica, essa lista incluirá a chave primária.

  Se você escolher uma chave de várias regiões relacionada na lista Related multi-Region keys (Chaves de várias regiões relacionadas), o console do AWS KMS muda para a região da chave selecionada e abrirá a página de detalhes da chave. Por exemplo, se você escolher a chave de réplica na região sa-east-1 da seção de exemplo Related multi-Region keys (Chaves de várias regiões relacionadas) abaixo, o console AWS KMS alterará para a região sa-east-1 a fim de exibir a página de detalhes dessa chave de réplica. Você pode fazer isso para exibir o alias ou a política de chave da chave de réplica. Para alterar novamente a região, use o seletor de região no canto superior direito da página.

  

Visualizar chaves de várias regiões na API

Para visualizar chaves de várias regiões na API AWS KMS, use a operação DescribeKey. Ele exibe a chave especificada e todas as suas chaves de várias regiões relacionadas.

Como o console do AWS KMS, as operações de API do AWS KMS são regionais. Por exemplo, quando você chama as operações ListKeys ou ListAliases, elas retornam apenas os recursos na região atual ou especificada. Porém, quando você chama a operação DescribeKey em uma chave de várias regiões, a resposta inclui todas as chaves de várias regiões relacionadas em outras Regiões da AWS.

Por exemplo, a seguinte solicitação DescribeKey obtém detalhes sobre uma chave de réplica de várias regiões na região Ásia-Pacífico (Tóquio) (ap-northeast-1).

$ aws kms describe-key \
        --key-id arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
        --region ap-northeast-1

A maioria das KeyMetadata na resposta descreve a chave de réplica na região Ásia-Pacífico (Tóquio) que é o requerente da solicitação. No entanto, o elemento MultiRegionConfiguration descreve a chave primária na região Oeste dos EUA (Oregon) (us-west-2) e suas chaves de réplica em outras Regiões da AWS, incluindo a réplica na região Ásia-Pacífico (Tóquio). O DescribeKey retorna o mesmo valor MultiRegionConfiguration para todas as chaves de várias regiões relacionadas.

{
    "KeyMetadata": {
        "MultiRegion": true,        
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1586329200.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-west-2"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                },
                {
                    "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-northeast-1"
                },
                {
                    "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "sa-east-1"
                }
            ]
        }
    }
}