Kryptografie-Schlüssel für Zahlungen werden repliziert AWS - AWS Kryptografie im Zahlungsverkehr
Vorteile der Schlüsselreplikation in mehreren RegionenSo funktioniert die Schlüsselreplikation in mehreren RegionenEinschränkungen und ÜberlegungenAktivierung der Schlüsselreplikation in mehreren RegionenDeaktivierung der Schlüsselreplikation in mehreren RegionenSicherheitsüberlegungenBewährte MethodenPreise

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kryptografie-Schlüssel für Zahlungen werden repliziert AWS

AWS Die Zahlungskryptografie unterstützt die Schlüsselreplikation in mehreren Regionen, sodass Sie Schlüsselmaterial und Metadaten von einem beliebigen AWS Zahlungskryptografie-Schlüssel sicher an einen oder mehrere AWS-Regionen innerhalb derselben Partition und desselben Kontos verteilen können. AWS

Der Quellschlüssel wird als primärer Regionsschlüssel (PRK) bezeichnet und bleibt die maßgebliche Quelle für alle Schlüsselverwaltungsaktivitäten, während sowohl der PRK- als auch der Replica Region Key (RRK) für kryptografische Operationen in ihren jeweiligen Ländern verwendet werden können. AWS-Regionen

Vorteile der Schlüsselreplikation in mehreren Regionen

Im Folgenden werden einige Vorteile der Schlüsselreplikation in mehreren Regionen beschrieben.

  • Einfachere Einrichtung für Anwendungen mit hoher Verfügbarkeit: AWS Payment Cryptography übernimmt die Schlüsselverteilung für Sie, sodass Sie einen Schlüssel in mehreren verwenden können, AWS-Regionen ohne entkoppelte Kopien eines bestimmten Schlüssels erstellen zu müssen.

  • Schlüssel mit hoher Verfügbarkeit und geringer Latenz — Mit der Schlüsselreplikation für mehrere Regionen können Sie mehrfach auf Ihre Schlüssel zugreifen, AWS-Regionen wodurch sie hochverfügbar sind, was zu einer geringeren Latenz führt.

  • Haltbarkeit von Schlüsselmaterialien — Bei den Regionsschlüsseln von Replikaten handelt es sich um vollständige Schlüsselreplikate, die unabhängig von ihrem Schlüssel für die primäre Region bei kryptografischen Vorgängen verwendet werden können. Ein RRK bietet ein langlebiges Replikat für den Fall eines katastrophalen Datenverlusts eines PRK.

So funktioniert die Schlüsselreplikation in mehreren Regionen

Wenn die Schlüsselreplikation für mehrere Regionen aktiviert ist, verwendet der AWS Payment Cryptography Service sichere Schlüsselverteilungsmechanismen, um Schlüsselmaterial und Metadaten in das von Ihnen angegebene AWS-Regionen Replikat zu kopieren. Änderungen an Schlüsselmetadaten für eine primäre Region, wie z. B. Schlüsselattribute, Status und Aktivierung, werden automatisch auf die Schlüssel der Replikatregion repliziert.

Einschränkungen und Überlegungen

Im Folgenden werden einige Einschränkungen und Überlegungen zur Schlüsselreplikation in mehreren Regionen aufgeführt.

  • Sie müssen diese Funktion entweder für einen AWS-Region oder für bestimmte Schlüssel zur Zahlungskryptografie aktivieren.

    • Wenn diese Funktion für eine aktiviert ist AWS-Region, werden alle nach der Aktivierung erstellten AWS Zahlungskryptografie-Schlüssel auf die angegebenen repliziert. AWS-Region In dieser Region erstellte Schlüssel werden zu primären Regionsschlüsseln. Bestehende Schlüssel in dieser Region werden nicht automatisch repliziert. Sie können die regionsübergreifende Schlüsselreplikation für bestehende Schlüssel auf AWS-Region Schlüsselebene aktivieren.

    • Jeder AWS-Region kann über eigene Einstellungen für die Schlüsselreplikation in mehreren Regionen verfügen.

    • Die Replikationseinstellungen für mehrere Regionen eines Schlüssels haben Vorrang vor der Einstellung für die Schlüsselreplikation AWS-Region in mehreren Regionen.

  • Ein Schlüssel für eine Replikatregion kann nicht so konfiguriert werden, dass er auf einen anderen repliziert wird. AWS-Regionen

  • Schlüsselreplikation für mehrere Regionen ist für symmetrische Zahlungskryptografie-Schlüssel wie Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES) und Hash-Based Message Authentication Code (HMAC) verfügbar.

  • Schlüssel für asymmetrische Zahlungskryptografie unterstützen keine Schlüsselreplikation in mehreren Regionen.

  • Die Schlüssel für die Replikatregion sind schreibgeschützt. Alle Änderungen am Schlüssel für die primäre Region werden auf die Schlüssel für die Replikatregion angewendet.

  • Die Änderungen an den Schlüsseln für die primäre Region stimmen letztendlich mit den Regionsschlüsseln der Replikatregion überein.

  • Kryptografie-Schlüssel für Zahlungen können nur mit derselben AWS Partition und demselben Konto repliziert werden.

  • Die Anzahl der replizierten Regionsschlüssel wird auf Ihr Limit für AWS-Konto AWS Zahlungskryptografie angerechnet.

  • Der Schlüssel für die primäre Region und der Schlüssel für die Replikatregion verwenden dieselbe Schlüssel-ID, sodass Sie in IAM-Richtlinien auf beide Schlüssel mit demselben ARN verweisen können.

Aktivierung der Schlüsselreplikation in mehreren Regionen

Es gibt zwei Möglichkeiten, die regionsübergreifende Schlüsselreplikation für AWS Payment Cryptography Keys zu aktivieren.

  1. AWS-Region: Wenn die Schlüsselreplikation für mehrere Regionen aktiviert ist, wird sie auf alle neu erstellten Schlüssel angewendet. AWS-Region Diese Methode ermöglicht eine konsistente Replikation für alle Schlüssel.

  2. Spezifische kryptografische Schlüssel für AWS Zahlungen: Sie können die Schlüsselreplikation für einzelne Schlüssel in mehreren Regionen verwalten, was eine detailliertere Kontrolle ermöglicht.

Sobald die Schlüsselreplikation für mehrere Regionen aktiviert ist, werden Ihre Schlüssel für die Zahlungskryptografie auf die von Ihnen angegebenen Werte repliziert. AWS-Regionen

Wichtig

Die Schlüsselreplikation für mehrere Regionen kann nicht angehalten werden. Sobald die Replikation aktiviert ist, werden Ihre Schlüssel automatisch auf den von AWS-Regionen Ihnen angegebenen Wert repliziert. Die Schlüsselreplikation für mehrere Regionen kann für einen bestimmten Schlüssel AWS-Region oder für Payment Cryptography deaktiviert werden. Sie müssen den Schlüssel AWS-Region als Replikationsregion aus dem Schlüssel für die primäre Region entfernen, um den Schlüssel für die Replikatregion zu löschen.

Alternativ können Sie den StopKeyUsageAPI- oder stop-key-usageCLI-Befehl auf Ihrem PRK aufrufen, um die Verwendung sowohl des PRK als auch aller zugehörigen Dateien zu beenden. RRKs Sie können diese Schlüssel nicht für kryptografische Operationen verwenden. Durch die Verwendung eines StopKeyUsage API- oder stop-key-usage CLI-Befehls wird die laufende Multi-Region-Schlüsselreplikation, die für Ihre PRK aktiviert ist, nicht gestoppt.

Sie können die regionsübergreifenden Schlüsselreplikationseinstellungen für AWS Payment Cryptography Keys in einem bestimmten Bereich überprüfen, AWS-Region indem Sie den GetDefaultKeyReplicationRegions API- oder get-default-key-replication-regions CLI-Befehl aufrufen. Die Schlüssel in dem Bereich AWS-Region , in dem Sie diese API-Aktion oder diesen API-Befehl aufrufen, werden zu Ihrem PRK.

Verwenden Sie die folgenden Verfahren, um die Schlüsselreplikation in mehreren Regionen zu aktivieren.

For AWS-Region

  • Verwenden Sie den folgenden Befehl, um die Schlüsselreplikation in mehreren Regionen für einen von AWS-Region Ihnen angegebenen zu aktivieren. In diesem Beispiel ist die regionsübergreifende Schlüsselreplikation in USA Ost (Ohio) und USA West (Oregon) aktiviert. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
Anmerkung

Durch die Aktivierung der regionsübergreifenden Schlüsselreplikation für eine AWS-Region wird die Replikationskonfiguration vorhandener AWS Payment Cryptography Keys nicht geändert. Sie können diese Funktion für vorhandene Schlüssel auf Schlüsselebene aktivieren. Nur Schlüssel, die nach der Aktivierung der regionsübergreifenden Schlüsselreplikation erstellt wurden, verwenden AWS-Region die Einstellungen für die Regionsreplikation.

For specific AWS Payment Cryptography keys

  • Verwenden Sie den folgenden Befehl, um die Multi-Region-Schlüsselreplikation für bestimmte Payment Cryptography-Schlüssel zu aktivieren. In diesem Beispiel ist die regionsübergreifende Schlüsselreplikation in USA Ost (Ohio) aktiviert. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Alternativ können Sie einen neuen Payment Cryptography Key erstellen, bei dem diese Funktion aktiviert ist, indem Sie die Replikation AWS-Regionen in Ihre Anfrage zur Schlüsselerstellung aufnehmen.

Anmerkung

Die Einstellungen für die Schlüsselreplikation haben Vorrang vor der AWS-Region Replikationseinstellung.

Deaktivierung der Schlüsselreplikation in mehreren Regionen

Wenn Sie die Schlüsselreplikation für mehrere Regionen deaktivieren möchten, können Sie entweder die Befehle disable-default-key-replication oder die remove-key-replication-regions CLI aufrufen, je nachdem, wie die Schlüsselreplikation für mehrere Regionen aktiviert ist. Sie müssen den ARN des Schlüssels und den angeben, AWS-Region um die Multi-Region-Schlüsselreplikation zu deaktivieren.

Überlegungen

Das Löschen von Schlüsseln für die Replikationsregion ist letztendlich konsistent.

Sie können die regionsübergreifenden Schlüsselreplikationseinstellungen für AWS Payment Cryptography Keys in einem bestimmten Bereich überprüfen, AWS-Region indem Sie den GetDefaultKeyReplicationRegions API- oder get-default-key-replication-regions CLI-Befehl aufrufen.

Gehen Sie wie folgt vor, um die Schlüsselreplikation in mehreren Regionen zu deaktivieren.

For AWS-Region

  • Verwenden Sie den folgenden Befehl, um die Multi-Region-Schlüsselreplikation für einen von AWS-Region Ihnen angegebenen zu deaktivieren. In diesem Beispiel ist die regionsübergreifende Schlüsselreplikation in USA Ost (Ohio) deaktiviert. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Verwenden Sie den folgenden Befehl, um die regionsübergreifende Schlüsselreplikation für einen bestimmten Payment Cryptography Key zu deaktivieren. In diesem Beispiel wird die regionsübergreifende Schlüsselreplikation in USA Ost (Ohio) deaktiviert. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Sicherheitsüberlegungen

Im Folgenden finden Sie Sicherheitsaspekte bei der Verwendung der regionsübergreifenden Schlüsselreplikation für Ihre Payment Cryptography Keys. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Zahlungskryptografie AWS.

  • Beschränken Sie die gemeinsame Nutzung von Schlüsselmaterialien.

  • Halten Sie sich bei der Erstellung von IAM-Richtlinien an das Prinzip der Berechtigungen mit den geringsten Rechten.

  • Sie können keine Änderungen am Schlüssel für die Replikatregion vornehmen, da es sich um einen schreibgeschützten Schlüssel handelt.

Bewährte Methoden

Im Folgenden finden Sie einige bewährte Methoden für die Verwendung der regionsübergreifenden Schlüsselreplikation mit AWS Payment Cryptography-Schlüsseln.

  • Stellen Sie sicher, dass Ihre Anwendung auch dann weiterhin funktioniert, wenn die Schlüsselreplikation für mehrere Regionen auf die angegebene Datei nicht sofort AWS-Region erfolgt. Wenn Sie wissen möchten, wann die Schlüsselreplikation für mehrere Regionen abgeschlossen ist, können Sie dies mithilfe der GetKeyAPI-Aktion überwachen. Sie können wichtige Replikationsereignisse mit AWS CloudTrailüberwachen.

  • Testen und implementieren Sie automatisierte Bereitstellungsprozesse für den Fall eines Failovers von einer AWS-Region Region in eine andere.

Preise

Ihnen werden replizierte Regionsschlüssel in Rechnung gestellt, die Sie mit AWS Payment Cryptography erstellen. Diese Schlüssel werden pro berechnet. AWS-Region Die neuesten Preisinformationen für Payment Cryptography finden Sie auf der Preisseite für AWS Payment Cryptography.