Replicación de claves de criptografía AWS de pago - AWS Criptografía de pagos
Ventajas de la replicación de claves multirregionalCómo funciona la replicación de claves multirregionalLimitaciones y consideracionesHabilitar la replicación de claves multirregionalesDeshabilitar la replicación de claves multirregionalesConsideraciones de seguridadPrácticas recomendadasPrecios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Replicación de claves de criptografía AWS de pago

AWS La criptografía de pagos admite la replicación de claves multirregionales, lo que le permite distribuir de forma segura el material clave y los metadatos de cualquier clave criptográfica de AWS pago determinada a una o más de las mismas particiones y Regiones de AWS cuentas. AWS

La clave fuente se conoce como clave de región principal (PRK) y sigue siendo la fuente autorizada para todas las actividades de administración de claves, mientras que tanto la clave PRK como la clave de región de réplica (RRK) se pueden utilizar para las operaciones criptográficas respectivas. Regiones de AWS

Ventajas de la replicación de claves multirregional

A continuación, se describen algunos de los beneficios de la replicación de claves multirregional.

  • Configuración más sencilla para aplicaciones de alta disponibilidad: la criptografía de AWS pagos se encarga de la distribución de claves para que pueda utilizar una clave en varias Regiones de AWS sin necesidad de crear copias disociadas de una clave determinada.

  • Claves de alta disponibilidad y baja latencia: con la replicación de claves multirregional, puede acceder a sus claves en varias, Regiones de AWS lo que hace que tengan una alta disponibilidad, lo que reduce la latencia.

  • Durabilidad del material clave: las claves de región de réplica son réplicas de claves completas y se pueden utilizar independientemente de su clave de región principal en las operaciones criptográficas. Una RRK proporciona una réplica duradera en caso de una pérdida de datos catastrófica de una PRK.

Cómo funciona la replicación de claves multirregional

Cuando la replicación de claves multirregional está habilitada, el servicio de criptografía de AWS pagos utiliza mecanismos seguros de distribución de claves para copiar el material clave y los metadatos a la réplica Regiones de AWS que especifique. Los cambios en los metadatos clave de una región principal, como los atributos clave, el estado y la habilitación, se replican automáticamente en las claves de la región de la réplica.

Limitaciones y consideraciones

A continuación, se indican algunas limitaciones y consideraciones clave para la replicación multirregional.

  • Debe habilitar esta función para una Región de AWS o varias claves de criptografía de pago específicas.

    • Si esta función está habilitada para una Región de AWS, todas las claves de criptografía de AWS pagos creadas después de la activación se replicarán en las especificadas. Región de AWS Las claves creadas en esta región se convertirán en claves de la región principal. Las claves existentes en esta región no se replicarán automáticamente. Puede habilitar la replicación de claves multirregionales para las claves existentes dentro de un Región de AWS nivel de clave.

    • Cada una de ellas Región de AWS puede tener una configuración única de replicación de claves multirregional.

    • La configuración de replicación multirregional de una clave tiene prioridad sobre la configuración de replicación de claves Región de AWS multirregional.

  • No se puede configurar una clave de región de réplica para que se replique en otra. Regiones de AWS

  • La replicación de claves multirregionales está disponible para claves de criptografía de pagos simétricas, como el triple estándar de cifrado de datos (3DES), el estándar de cifrado avanzado (AES) y el código de autenticación de mensajes basado en hash (HMAC).

  • Las claves de criptografía de pago asimétricas no admiten la replicación de claves multirregionales.

  • Las claves de región de réplica son claves de solo lectura. Todos los cambios en la clave de región principal se aplicarán a las claves de región de réplica.

  • En última instancia, los cambios en la clave de región principal son coherentes con las claves de región de la réplica.

  • Las claves de criptografía de pago solo se pueden replicar con la misma AWS partición y cuenta.

  • Las claves de Réplica Region cuentan para el límite de criptografía Cuenta de AWS de AWS pagos de su nivel.

  • La clave de región principal y la clave de región de réplica utilizan el mismo identificador de clave, lo que le permite hacer referencia a ambas claves mediante el mismo ARN en las políticas de IAM.

Habilitar la replicación de claves multirregionales

Hay dos formas de habilitar la replicación de claves multirregionales para las claves de criptografía AWS de pagos.

  1. Región de AWS: La replicación de claves multirregional se aplica a todas las claves nuevas que Región de AWS se creen en ella cuando está habilitada. Este método proporciona una replicación uniforme para todas las claves.

  2. Claves AWS de criptografía de pago específicas: puede gestionar la replicación de claves multirregionales para claves individuales, lo que permite un nivel de control más detallado.

Una vez habilitada la replicación de claves multirregionales, sus claves de criptografía de pagos se replicarán según lo que especifique. Regiones de AWS

importante

La replicación de claves multirregionales no se puede pausar. Las claves se replican automáticamente según Regiones de AWS lo especificado una vez que se habilita la replicación. La replicación de claves multirregionales se puede deshabilitar para una clave de criptografía específica Región de AWS o de pago. Debe eliminar la Región de AWS región de replicación de la clave de región principal para eliminar la clave de región de réplica.

Como alternativa, puede llamar al comando StopKeyUsageAPI o stop-key-usageCLI de su PRK para detener el uso tanto de la PRK como de todas las asociadas. RRKs No podrás usar estas claves en operaciones criptográficas. El uso de un comando StopKeyUsage API o stop-key-usage CLI no detendrá la replicación de claves multirregional en curso habilitada para su PRK.

Puede comprobar la configuración de replicación de claves multirregionales para las claves de criptografía de AWS pago en un lugar específico Región de AWS llamando al comando GetDefaultKeyReplicationRegions API o get-default-key-replication-regions CLI. Las claves Región de AWS donde llames a esta acción o comando de la API se convertirán en tu PRK.

Utilice los siguientes procedimientos para habilitar la replicación de claves multirregionales.

For Región de AWS

  • Utilice el siguiente comando para habilitar la replicación de claves multirregionales para una Región de AWS que especifique. En este ejemplo, la replicación de claves multirregional está habilitada en EE. UU. este (Ohio) y EE. UU. oeste (Oregón). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
nota

Si se habilita la replicación de claves multirregionales, no Región de AWS se cambiará la configuración de replicación de ninguna de las claves de criptografía de AWS pago existentes. Puede activar esta función para las claves existentes a nivel de clave. Solo las claves creadas después de activar la replicación de claves multirregionales Región de AWS utilizarán la configuración de replicación regional.

For specific AWS Payment Cryptography keys

  • Utilice el siguiente comando para habilitar la replicación de claves multirregionales para claves de criptografía de pago específicas. En este ejemplo, la replicación de claves multirregional está habilitada en EE. UU. Este (Ohio). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Como alternativa, puede crear una nueva clave de criptografía de pagos con esta función habilitada e incluir la replicación Regiones de AWS en su solicitud de creación de clave.

nota

La configuración de replicación de claves tiene prioridad sobre la configuración de Región de AWS replicación.

Deshabilitar la replicación de claves multirregionales

Si desea deshabilitar la replicación de claves multirregional, puede llamar a los comandos disable-default-key-replication o remove-key-replication-regions CLI, según cómo esté habilitada la replicación de claves multirregional. Deberá especificar el ARN de la clave y deshabilitar la Región de AWS replicación de claves multirregionales.

Consideraciones

En última instancia, las eliminaciones de claves de la región de replicación son consistentes.

Puede comprobar la configuración de replicación de claves multirregionales para las claves de criptografía de AWS pago en un lugar específico Región de AWS llamando al comando GetDefaultKeyReplicationRegions API o get-default-key-replication-regions CLI.

Utilice los siguientes procedimientos para deshabilitar la replicación de claves multirregionales.

For Región de AWS

  • Utilice el siguiente comando para deshabilitar la replicación de claves multirregionales para una Región de AWS que especifique. En este ejemplo, la replicación de claves multirregional está deshabilitada en el este de EE. UU. (Ohio). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Utilice el siguiente comando para deshabilitar la replicación de claves multirregionales para una clave de criptografía de pago específica. En este ejemplo, la replicación de claves multirregionales está deshabilitada en EE. UU. Este (Ohio). Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Consideraciones de seguridad

Las siguientes son consideraciones de seguridad al utilizar la replicación de claves multirregionales para sus claves de criptografía de pagos. Para obtener más información, consulte Prácticas recomendadas de seguridad para la criptografía AWS de pagos.

  • Limite el intercambio de materiales clave.

  • Siga el principio de permisos con privilegios mínimos al crear políticas de IAM.

  • No puede realizar cambios en la clave de región de réplica, ya que es una clave de solo lectura.

Prácticas recomendadas

Las siguientes son algunas de las mejores prácticas a la hora de utilizar la replicación de claves multirregionales con claves de criptografía de AWS pago.

  • Asegúrese de que su aplicación siga funcionando aunque la replicación de claves multirregionales a la especificada no Región de AWS sea inmediata. Si necesita saber cuándo se completa la replicación de claves multirregionales, puede monitorizarla con la acción de la GetKeyAPI. Puede monitorear los eventos de replicación clave con AWS CloudTrail.

  • Pruebe e implemente procesos de implementación automatizados en caso de conmutación por error de una región Región de AWS a otra.

Precios

Se le cobrará por las réplicas de claves de región que cree con AWS Payment Cryptography. Estas claves se cobran por. Región de AWS Para obtener la información más reciente sobre los precios de la criptografía de pagos, consulta la página de precios AWS de la criptografía de pagos.