Réplication des clés AWS de chiffrement des paiements - AWS Cryptographie des paiements
Avantages de la réplication de clés multirégionaleComment fonctionne la réplication de clés multirégionaleLimites et considérationsActivation de la réplication des clés dans plusieurs régionsDésactivation de la réplication de clés multirégionaleConsidérations sur la sécuritéBonnes pratiquesTarification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réplication des clés AWS de chiffrement des paiements

AWS La cryptographie des paiements prend en charge la réplication de clés multirégions, ce qui vous permet de distribuer en toute sécurité le matériel clé et les métadonnées d'une clé de cryptographie de AWS paiement donnée vers une ou plusieurs personnes Régions AWS au sein de la même AWS partition et du même compte.

La clé source est connue sous le nom de clé de région primaire (PRK) et reste la source officielle pour toutes les activités de gestion des clés, tandis que les clés PRK et les clés de région de réplication (RRK) peuvent être utilisées pour les opérations cryptographiques dans leurs domaines respectifs. Régions AWS

Avantages de la réplication de clés multirégionale

Ce qui suit décrit certains avantages de la réplication de clés multirégionale.

  • Configuration simplifiée pour les applications à haute disponibilité - AWS Payment Cryptography gère la distribution des clés pour vous afin que vous puissiez utiliser une clé en plusieurs fois Régions AWS sans avoir à créer de copies découplées d'une clé donnée.

  • Clés à haute disponibilité et à faible latence - Grâce à la réplication des clés dans plusieurs régions, vous pouvez accéder à vos clés de manière multiple, Régions AWS ce qui les rend hautement disponibles, ce qui réduit le temps de latence.

  • Durabilité du matériau clé - Les clés de région de réplique sont des répliques complètes de clés et peuvent être utilisées indépendamment de leur clé de région principale dans les opérations cryptographiques. Un RRK fournit une réplique durable en cas de perte de données catastrophique d'un PRK.

Comment fonctionne la réplication de clés multirégionale

Lorsque la réplication de clés multirégionale est activée, le service de cryptographie des AWS paiements utilise des mécanismes de distribution de clés sécurisés pour copier les informations clés et les métadonnées sur la réplique Régions AWS que vous spécifiez. Les modifications apportées aux métadonnées clés d'une région principale, telles que les attributs clés, l'état et l'activation, sont automatiquement répliquées sur les clés de la région de réplication.

Limites et considérations

Voici quelques limitations et considérations clés relatives à la réplication multirégionale.

  • Vous devez activer cette fonctionnalité pour une clé de cryptographie de paiement Région AWS ou pour des clés spécifiques.

    • Si cette fonctionnalité est activée pour un Région AWS, toutes les clés de chiffrement des AWS paiements créées après l'activation seront répliquées à la valeur spécifiée. Région AWS Les clés créées dans cette région deviendront des clés de région principale. Les clés existantes dans cette région ne seront pas automatiquement répliquées. Vous pouvez activer la réplication de clés multirégions pour les clés existantes au niveau de la clé ou Région AWS au niveau de celle-ci.

    • Chacun Région AWS peut avoir des paramètres de réplication de clés multirégionaux uniques.

    • Les paramètres de réplication multirégion d'une clé ont priorité sur le paramètre de réplication de clé Région AWS multirégion.

  • Une clé de région de réplication ne peut pas être configurée pour être répliquée vers une autre Régions AWS.

  • La réplication de clés multirégionale est disponible pour les clés de cryptographie de paiement symétriques telles que le Triple Data Encryption Standard (3DES), le Advanced Encryption Standard (AES) et le code d'authentification des messages basé sur le hachage (HMAC).

  • Les clés de cryptographie de paiement asymétriques ne prennent pas en charge la réplication de clés multirégionales.

  • Les clés Replica Region sont des clés en lecture seule. Toutes les modifications apportées à la clé de région principale seront appliquées aux clés de région de réplication.

  • Les modifications des clés de région principale sont finalement cohérentes avec les clés de région de réplication.

  • Les clés de chiffrement des paiements ne peuvent être répliquées qu'avec la même AWS partition et le même compte.

  • Le nombre de clés de la région de réplication est pris en compte dans la limite AWS de cryptographie des paiements de votre Compte AWS niveau.

  • La clé de région principale et la clé de région de réplication utilisent le même identifiant de clé, ce qui vous permet de référencer les deux clés par le même ARN dans les politiques IAM.

Activation de la réplication des clés dans plusieurs régions

Vous pouvez activer la réplication des clés multirégionales pour les clés de cryptographie des AWS paiements de deux manières.

  1. Région AWS: La réplication de clés multirégionale est appliquée à toutes les nouvelles clés créées dans cette zone Région AWS lorsqu'elle est activée. Cette méthode assure une réplication cohérente pour toutes les clés.

  2. Clés AWS de cryptographie de paiement spécifiques : vous pouvez gérer la réplication des clés dans plusieurs régions pour des clés individuelles, ce qui permet un niveau de contrôle plus précis.

Une fois que la réplication des clés multirégions est activée, vos clés de chiffrement des paiements seront répliquées conformément à ce que vous avez spécifié. Régions AWS

Important

La réplication de clés multirégions ne peut pas être interrompue. Vos clés sont automatiquement répliquées vers celles Régions AWS que vous spécifiez une fois la réplication activée. La réplication de clés multirégions peut être désactivée pour une clé spécifique Région AWS ou pour des clés de cryptographie de paiement. Vous devez supprimer la clé de région principale en Région AWS tant que région de réplication pour supprimer la clé de région de réplication.

Vous pouvez également appeler l'StopKeyUsageAPI ou la commande stop-key-usageCLI sur votre PRK pour arrêter l'utilisation du PRK et de tous les composants associés. RRKs Vous ne pourrez pas utiliser ces clés dans des opérations cryptographiques. L'utilisation de l'StopKeyUsageAPI ou de la commande stop-key-usage CLI n'arrêtera pas la réplication de clé multirégionale en cours activée pour votre PRK.

Vous pouvez vérifier les paramètres de réplication des clés multirégionales pour les clés AWS de chiffrement des paiements dans un domaine spécifique en Région AWS appelant l'GetDefaultKeyReplicationRegionsAPI ou la commande get-default-key-replication-regions CLI. Les touches à l' Région AWS endroit où vous appelez cette action ou commande d'API deviendront votre PRK.

Utilisez les procédures suivantes pour activer la réplication de clés multirégions.

For Région AWS

  • Utilisez la commande suivante pour activer la réplication de clés multirégions pour un fichier Région AWS que vous spécifiez. Dans cet exemple, la réplication de clés multirégionale est activée dans l'est des États-Unis (Ohio) et dans l'ouest des États-Unis (Oregon). Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
Note

L'activation de la réplication de clés multirégionales pour et ne Région AWS modifiera pas la configuration de réplication des clés de cryptographie de AWS paiement existantes. Vous pouvez activer cette fonctionnalité pour les clés existantes au niveau des clés. Seules les clés créées après la réplication de clés multirégions sont activées et Région AWS utiliseront les paramètres de réplication des régions.

For specific AWS Payment Cryptography keys

  • Utilisez la commande suivante pour activer la réplication de clés multirégionales pour des clés de cryptographie de paiement spécifiques. Dans cet exemple, la réplication de clés multirégionale est activée dans l'est des États-Unis (Ohio). Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Vous pouvez également créer une nouvelle clé de chiffrement des paiements avec cette fonctionnalité activée en incluant la réplication Régions AWS dans votre demande de création de clé.

Note

Les principaux paramètres de réplication ont priorité sur le paramètre de Région AWS réplication.

Désactivation de la réplication de clés multirégionale

Si vous souhaitez désactiver la réplication de clés multirégions, vous pouvez appeler les commandes disable-default-key-replication ou les commandes remove-key-replication-regions CLI, selon la manière dont la réplication de clés multirégion est activée. Vous devez spécifier l'ARN de la clé et désactiver la réplication Région AWS de clé multirégionale.

Considérations

Les suppressions de clés de région de réplication sont finalement cohérentes.

Vous pouvez vérifier les paramètres de réplication des clés multirégionales pour les clés AWS de chiffrement des paiements dans un domaine spécifique en Région AWS appelant l'GetDefaultKeyReplicationRegionsAPI ou la commande get-default-key-replication-regions CLI.

Utilisez les procédures suivantes pour désactiver la réplication de clés multirégions.

For Région AWS

  • Utilisez la commande suivante pour désactiver la réplication de clés multirégions pour une opération Région AWS que vous spécifiez. Dans cet exemple, la réplication de clés multirégionale est désactivée dans l'est des États-Unis (Ohio). Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Utilisez la commande suivante pour désactiver la réplication de clé multirégionale pour une clé de cryptographie de paiement spécifique. Dans cet exemple, la réplication de clés multirégionale est désactivée dans l'est des États-Unis (Ohio). Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Considérations sur la sécurité

Les considérations de sécurité suivantes sont à prendre en compte lors de l'utilisation de la réplication de clés multirégionales pour vos clés de cryptographie de paiement. Pour de plus amples informations, veuillez consulter Bonnes pratiques de sécurité pour la cryptographie des AWS paiements.

  • Limitez le partage de documents clés.

  • Respectez le principe du moindre privilège lors de la création de politiques IAM.

  • Vous ne pouvez pas modifier la clé Replica Region car il s'agit d'une clé en lecture seule.

Bonnes pratiques

Voici quelques bonnes pratiques lors de l'utilisation de la réplication de clés multirégionales avec des clés de cryptographie AWS de paiement.

  • Assurez-vous que votre application continue de fonctionner même si la réplication de la clé multirégionale vers la clé spécifiée n' Région AWS est pas immédiate. Si vous avez besoin de savoir quand la réplication des clés multirégions est terminée, vous pouvez effectuer un suivi à l'aide de l'action GetKeyAPI. Vous pouvez surveiller les principaux événements de réplication avec AWS CloudTrail.

  • Testez et mettez en œuvre des processus de déploiement automatisés en cas de basculement d'une région Région AWS à l'autre.

Tarification

Les répliques de clés de région que vous créez à l'aide de AWS Payment Cryptography vous sont facturées. Ces clés sont facturées à l'unité Région AWS. Pour obtenir les dernières informations sur les tarifs de la cryptographie des paiements, consultez la page de tarification AWS de la cryptographie des paiements.