Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Processo di replica per chiavi multi-regione AWS KMS utilizza un meccanismo di replica interregionale per copiare il materiale chiave in una chiave KMS da un HSM in uno Regione AWS a un HSM in un altro. Regione AWS Perché questo meccanismo funzioni, la chiave KMS replicata deve essere una chiave multi-regione. Quando si replica una chiave KMS da una regione all'altra, le regioni non possono comunicare direttamente, perché si trovano HSMs in reti isolate. I messaggi scambiati durante la replica tra regioni vengono invece recapitati da un servizio proxy. *Durante la replica tra regioni, ogni messaggio generato da un AWS KMS HSM viene firmato crittograficamente utilizzando una chiave di firma di replica.* Le chiavi di firma della replica (RSKs) sono chiavi ECDSA sulla curva NIST P-384. Ogni regione possiede almeno un RSK e il componente pubblico di ogni RSK è condiviso con tutte le altre regioni nella stessa partizione. AWS Il processo di replica tra regioni per copiare il materiale chiave dalla regione A alla regione B funziona come segue: 1. L'HSM nella regione B genera una chiave ECDH effimera sulla curva NIST P-384, la *chiave B dell'accordo di replica* (RAKB). La componente pubblica della chiave RAKB viene inviata a un HSM nella regione A dal servizio proxy. 1. L'HSM nella regione A riceve la componente pubblica di RAKB e genera quindi un'altra chiave ECDH effimera sulla curva NIST P-384, la *chiave A dell'accordo di replica* (RAKA). L'HSM gestisce lo schema di istituzione della chiave ECDH su RAKA e la componente pubblica di RAKB e deriva una chiave simmetrica dall'output, la *chiave di replica di wrapping* (RWK). La chiave RWK viene utilizzata per crittografare il materiale delle chiavi della chiave KMS multi-regione che viene replicata. 1. La componente pubblica di RAKA e il materiale chiave crittografato con la RWK vengono inviati all'HSM nella regione B tramite il servizio proxy. 1. L'HSM nella regione B riceve la componente pubblica di RAKA e il materiale chiave crittografato tramite la RWK. L'HSM deriva da RWK eseguendo lo schema di istituzione della chiave ECDH su RAKB e la componente pubblica di RAKA. 1. L'HSM nella regione B utilizza la RWK per decrittare il materiale chiave dalla regione A.