Chaves de várias regiões em AWS KMS
O AWS KMS oferece suporte a chaves de várias regiões, que são AWS KMS keys em diferentes Regiões da AWS que podem ser usadas de maneira alternada, como se você tivesse a mesma chave em várias Regiões. Cada conjunto de chaves de várias regiões relacionadas tem o mesmo material de chave e ID da chave, portanto, você pode criptografar dados em uma Região da AWS e descriptografá-los em uma Região da AWS diferente sem recriptografar ou fazer uma chamada entre regiões para o AWS KMS.
Como todas as chaves do KMS, chaves de várias regiões nunca saem do AWS KMS não criptografadas. Você pode criar chaves de várias regiões simétricas ou assimétricas para criptografia ou assinatura, criar chaves de várias regiões de HMAC para gerar e verificar etiquetas de HMAC, e criar chaves de várias regiões com material de chave importado ou o material de chave que o AWS KMS gera. Você deve gerenciar cada chave de várias regiões de maneira independente, incluindo a criação de aliases e tags, a definição de suas principais políticas e concessões e sua habilitação e sua desabilitação seletivas. Você pode usar chaves de várias regiões em todas as operações de criptografia que podem ser feitas com chaves de região única.
As chaves de várias regiões são uma solução flexível e eficiente para vários cenários comuns de segurança de dados.
- Recuperação de desastres
-
Em uma arquitetura de backup e recuperação, chaves de várias regiões permitem processar dados criptografados sem interrupção, mesmo no caso de uma Interrupção na Região da AWS. Os dados mantidos na região de backup podem ser descriptografados nessa região, enquanto os dados recém-criptografados na região de backup podem ser descriptografados na região principal quando esta for restaurada.
- Gerenciamento de dados globais
-
As empresas que operam globalmente precisam de dados distribuídos globalmente que estejam disponíveis de forma consistente entre Regiões da AWS. Você pode criar chaves de várias regiões em todas as regiões nas quais seus dados residem e, em seguida, usar essas chaves como se fossem uma chave de região única, sem a latência de uma chamada entre regiões ou o custo de recriptografar os dados com uma chave diferente em cada região.
- Aplicações de assinatura distribuídas
-
As aplicações que exigem recursos de assinatura entre regiões podem usar chaves de assinatura assimétrica de várias regiões para gerar assinaturas digitais idênticas de maneira consistente e repetida em diferentes Regiões da AWS.
Se você usar o encadeamento de certificados com um único armazenamento de confiança global (para uma única autoridade de certificação [CA] raiz e CAs intermediárias regionais assinadas pela CA raiz, você não precisará de chaves multirregionais. No entanto, se o sistema não for compatível com CAs intermediárias, como assinatura de aplicações, você poderá usar chaves de várias regiões para trazer consistência às certificações regionais.
- Aplicações ativas-ativas que abrangem várias regiões
-
Algumas workloads e aplicações podem abranger várias regiões em arquiteturas ativas-ativas. Para essas aplicações, chaves de várias regiões podem reduzir a complexidade, fornecendo o mesmo material de chave para operações simultâneas de criptografia e descriptografia em dados que podem estar se movendo pelos limites da região.
Você pode usar chaves de várias regiões com bibliotecas de criptografia do lado do cliente, como AWS Encryption SDK, AWS Database Encryption SDK e a criptografia do lado do cliente do Amazon S3.
Serviços da AWS que se integram ao AWS KMS
Chaves de várias Regiões não são globais. Você cria uma chave primária de várias Regiões e, em seguida, a replica em Regiões selecionadas em uma partição da AWS. Em seguida, você gerencia a chave de várias Regiões em cada Região independentemente. Nem o AWS, nem o AWS KMS cria ou replica automaticamente chaves de várias Regiões em qualquer Região em seu nome. Chaves gerenciadas pela AWS, as chaves do KMS que os serviços da AWS criam na sua conta para você, são sempre chaves de uma única Região.
Nas regiões China, você pode usar o atributo de chave multirregional para replicar chaves do KMS dentro da partição Regiões China (aws-cn). Por exemplo, você pode replicar uma chave da região China (Pequim) para China (Ningxia) ou vice-versa. Ao replicar uma chave de uma região China para outra, você concorda em usar o AWS Key Management Service da região de destino e cumprir todos os termos de contrato aplicáveis à região de destino. Não é possível replicar uma chave das regiões Pequim e Ningxia em uma região da AWS fora da partição Regiões China. Da mesma forma, você não pode replicar uma chave de uma região fora da partição Regiões China para as regiões Pequim e Ningxia.
Não é possível converter uma chave de Região única existente em uma chave de várias Regiões. Esse design garante que todos os dados protegidos com chaves de Região única existentes mantenham as mesmas propriedades de residência e soberania dos dados.
Para a maioria das necessidades de segurança de dados, o isolamento Regional e a tolerância a falhas dos recursos Regionais tornam as chaves de Região única padrão do AWS KMS uma solução bem mais adequada. No entanto, quando você precisa criptografar ou assinar dados em aplicações no lado do cliente em várias Regiões, as chaves de várias Regiões podem ser a melhor solução.
Regiões
As chaves multirregionais são compatíveis com todas as Regiões da AWS compatíveis com o AWS KMS.
Preços e cotas
Cada chave em um conjunto de chaves de várias Regiões relacionado conta como uma única chave do KMS para preços e cotas. As cotas do AWS KMS são calculadas separadamente para cada Região de uma conta. O uso e o gerenciamento das chaves de várias Regiões em cada Região contam para as cotas para essa Região.
Tipos de chave do KMS com suporte
É possível criar os seguintes tipos de chaves KMS multirregionais:
-
Chaves do KMS de criptografia simétrica
-
Chaves do KMS assimétricas
-
Chaves do KMS de HMAC
-
Chaves do KMS com material de chave importado
Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.
Saiba mais
-
Para saber como controlar o acesso a chaves do KMS de várias regiões, consulte Controlar o acesso a chaves de várias regiões.
-
Para criar chaves do KMS primárias de várias regiões, consulte Criar chaves primárias de várias regiões.
-
Para criar chaves do KMS de réplica de várias regiões, consulte Criar chaves de réplica de várias regiões.
-
Para atualizar a região primária, consulte Alterar a chave primária em um conjunto de chaves de várias regiões.
-
Para identificar e visualizar chaves do KMS de várias regiões, consulte Identificar chaves do KMS de HMAC.
-
Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS de várias regiões, consulte Deleting multi-Region keys.
Terminologia e conceitos
Os seguintes termos e conceitos são usados com chaves de várias Regiões.
Chave de várias Regiões
A chave de várias Regiões é uma chave de um conjunto de chaves do KMS com o mesmo ID de chave e material de chave (e outras propriedades compartilhadas) em diferentes Regiões da AWS. Cada chave de várias Regiões é uma chave do KMS totalmente funcional que pode ser usada de maneira independente de suas chaves de várias Regiões relacionadas. Como todas as chaves de várias Regiões relacionadas têm o mesmo ID de chave e material de chave, elas são interoperáveis, ou seja, qualquer chave de várias Regiões relacionada em qualquer Região da AWS pode descriptografar texto criptografado por qualquer outra chave de várias Regiões relacionada.
Você define a propriedade de várias Regiões de uma chave do KMS ao criá-la. Não é possível alterar a propriedade de várias regiões em uma chave existente. Não é possível converter uma chave de região única em chave de várias regiões nem converter uma chave de várias regiões em uma chave de região única. Para mover workloads existentes para cenários de várias regiões, é necessário recriptografar seus dados ou criar novas assinaturas com novas chaves de várias regiões.
Uma chave de várias Regiões pode ser simétrica ou assimétrica e pode usar material de chave do AWS KMS ou material de chave importado. Não é possível criar chaves de várias Regiões em um armazenamento de chaves personalizado.
Em um conjunto de chaves de várias Regiões relacionadas, há exatamente uma chave primária em um determinado momento. Você pode criar chaves de réplica dessa chave primária em outras Regiões da AWS. Também pode atualizar a região primária, o que transforma a chave primária em uma chave de réplica e transforma uma chave de réplica especificada na chave primária. Porém, apenas é possível manter chave primária ou chave de réplica em cada Região da AWS. Todas as Regiões devem estar na mesma partição da AWS.
Você pode ter diversos conjuntos de chaves de várias regiões relacionadas nas mesmas ou em regiões diferentes Regiões da AWS. Embora chaves de várias Regiões relacionadas sejam interoperáveis, chaves de várias Regiões não relacionadas não são interoperáveis.
Chave primária
Uma chave primária de várias Regiões é uma chave do KMS que pode ser replicada em outras Regiões da AWS na mesma partição. Cada conjunto de chaves de várias Regiões tem somente uma chave primária.
Uma chave primária é diferente de uma chave de réplica nos seguintes aspectos:
-
Somente uma chave primária pode ser replicada.
-
A chave primária é a fonte de propriedades compartilhadas de suas chaves de réplica, incluindo o material da chave e o ID da chave.
-
Você pode habilitar e desabilitar a alternância automática de chaves somente em uma chave primária.
-
Você pode programar a exclusão de uma chave primária a qualquer momento. Porém, o AWS KMS não excluirá uma chave primária até que todas as chaves de réplica sejam excluídas.
Entretanto, as chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente.
Não é necessário replicar uma chave primária. Você pode usá-la como faria com qualquer chave do KMS e replicá-la se e quando ela for útil. No entanto, como chaves de várias Regiões têm propriedades de segurança diferentes das chaves de uma única Região, recomendamos criar uma chave de várias Regiões apenas quando você planeja replicá-la.
Chave de réplica
Uma chave de réplica de várias regiões é uma chave do KMS que tem o mesmo ID de chave e material de chave da sua chave primária e chaves de réplica relacionadas, mas existe em outra Região da AWS.
Uma chave de réplica é uma chave do KMS totalmente funcional com sua própria política de chave, concessões, alias, etiquetas e outras propriedades. Ela não é uma cópia ou ponteiro da chave primária ou de qualquer outra chave. Você pode usar uma chave de réplica mesmo quando sua chave primária e todas as chaves de réplica relacionadas estão desabilitadas. Também pode converter uma chave de réplica em uma chave primária, e vice-versa. Depois de criada, uma chave de réplica depende de sua chave primária somente para alternância de chaves e atualização da Região primária.
Chaves primárias e de réplica não diferem em nenhuma propriedade criptográfica. É possível usar uma chave primária e suas chaves de réplica alternadamente. Os dados criptografados por uma chave primária ou uma chave de réplica podem ser descriptografados pela mesma chave ou por qualquer chave primária ou chave de réplica relacionada.
Replicar
Você pode replicar uma chave primária de várias Regiões uma Região da AWS diferente na mesma partição. Quando você faz isso, o AWS KMS cria uma chave-réplica multirregional na região especificada com o mesmo ID de chave e outras propriedades compartilhadas da chave primária. Em seguida, ele transporta com segurança o material de chave pelo limite da Região e o associa à nova chave de réplica, tudo dentro do AWS KMS.
Propriedades compartilhadas
Propriedades compartilhadas são propriedades de uma chave primária de várias Regiões que são compartilhadas com suas chaves de réplica. O AWS KMS cria as chaves de réplica com os mesmos valores de propriedades compartilhadas da chave primária. Em seguida, ele sincroniza periodicamente os valores das propriedades compartilhadas da chave primária com suas chaves de réplica. Não é possível definir essas propriedades em uma chave de réplica.
Veja a seguir as propriedades compartilhadas de chaves de várias Regiões.
-
ID da chave: (O elemento
Regiondo elemento do é diferente do ARN da chave.) -
Especificação da chave e algoritmos de criptografia
-
Alternância da chave automática:: você pode habilitar e desabilitar a alternância automática de chaves somente em uma chave primária. Novas chaves de réplica são criadas com todas as versões do material de chave compartilhado. Para obter detalhes, consulte Rotating multi-Region keys.
-
Alternância sob demanda: você só pode realizar a alternância sob demanda na chave primária. Novas chaves de réplica são criadas com todas as versões do material de chave compartilhado. Para obter detalhes, consulte Rotating multi-Region keys.
Você também pode pensar nemas designações primárias e de réplicas de chaves de várias Regiões relacionadas como propriedades compartilhadas. Quando você cria novas chaves de réplica ou atualizar a chave primária, o AWS KMS sincroniza a alteração para todas as chaves de várias Regiões relacionadas. Quando essas alterações estiverem concluídas, todas as chaves de várias Regiões relacionadas listarão suas chaves primárias e chaves de réplica com precisão.
Todas as outras propriedades das chaves de várias regiões são propriedades independentes, incluindo descrição, política de chaves, concessões, estados de chave habilitadas e desabilitadas, aliases e etiquetas. Você pode definir os mesmos valores para essas propriedades em todas as chaves de várias regiões relacionadas. Porém, se você alterar o valor de uma propriedade independente, o AWS KMS não a sincronizará.
Você pode rastrear a sincronização das propriedades compartilhadas das suas chaves de várias regiões. No log do AWS CloudTrail, procure o evento SynchronizeMultiRegionKey.
