Replicando chaves AWS de criptografia de pagamento - AWS Criptografia de pagamento
Benefícios da replicação de chaves em várias regiõesComo funciona a replicação de chaves em várias regiõesLimitações e consideraçõesHabilitando a replicação de chaves em várias regiõesDesativando a replicação de chaves em várias regiõesConsiderações sobre segurançaPráticas recomendadasPreços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replicando chaves AWS de criptografia de pagamento

AWS A criptografia de pagamento oferece suporte à replicação de chaves em várias regiões, permitindo que você distribua com segurança o material e os metadados de qualquer chave criptográfica de AWS pagamento para uma ou mais Regiões da AWS dentro da mesma partição e conta. AWS

A chave de origem é conhecida como chave de região primária (PRK) e continua sendo a fonte autorizada para todas as atividades de gerenciamento de chaves, enquanto as chaves PRK e de região de réplica (RRK) podem ser usadas para operações criptográficas em suas respectivas. Regiões da AWS

Benefícios da replicação de chaves em várias regiões

A seguir, descrevemos alguns benefícios da replicação de chaves em várias regiões.

  • Configuração mais fácil para aplicativos de alta disponibilidade - a criptografia de AWS pagamento gerencia a distribuição de chaves para que você possa usar uma chave em várias Regiões da AWS sem precisar criar cópias desacopladas de uma determinada chave.

  • Chaves de alta disponibilidade e baixa latência - Com a replicação de chaves em várias regiões, você pode acessar suas chaves em várias, Regiões da AWS tornando-as altamente disponíveis, resultando em menor latência.

  • Durabilidade do material chave - As chaves de região de réplica são réplicas de chaves completas e podem ser usadas independentemente da chave de região primária em operações criptográficas. Um RRK fornece uma réplica durável no caso de uma perda catastrófica de dados de um PRK.

Como funciona a replicação de chaves em várias regiões

Quando a replicação de chaves multirregionais está ativada, o serviço de criptografia de AWS pagamento usa mecanismos seguros de distribuição de chaves para copiar o material e os metadados da chave para a réplica especificada. Regiões da AWS As alterações nos metadados da chave da região primária, como atributos principais, estado e habilitação, são automaticamente replicadas nas chaves da região de réplica.

Limitações e considerações

A seguir estão algumas das principais limitações e considerações sobre a replicação multirregional.

  • Você deve habilitar esse recurso para uma chave específica de criptografia de pagamento Região da AWS ou para uma chave específica.

    • Se esse recurso estiver ativado para um Região da AWS, todas as chaves AWS de criptografia de pagamento criadas após a ativação serão replicadas para a especificada. Região da AWS As chaves criadas nessa região se tornarão chaves da região primária. As chaves existentes nessa região não serão replicadas automaticamente. Você pode habilitar a replicação de chaves multirregionais para chaves existentes em um Região da AWS nível de chave.

    • Cada um Região da AWS pode ter configurações exclusivas de replicação de chaves multirregionais.

    • As configurações de replicação multirregional de uma chave têm precedência sobre a configuração de replicação de chaves Região da AWS multirregionais.

  • Uma chave de região de réplica não pode ser configurada para ser replicada para outra. Regiões da AWS

  • A replicação de chaves em várias regiões está disponível para chaves simétricas de criptografia de pagamento, como Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES) e HMAC (HH-based Message Authentication Code).

  • As chaves de criptografia de pagamento assimétrico não oferecem suporte à replicação de chaves em várias regiões.

  • As chaves de região de réplica são chaves somente para leitura. Todas as alterações na chave de região primária serão aplicadas às chaves de região de réplica.

  • Eventualmente, as alterações nas chaves da região primária são consistentes com as chaves da região de réplica.

  • As chaves de criptografia de pagamento só podem ser replicadas com a mesma AWS partição e conta.

  • As chaves da região de réplica contam para seu limite Conta da AWS de criptografia AWS de pagamento de nível.

  • A chave de região primária e a chave de região de réplica usam o mesmo identificador de chave, o que permite referenciar ambas as chaves pelo mesmo ARN nas políticas do IAM.

Habilitando a replicação de chaves em várias regiões

Há duas maneiras de ativar a replicação de chaves multirregionais para chaves de criptografia AWS de pagamento.

  1. Região da AWS: a replicação de chaves multirregionais é aplicada a todas as novas chaves criadas nela Região da AWS quando ativada. Esse método fornece replicação consistente para todas as chaves.

  2. Chaves criptográficas de AWS pagamento específicas: você pode gerenciar a replicação de chaves em várias regiões para chaves individuais, permitindo um nível de controle mais granular.

Depois que a replicação de chaves multirregionais estiver ativada, suas chaves de criptografia de pagamento serão replicadas para o que você especificar. Regiões da AWS

Importante

A replicação de chaves em várias regiões não pode ser pausada. Suas chaves são replicadas automaticamente para o que Regiões da AWS você especifica quando a replicação é ativada. A replicação de chaves em várias regiões pode ser desativada para uma chave específica Região da AWS ou para chaves de criptografia de pagamento. Você deve remover o Região da AWS como região de replicação da chave de região primária para excluir a chave de região de réplica.

Como alternativa, você pode chamar o comando da StopKeyUsageAPI ou da stop-key-usageCLI na sua PRK para interromper o uso da PRK e de todas as associadas. RRKs Você não conseguirá usar essas chaves em operações criptográficas. Usar o comando StopKeyUsage da API ou da stop-key-usage CLI não interromperá a replicação contínua de chaves multirregionais habilitada para sua PRK.

Você pode verificar as configurações de replicação de chaves multirregionais para chaves AWS de criptografia de pagamento em uma específica Região da AWS chamando o comando da API GetDefaultKeyReplicationRegions ou da CLIget-default-key-replication-regions. As chaves em Região da AWS que você chama essa ação ou comando da API se tornarão sua PRK.

Use os procedimentos a seguir para habilitar a replicação de chaves multirregionais.

For Região da AWS

  • Use o comando a seguir para habilitar a replicação de chaves multirregionais para um Região da AWS que você especificar. Neste exemplo, a replicação de chaves multirregionais está habilitada no Leste dos EUA (Ohio) e Oeste dos EUA (Oregon). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
nota

Habilitar a replicação de chaves multirregionais para um não Região da AWS alterará a configuração de replicação de nenhuma chave de criptografia de AWS pagamento existente. Você pode ativar esse recurso para chaves existentes no nível da chave. Somente as chaves criadas após a replicação de chaves multirregionais estiverem habilitadas para e Região da AWS usarão as configurações de replicação da região.

For specific AWS Payment Cryptography keys

  • Use o comando a seguir para habilitar a replicação de chaves multirregionais para chaves específicas de criptografia de pagamento. Neste exemplo, a replicação de chaves multirregionais está habilitada no Leste dos EUA (Ohio). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Como alternativa, você pode criar uma nova chave de criptografia de pagamento com esse recurso ativado, incluindo a replicação Regiões da AWS em sua solicitação de criação de chave.

nota

As principais configurações de replicação têm precedência sobre a configuração de Região da AWS replicação.

Desativando a replicação de chaves em várias regiões

Se quiser desabilitar a replicação de chaves multirregionais, você pode chamar os comandos da CLI ou da disable-default-key-replication remove-key-replication-regions CLI, dependendo de como a replicação de chaves multirregionais está habilitada. Você precisará especificar o ARN da chave e desativar a Região da AWS replicação de chaves multirregionais.

Considerações

Eventualmente, as exclusões de chaves da região de replicação são consistentes.

Você pode verificar as configurações de replicação de chaves multirregionais para chaves AWS de criptografia de pagamento em uma específica Região da AWS chamando o comando da API GetDefaultKeyReplicationRegions ou da CLIget-default-key-replication-regions.

Use os procedimentos a seguir para desativar a replicação de chaves multirregionais.

For Região da AWS

  • Use o comando a seguir para desativar a replicação de chaves multirregionais para uma Região da AWS que você especificar. Neste exemplo, a replicação de chaves multirregionais está desativada no Leste dos EUA (Ohio). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • Use o comando a seguir para desativar a replicação de chaves multirregionais para uma chave de criptografia de pagamento específica. Neste exemplo, a replicação de chaves multirregionais está sendo desativada no Leste dos EUA (Ohio). Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

Considerações sobre segurança

A seguir estão as considerações de segurança ao usar a replicação de chaves multirregionais para suas chaves de criptografia de pagamento. Para obter mais informações, consulte Melhores práticas de segurança para criptografia AWS de pagamentos.

  • Limite o compartilhamento de materiais importantes.

  • Siga as principais permissões de privilégios mínimos ao criar políticas do IAM.

  • Você não pode fazer alterações na chave da região da réplica, pois ela é uma chave somente para leitura.

Práticas recomendadas

A seguir estão algumas das melhores práticas ao usar a replicação de chaves multirregionais com chaves de criptografia AWS de pagamento.

  • Garanta que seu aplicativo continue funcionando mesmo que a replicação da chave multirregional para o especificado não Região da AWS seja imediata. Se precisar saber quando a replicação da chave multirregional está concluída, você pode monitorar com a ação da GetKeyAPI. Você pode monitorar os principais eventos de replicação com AWS CloudTrail.

  • Teste e implemente processos de implantação automatizados em caso de failover de uma região Região da AWS para outra.

Preços

Você é cobrado pelas chaves de região de réplica que você cria com criptografia AWS de pagamento. Essas chaves são cobradas por Região da AWS. Para obter as informações mais recentes sobre preços da Criptografia de Pagamento, consulte a página de preços da Criptografia de AWS Pagamento.