Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Funcionamiento de las claves de varias regiones Se empieza por crear una [clave principal multirregional](multi-region-keys-overview.md#mrk-primary-key) simétrica o asimétrica en una Región de AWS que AWS KMS sea compatible, como US East (Virginia del Norte). Usted decide si una clave es de una región o de varias regiones únicamente cuando la crea; no puede cambiar esta propiedad más adelante. Al igual que con cualquier clave KMS, debe establecer una política de clave para la clave de varias regiones, y se pueden crear concesiones y agregar alias y etiquetas para la categorización y autorización. (Estas son [propiedades independientes](multi-region-keys-overview.md#mrk-sync-properties) que no están compartidas ni sincronizadas con otras claves). Puede utilizar la clave principal de varias regiones en operaciones criptográficas para el cifrado o la firma. Puede [crear una clave principal multirregional](create-primary-keys.md) en la AWS KMS consola o mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API con el `MultiRegion` parámetro establecido en. `true` Observe que las claves de varias regiones tienen un ID de clave distintivo que comienza con `mrk-`. Puede usar el `mrk-` prefijo para MRKs identificarse mediante programación. ![](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-primary-key.png) Si lo desea, puede [replicar](multi-region-keys-overview.md#replicate) la clave principal multirregional en una o más unidades diferentes Regiones de AWS de la misma [AWS partición](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), como Europa (Irlanda). Al hacerlo, AWS KMS crea una [clave de réplica](multi-region-keys-overview.md#mrk-replica-key) en la región especificada con el mismo ID de clave y otras [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) que la clave principal. El resultado son dos claves de varias regiones *relacionadas* (una clave principal y una clave de réplica) que se pueden utilizar de forma intercambiable. Puede [crear una clave de réplica multirregional](multi-region-keys-replicate.md) en la AWS KMS consola o mediante la [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)API. ![](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-replica-key.png) El resultado de la [clave de réplica de varias regiones](multi-region-keys-overview.md#mrk-replica-key) es una clave KMS completamente funcional con las mismas [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) que la clave principal. En todos los demás aspectos, es una clave KMS independiente con su propia descripción, política de clave, concesiones, alias y etiquetas. La habilitación o deshabilitación de una clave de varias regiones no tiene ningún efecto en las claves de varias regiones relacionadas. Puede utilizar las claves principal y de réplica de forma independiente en operaciones criptográficas o coordinar su uso. Por ejemplo, puede cifrar datos con la clave principal en la región EE .UU. Este (Norte de Virginia), mover los datos a la región Europa (Irlanda) y usar la clave de réplica para descifrar los datos. Las claves de varias regiones relacionadas tienen el mismo ID de clave. Su clave ARNs (Amazon Resource Names) solo difiere en el campo Región. Por ejemplo, la clave principal multirregional y las claves de réplica pueden tener la siguiente clave ARNs de ejemplo. El ID de clave, que es el último elemento de la clave ARN, es idéntico. Ambas claves tienen el ID de clave distintivo de las claves de varias regiones, que comienza con **mrk-**. ``` Primary key: arn:aws:kms:{{us-east-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:{{eu-west-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab ``` Se requiere tener el mismo ID de clave para lograr interoperabilidad. Al cifrar, AWS KMS vincula el ID de clave de la clave KMS al texto cifrado para que el texto cifrado solo se pueda descifrar con esa clave KMS o con una clave KMS con el mismo ID de clave. Esta característica también facilita el reconocimiento de las claves de varias regiones relacionadas y facilita su uso de forma intercambiable. Por ejemplo, cuando se utilizan en una aplicación, puede hacer referencia a las claves de varias regiones relacionadas por su ID de clave compartida. A continuación, si es necesario, especifique la Región o ARN para distinguirlos. A medida que cambien sus necesidades de datos, puede replicar la clave principal Regiones de AWS en otra de la misma partición, como EE. UU. oeste (Oregón) y Asia Pacífico (Sídney). El resultado son cuatro claves multirregionales *relacionadas* con el mismo material de clave y clave IDs, como se muestra en el siguiente diagrama. Administra las claves de forma independiente. En el caso de las claves multirregionales con material clave importado, usted es responsable de importar el material clave a cada clave relacionada de forma individual. Puede usarlas de forma independiente o coordinada. Por ejemplo, puede cifrar datos con la clave de réplica en Asia-Pacífico (Sídney), mover los datos a EE. UU. Oeste (Oregón) y descifrarlos con la clave de réplica en EE. UU. Oeste (Oregón). ![Las claves principal y de réplica en una clave de varias regiones](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-keys.png) Otras consideraciones para las claves de varias regiones son las siguientes. *Sincronización de propiedades compartidas*[: si una [propiedad compartida](multi-region-keys-overview.md#mrk-sync-properties) de las claves multirregionales cambia, sincroniza AWS KMS automáticamente el cambio de la [clave principal a todas sus claves](multi-region-keys-overview.md#mrk-primary-key) de réplica.](multi-region-keys-overview.md#mrk-replica-key) No puede solicitar ni forzar la sincronización de las propiedades compartidas. AWS KMS detecta y sincroniza todos los cambios por usted. Sin embargo, puede auditar la sincronización utilizando el [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento en los CloudTrail registros. Por ejemplo, si habilitas la rotación automática de claves en una clave principal simétrica multirregional con `AWS_KMS` origen, AWS KMS copia esa configuración en todas sus réplicas de claves. Cuando se gira el material clave, la rotación se sincroniza entre todas las claves de varias regiones relacionadas, de modo que sigan teniendo el mismo material clave actual y acceso a todas las versiones anteriores del material clave. Si crea una nueva clave de réplica, tiene el mismo material de clave actual de todas las claves de varias regiones relacionadas y acceso a todas las versiones anteriores del material claves. Para obtener más información, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate). *Cambio de la clave principal*: cada conjunto de claves de varias regiones debe tener exactamente una clave principal. La [clave principal](multi-region-keys-overview.md#mrk-primary-key) es la única clave que se puede replicar. También es el origen de las propiedades compartidas de sus claves de réplica. Sin embargo, puede cambiar la clave principal a una réplica y promover una de las claves de réplica a primaria. Puede hacerlo para eliminar una clave principal de varias regiones de una región determinada o ubicar la clave principal en una región más cercana a los administradores del proyecto. Para obtener más información, consulte [Cambio de la clave principal en un conjunto de claves de varias regiones](multi-region-update.md). *Eliminar claves multirregionales*: al igual que todas las claves de KMS, debe programar la eliminación de claves multirregionales antes de eliminarlas. AWS KMS Mientras la clave está pendiente de eliminación, no puede utilizarla en ninguna operación criptográfica. Sin embargo, no AWS KMS eliminará una clave principal multirregional hasta que se eliminen todas sus claves de réplica. Para obtener información, consulte [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).