As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Como funcionam chaves de várias Regiões Você começa criando uma [chave primária multirregional](multi-region-keys-overview.md#mrk-primary-key) simétrica ou assimétrica em uma Região da AWS que AWS KMS ofereça suporte, como Leste dos EUA (Norte da Virgínia). Você decide se uma chave é de Região única ou de várias Regiões apenas ao criá-la. Não será possível alterar essa propriedade mais tarde. Como em qualquer chave do KMS, você define uma política de chave para a chave de várias Região, além de poder criar concessões e adicionar aliases e tags para categorização e autorização. (Estas são [propriedades independentes](multi-region-keys-overview.md#mrk-sync-properties) que não são compartilhadas ou sincronizadas com outras chaves.) Você pode usar sua chave primária de várias Regiões em operações de criptografia para criptografia ou assinatura. Você pode [criar uma chave primária multirregional](create-primary-keys.md) no AWS KMS console ou usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API com o `MultiRegion` parâmetro definido como. `true` Observe que chaves de várias Regiões têm um ID de chave distintivo que começa com `mrk-`. Você pode usar o `mrk-` prefixo para identificar MRKs programaticamente. ![](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/multi-region-primary-key.png) Se você escolher, poderá [replicar](multi-region-keys-overview.md#replicate) a chave primária multirregional em uma ou mais diferentes Regiões da AWS na mesma [AWS partição](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), como Europa (Irlanda). Ao fazer isso, AWS KMS cria uma [chave de réplica](multi-region-keys-overview.md#mrk-replica-key) na região especificada com o mesmo ID de chave e outras [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) da chave primária. O resultado são duas chaves de várias Regiões *relacionados*, uma chave primária e uma chave de réplica, que podem ser usadas de maneira intercambiável. Você pode [criar uma chave de réplica multirregional](multi-region-keys-replicate.md) no AWS KMS console ou usando a [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)API. ![](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/multi-region-replica-key.png) A [chave de réplica de várias Regiões](multi-region-keys-overview.md#mrk-replica-key) resultante é uma chave do KMS totalmente funcional com as mesmas [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) que a chave primária. Em todos os outros aspectos, ela é uma chave do KMS independente com sua própria descrição, política de chave, concessões, aliases e etiquetas. Habilitar ou desabilitar uma chave de várias Regiões não tem efeito sobre chaves de várias Regiões relacionadas. Você pode usar as chaves primárias e de réplica independentemente em operações de criptografia ou coordenar seu uso. Por exemplo, você pode criptografar dados com a chave primária na região Leste dos EUA (Norte da Virgínia), mover os dados até a região Europa (Irlanda) e usar a chave de réplica para descriptografar esses dados. Chaves de várias Regiões relacionadas têm o mesmo ID de chave. Sua chave ARNs (Amazon Resource Names) difere somente no campo Região. Por exemplo, a chave primária multirregional e as chaves de réplica podem ter o seguinte exemplo de chave. ARNs O ID da chave, o último elemento no ARN da chave, é idêntico. Ambas as chaves têm o ID de chave distinto de chaves de várias regiões, que começa com **mrk-**. ``` Primary key: arn:aws:kms:{{us-east-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:{{eu-west-1}}:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab ``` Ter o mesmo ID de chave é um requisito para interoperabilidade. Ao criptografar, AWS KMS vincula a ID da chave KMS ao texto cifrado para que o texto cifrado possa ser descriptografado somente com essa chave KMS ou com uma chave KMS com a mesma ID de chave. Esse recurso também torna as chaves de várias Regiões relacionadas fáceis de reconhecer e facilita sua utilização intercambiável. Por exemplo, ao usá-las em uma aplicação, você pode fazer referência a chaves de várias Regiões relacionadas com base no ID de chave compartilhada. Em seguida, se necessário, especifique a Região ou o ARN para diferenciá-las. Conforme suas necessidades de dados mudam, você pode replicar a chave primária para outra Regiões da AWS na mesma partição, como Oeste dos EUA (Oregon) e Ásia-Pacífico (Sydney). O resultado são quatro chaves multirregionais *relacionadas* com o mesmo material e chave IDs, conforme mostrado no diagrama a seguir. Você gerencia as chaves de maneira independente. Para chaves multirregionais com material de chave importado, você é responsável por importar o material de chaves para cada chave relacionada individualmente. Elas podem ser usadas de maneira independente ou coordenada. Por exemplo, é possível criptografar dados com a chave de réplica na região Ásia-Pacífico (Sydney), mover os dados para a região Oeste dos EUA (Oregon) e descriptografá-los com a chave de réplica na região Oeste dos EUA (Oregon). ![As chaves primária e réplica em uma chave multirregional](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/multi-region-keys.png) Outras considerações para chaves de várias Regiões incluem as seguintes. *Sincronização de propriedades compartilhadas* [— Se uma [propriedade compartilhada](multi-region-keys-overview.md#mrk-sync-properties) das chaves multirregionais for alterada, AWS KMS sincronizará automaticamente a alteração da [chave primária](multi-region-keys-overview.md#mrk-primary-key) para todas as suas chaves de réplica.](multi-region-keys-overview.md#mrk-replica-key) Você não pode solicitar ou forçar uma sincronização de propriedades compartilhadas. AWS KMS detecta e sincroniza todas as alterações para você. No entanto, você pode auditar a sincronização usando o [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento nos CloudTrail registros. Por exemplo, se você habilitar a rotação automática de chaves em uma chave primária multirregional simétrica com `AWS_KMS` origem, AWS KMS copiará essa configuração para todas as chaves de réplica. Quando o material de chave é alternado, a alternância é sincronizada entre todas as chaves de várias Regiões relacionadas, para que elas continuem a ter o mesmo material de chave atual e também acesso a todas as versões mais antigas do material de chave. Se você criar uma nova chave de réplica, ela terá o mesmo material de chave atual de todas as chaves de várias Regiões relacionadas e terá acesso a todas as versões anteriores do material de chave. Para obter detalhes, consulte [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate). *Alterar a chave primária*: todo conjunto de chaves de várias Regiões deve ter exatamente uma chave primária. A [chave primária](multi-region-keys-overview.md#mrk-primary-key) é a única que pode ser replicada. Ela é também a fonte das propriedades compartilhadas das suas chaves de réplica. Porém, você pode transformar a chave primária em uma réplica e promover uma das chaves de réplica para chave primária. Você pode fazer isso para excluir uma chave primária de várias Regiões de uma determinada Região ou localizar a chave primária em uma Região mais próxima dos administradores do projeto. Para obter detalhes, consulte [Alterar a chave primária em um conjunto de chaves de várias regiões](multi-region-update.md). *Excluindo chaves multirregionais — Como todas as chaves* KMS, você deve programar a exclusão das chaves multirregionais antes de excluí-las. AWS KMS Enquanto a exclusão da chave estiver pendente, não será possível usá-la em operações de criptografia. No entanto, não AWS KMS excluirá uma chave primária multirregional até que todas as chaves de réplica sejam excluídas. Para obter mais detalhes, consulte [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).