AWS KMS: Clés multi-region

Dans les architectures cloud modernes, il est courant de déployer les ressources sur plusieurs régions AWS, pour répondre aux besoins de haute disponibilité, et de disaster recovery.

Cette approche introduit une complexité en la gestion des clés de chiffrement, car chaque région possède ses propres clés de chiffrement, ce qui entraîne une multiplication des clés, des policies et des configurations à maintenir.

Pour simplifier ce modèle et permettre une gestion cohérente du chiffrement à l’échelle globale, AWS propose une fonctionnalité dédiée : les Multi-Region Keys.

Une Multi-Region Key est une clé unique logiquement, répliquée automatiquement dans plusieurs régions AWS. Elle est composée d’une Primary Key et de Replica Keys, toutes partageant le même key material et le même Key ID.

Ainsi, au lieu de gérer plusieurs clés indépendantes par région, vous disposez d’une seule clé cohérente à l’échelle globale, ce qui simplifie fortement la gouvernance, l’automatisation et les opérations multi-régions.

Création et fonctionnement d’une Multi-Region Key

Dans la console KMS, Aller dans Customer managed keys et cliquer sur Create key

Selectionner Symmetric dans Key type et Encrypt and decrypt dans Key usage puis cliquer sur Advanced optionset Cocher Multi-Region key: C’est ici que tout se joue. Sans cette case, la clé ne pourra jamais avoir de replica.

Définir un nom et Cliquer sur Next

Ajouter des administrateurs si nécessaire et cliquer sur Next

Ajouter des utilisateurs et cliquer sur Next

Verifier la policy et et cliquer sur Next puis Lancer la création dans la derniere étape

Voici notre clé principale créée. avec l’id qui commence par mrk (Multi Region Key)

Création d’un Replica dans une autre région

Pour créer un replica dans une autre region, il faut acceder à la clé primaire, puis aller à l’onglet Regionality et cliquer sur Create new replica keys