Grundkonzepte

Ein logischer Schlüssel, der den oberen Teil Ihrer Schlüsselhierarchie darstellt. Einem KMS-Schlüssel wird ein Amazon-Ressourcenname (ARN) zugewiesen, der eine eindeutige Schlüsselkennung oder Schlüssel-ID enthält. AWS KMS keys haben drei Typen:

Ein benutzerfreundlicher Name, der einem KMS-Schlüssel zugeordnet ist. Der Alias kann in vielen der AWS KMS-API-Operationen austauschbar mit der Schlüssel-ID verwendet werden.

Eine Richtlinie, die einem KMS-Schlüssel zugeordnet ist, die Berechtigungen für den Schlüssel definiert. Die Standardrichtlinie lässt alle von Ihnen definierten Prinzipale zu und erlaubt dem AWS-Konto, IAM-Richtlinien hinzuzufügen, die auf den Schlüssel verweisen.

Die delegierte Berechtigung zur Verwendung eines KMS-Schlüssels, wenn die beabsichtigten IAM-Prinzipale oder die Nutzungsdauer zu Beginn nicht bekannt sind und daher nicht zu einem Schlüssel oder einer IAM-Richtlinie hinzugefügt werden können. Eine Verwendung von Grants besteht darin, eingeschränkte Berechtigungen dafür zu definieren, wie ein AWS-Service einen KMS-Schlüssel verwenden kann. Der Service muss möglicherweise Ihren Schlüssel verwenden, um in Ihrem Namen asynchrone Arbeiten an verschlüsselten Daten durchzuführen, wenn kein direkt signierter API-Aufruf von Ihnen vorliegt.

Auf HSMs generierte kryptografische Schlüssel, die durch einen KMS-Schlüssel geschützt sind. AWS KMS ermöglicht es autorisierten Entitäten, Datenschlüssel abzurufen, die durch einen KMS-Schlüssel geschützt sind. Sie können sowohl als Klartext-Datenschlüssel (unverschlüsselt) als auch als verschlüsselte Datenschlüssel zurückgegeben werden. Datenschlüssel können symmetrisch oder asymmetrisch sein (wobei sowohl der öffentliche als auch der private Teil zurückgegeben wird).

Die verschlüsselte Ausgabe von AWS KMS, manchmal auch als Kundenverschlüsselungstext bezeichnet, um Verwirrung zu vermeiden. Verschlüsselungstext enthält verschlüsselte Daten mit zusätzlichen Informationen, die den KMS-Schlüssel identifizieren, der im Entschlüsselungsprozess verwendet werden soll. Verschlüsselte Datenschlüssel sind ein gängiges Beispiel für Verschlüsselungstext, der bei Verwendung eines KMS-Schlüssels erzeugt wird. Alle Daten mit einer Größe von 4 KB können jedoch unter einem KMS-Schlüssel verschlüsselt werden, um einen Verschlüsselungstext zu erzeugen.

Eine Schlüssel-Wert-Paar-Zuordnung mit zusätzlichen Informationen, die mit AWS KMS-geschützten Informationen verknüpft sind. AWS KMS verwendet eine authentifizierte Verschlüsselung, um Datenschlüssel zu schützen. Der Verschlüsselungskontext wird in AWS KMS-verschlüsselten Verschlüsselungstexten in den AAD der authentifizierten Verschlüsselung eingebunden. Diese Kontextinformation ist optional und wird nicht zurückgegeben, wenn Sie einen Schlüssel (oder einen Verschlüsselungsvorgang) anfordern. Dieser Kontextwert ist jedoch erforderlich, um einen Entschlüsselungsvorgang erfolgreich abzuschließen. Eine beabsichtigte Verwendung des Verschlüsselungskontexts besteht darin, zusätzliche authentifizierte Informationen bereitzustellen. Diese Informationen können Ihnen helfen, Richtlinien durchzusetzen und in die AWS CloudTrail Protokolle aufgenommen zu werden. Sie können beispielsweise ein Schlüssel-Wert-Paar von {"key name":"satellite uplink key"} verwenden, um den Datenschlüssel zu benennen. Bei der anschließenden Verwendung des Schlüssels wird ein AWS CloudTrail-Eintrag erstellt, der „Schlüsselname“ enthält: „Satelliten-Uplink-Schlüssel“. Diese zusätzlichen Informationen können einen nützlichen Kontext liefern, um zu verstehen, warum ein bestimmter KMS-Schlüssel verwendet wurde.

Wenn asymmetrische Verschlüsselungen (RSA oder elliptische Kurve) verwendet werden, ist der öffentliche Schlüssel die „öffentliche Komponente“ eines öffentlich-privaten Schlüsselpaars. Der öffentliche Schlüssel kann freigegeben und an Entitäten verteilt werden, die Daten für den Besitzer des öffentlich-privaten Schlüsselpaars verschlüsseln müssen. Bei digitalen Signaturvorgängen wird der öffentliche Schlüssel verwendet, um die Signatur zu überprüfen.

Bei der Verwendung asymmetrischer Verschlüsselungen (RSA oder elliptische Kurve) ist der private Schlüssel die „private Komponente“ eines öffentlich-privaten Schlüsselpaares. Mit dem privaten Schlüssel werden dann Daten entschlüsselt oder digitale Signaturen erstellt. Ähnlich wie symmetrische KMS-Schlüssel werden private Schlüssel in HSMs verschlüsselt. Sie werden nur in das Kurzzeitgedächtnis des HSM und nur für die Zeit entschlüsselt, die für die Bearbeitung Ihrer kryptografischen Anfrage benötigt wird.