Grundkonzepte - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundkonzepte

Das Erlernen einiger grundlegender Begriffe und Konzepte wird Ihnen helfen, das Beste aus AWS Key Management Service herauszuholen.

AWS KMS key
Anmerkung

AWS KMS ersetzt den Begriff Kundenhauptschlüssel (CMK) durch AWS KMS key und KMS-Schlüssel. Das Konzept hat sich nicht geändert. Um zu verhindern, dass große Veränderungen gemacht werden, behält AWS KMS einige Variationen dieses Begriffs bei.

Ein logischer Schlüssel, der den oberen Teil Ihrer Schlüsselhierarchie darstellt. Einem KMS-Schlüssel wird ein Amazon-Ressourcenname (ARN) zugewiesen, der eine eindeutige Schlüsselkennung oder Schlüssel-ID enthält. AWS KMS keys haben drei Typen:

  • Vom Kunden verwalteter Schlüssel – Kunden erstellen und steuern den Lebenszyklus und die wichtigsten Richtlinien von vom Kunden verwalteten Schlüsseln. Alle Anforderungen an diese Schlüssel werden als CloudTrail Ereignisse protokolliert.

  • Von AWS verwaltete Schlüssel – AWS erstellt und kontrolliert den Lebenszyklus und die Schlüsselrichtlinien von Von AWS verwaltete Schlüssel, die Ressourcen im AWS-Konto eines Kunden sind. Kunden können Zugriffsrichtlinien und CloudTrail Ereignisse für anzeigenVon AWS verwaltete Schlüssel, jedoch keine Aspekte dieser Schlüssel verwalten. Alle Anforderungen an diese Schlüssel werden als CloudTrail Ereignisse protokolliert.

  • AWS-eigene Schlüssel – Diese Schlüssel werden von AWS erstellt und ausschließlich für interne Verschlüsselungsvorgänge über verschiedene AWS-Services hinweg verwendet. Kunden haben keinen Einblick in wichtige Richtlinien oder die AWS-eigener Schlüssel Nutzung in CloudTrail.

Alias

Ein benutzerfreundlicher Name, der einem KMS-Schlüssel zugeordnet ist. Der Alias kann in vielen der AWS KMS-API-Operationen austauschbar mit der Schlüssel-ID verwendet werden.

Berechtigungen

Eine Richtlinie, die einem KMS-Schlüssel zugeordnet ist, die Berechtigungen für den Schlüssel definiert. Die Standardrichtlinie lässt alle von Ihnen definierten Prinzipale zu und erlaubt dem AWS-Konto, IAM-Richtlinien hinzuzufügen, die auf den Schlüssel verweisen.

Gewährungen

Die delegierte Berechtigung zur Verwendung eines KMS-Schlüssels, wenn die beabsichtigten IAM-Prinzipale oder die Nutzungsdauer zu Beginn nicht bekannt sind und daher nicht zu einem Schlüssel oder einer IAM-Richtlinie hinzugefügt werden können. Eine Verwendung von Grants besteht darin, eingeschränkte Berechtigungen dafür zu definieren, wie ein AWS-Service einen KMS-Schlüssel verwenden kann. Der Service muss möglicherweise Ihren Schlüssel verwenden, um in Ihrem Namen asynchrone Arbeiten an verschlüsselten Daten durchzuführen, wenn kein direkt signierter API-Aufruf von Ihnen vorliegt.

Datenschlüssel

Auf HSMs generierte kryptografische Schlüssel, die durch einen KMS-Schlüssel geschützt sind. AWS KMS ermöglicht es autorisierten Entitäten, Datenschlüssel abzurufen, die durch einen KMS-Schlüssel geschützt sind. Sie können sowohl als Klartext-Datenschlüssel (unverschlüsselt) als auch als verschlüsselte Datenschlüssel zurückgegeben werden. Datenschlüssel können symmetrisch oder asymmetrisch sein (wobei sowohl der öffentliche als auch der private Teil zurückgegeben wird).

Verschlüsselungstexte

Die verschlüsselte Ausgabe von AWS KMS, manchmal auch als Kundenverschlüsselungstext bezeichnet, um Verwirrung zu vermeiden. Verschlüsselungstext enthält verschlüsselte Daten mit zusätzlichen Informationen, die den KMS-Schlüssel identifizieren, der im Entschlüsselungsprozess verwendet werden soll. Verschlüsselte Datenschlüssel sind ein gängiges Beispiel für Verschlüsselungstext, der bei Verwendung eines KMS-Schlüssels erzeugt wird. Alle Daten mit einer Größe von 4 KB können jedoch unter einem KMS-Schlüssel verschlüsselt werden, um einen Verschlüsselungstext zu erzeugen.

Verschlüsselungskontext

Eine Schlüssel-Wert-Paar-Zuordnung mit zusätzlichen Informationen, die mit AWS KMS-geschützten Informationen verknüpft sind. AWS KMS verwendet eine authentifizierte Verschlüsselung, um Datenschlüssel zu schützen. Der Verschlüsselungskontext wird in AWS KMS-verschlüsselten Verschlüsselungstexten in den AAD der authentifizierten Verschlüsselung eingebunden. Diese Kontextinformation ist optional und wird nicht zurückgegeben, wenn Sie einen Schlüssel (oder einen Verschlüsselungsvorgang) anfordern. Dieser Kontextwert ist jedoch erforderlich, um einen Entschlüsselungsvorgang erfolgreich abzuschließen. Eine beabsichtigte Verwendung des Verschlüsselungskontexts besteht darin, zusätzliche authentifizierte Informationen bereitzustellen. Diese Informationen können Ihnen helfen, Richtlinien durchzusetzen und in die AWS CloudTrail Protokolle aufgenommen zu werden. Sie können beispielsweise ein Schlüssel-Wert-Paar von {"key name":"satellite uplink key"} verwenden, um den Datenschlüssel zu benennen. Bei der anschließenden Verwendung des Schlüssels wird ein AWS CloudTrail-Eintrag erstellt, der „Schlüsselname“ enthält: „Satelliten-Uplink-Schlüssel“. Diese zusätzlichen Informationen können einen nützlichen Kontext liefern, um zu verstehen, warum ein bestimmter KMS-Schlüssel verwendet wurde.

Öffentlicher Schlüssel

Wenn asymmetrische Verschlüsselungen (RSA oder elliptische Kurve) verwendet werden, ist der öffentliche Schlüssel die „öffentliche Komponente“ eines öffentlich-privaten Schlüsselpaars. Der öffentliche Schlüssel kann freigegeben und an Entitäten verteilt werden, die Daten für den Besitzer des öffentlich-privaten Schlüsselpaars verschlüsseln müssen. Bei digitalen Signaturvorgängen wird der öffentliche Schlüssel verwendet, um die Signatur zu überprüfen.

Privater Schlüssel

Bei der Verwendung asymmetrischer Verschlüsselungen (RSA oder elliptische Kurve) ist der private Schlüssel die „private Komponente“ eines öffentlich-privaten Schlüsselpaares. Mit dem privaten Schlüssel werden dann Daten entschlüsselt oder digitale Signaturen erstellt. Ähnlich wie symmetrische KMS-Schlüssel werden private Schlüssel in HSMs verschlüsselt. Sie werden nur in das Kurzzeitgedächtnis des HSM und nur für die Zeit entschlüsselt, die für die Bearbeitung Ihrer kryptografischen Anfrage benötigt wird.