Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einführung in die kryptografischen Details von AWS KMS
AWS Key Management Service (AWS KMS) bietet eine Webschnittstelle zum Generieren und Verwalten von kryptografischen Schlüsseln und fungiert als kryptografischer Service-Anbieter zum Schutz von Daten. AWS KMS bietet traditionelle Schlüsselverwaltungsservices, die mit AWS-Services integriert sind, um eine konsistente Ansicht der Schlüssel der Kunden über AWS, mit zentralisierter Verwaltung und Prüfung zu bieten. Dieses Whitepaper enthält eine detaillierte Beschreibung zu den kryptografischen Operationen von AWS KMS, um Sie bei der Bewertung der vom Service angebotenen Funktionen zu unterstützen.
AWS KMS enthält eine Weboberfläche über die AWS Management Console, eine Befehlszeilenschnittstelle und RESTful-API-Operationen, um kryptografische Operationen einer verteilten Flotte von FIPS 140-2 validierten Hardware-Sicherheitsmodulen (HSMs) anzufordern [1]. Die AWS KMS-HSM ist eine eigenständige Multichip-Hardware-Kryptografie-Appliance, die speziell für die Bereitstellung dedizierter kryptografischer Funktionen zur Erfüllung der Sicherheits- und Skalierbarkeitsanforderungen von AWS KMS erstellt wurden. Sie können Ihre eigene HSM-basierte kryptografische Hierarchie unter Schlüsseln einrichten, die Sie als AWS KMS keys verwaltet werden. Diese Schlüssel werden nur auf den HSMs und nur für die erforderliche Zeit zur Bearbeitung Ihrer kryptografischen Anfrage im Speicher zur Verfügung gestellt. Sie können mehrere KMS-Schlüssel erstellen, die jeweils durch seine Schlüssel-ID dargestellt werden. Nur unter AWS-IAM-Rollen und -Konten, die von jedem Kunden verwaltet werden, können Kunden-KMS-Schlüssel erstellt, gelöscht oder zum Verschlüsseln, Entschlüsseln, Signieren oder Verifizieren von Daten verwendet werden. Sie können Zugriffskontrollen dafür definieren, wer KMS-Schlüssel verwalten und/oder verwenden kann, indem Sie eine Richtlinie erstellen, die an den Schlüssel angehängt ist. Mithilfe dieser Richtlinien können Sie anwendungsspezifische Verwendungen für Ihre Schlüssel für jeden API-Vorgang definieren.
Darüber hinaus unterstützen die meisten AWS-Services die Verschlüsselung von Data-at-Rest mit KMS-Schlüsseln. Mit dieser Funktion können Kunden steuern, wie und wann AWS-Services auf verschlüsselte Daten zugreifen können, indem sie steuern, wie und wann auf KMS-Schlüssel zugegriffen werden kann.
AWS KMS ist ein mehrstufiger Service, der aus AWS KMS-Hosts und einer Reihe von HSMs besteht. Die Gruppierung dieser gestuften Hosts bildet die AWS KMS-Stacks. Alle Anforderungen an AWS KMS müssen über das Transport Layer Security Protocol (TLS) erfolgen und auf einem AWS KMS-Host enden. AWS KMS-Hosts lassen TLS nur mit einer Verschlüsselungssuite zu, die eine perfekte Vorwärtsgeheimhaltung
