Datenschutz in AWS Key Management Service - AWS Key Management Service
Schutz von SchlüsselmaterialDatenverschlüsselungDatenschutz zwischen Netzwerken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AWS Key Management Service

AWS Key Management Service speichert und schützt Ihre Verschlüsselungsschlüssel, um sie hochverfügbar zu machen und Ihnen gleichzeitig eine starke und flexible Zugriffskontrolle zu bieten.

Schutz von Schlüsselmaterial

AWS KMS Generiert und schützt standardmäßig das kryptografische Schlüsselmaterial für KMS-Schlüssel. Darüber hinaus AWS KMS bietet es Optionen für Schlüsselmaterial, das außerhalb von AWS KMS erstellt und geschützt wird.

Schutz von Schlüsselmaterial, das in erzeugt wurde AWS KMS

Wenn Sie einen KMS-Schlüssel erstellen, wird standardmäßig das kryptografische Material für den KMS-Schlüssel AWS KMS generiert und geschützt.

Um das Schlüsselmaterial für KMS-Schlüssel zu schützen, AWS KMS nutzt es eine verteilte Flotte von FIPS 140-3 Security Level 3-validierten Hardware-Sicherheitsmodulen (). HSMs Jedes AWS KMS HSM ist eine dedizierte, eigenständige Hardware-Appliance, die spezielle kryptografische Funktionen bereitstellt, um die Sicherheits- und Skalierbarkeitsanforderungen von zu erfüllen. AWS KMS(Diejenigen HSMs , die in China Regionen AWS KMS verwendet werden, sind von OSCCA zertifiziert und entsprechen allen einschlägigen chinesischen Vorschriften, sind jedoch nicht im Rahmen des FIPS 140-3 Cryptographic Module Validation Program validiert.)

Das Schlüsselmaterial für einen KMS-Schlüssel wird standardmäßig verschlüsselt, wenn er im HSM generiert wird. Das Schlüsselmaterial wird nur innerhalb des flüchtigen HSM-Speichers und nur für die wenigen Millisekunden entschlüsselt, die für die Verwendung in einer kryptografischen Operation benötigt werden. Wenn das Schlüsselmaterial nicht aktiv verwendet wird, wird es innerhalb des HSM verschlüsselt und in einen äußerst dauerhaften (99,999999999%) persistenten Speicher mit niedriger Latenz übertragen, wo es getrennt und isoliert von der HSMs Das Klartext-Schlüsselmaterial verlässt dieHSM-Sicherheitsgrenze nie; es wird nie auf die Festplatte geschrieben oder in einem Speichermedium gespeichert. (Die einzige Ausnahme ist der öffentliche Schlüssel eines asymmetrischen Schlüsselpaares, der nicht geheim ist).

AWS behauptet als grundlegendes Sicherheitsprinzip, dass keinerlei menschliche Interaktion mit kryptografischem Schlüsselmaterial im Klartext stattfindet. AWS-Service Es gibt keinen Mechanismus, mit dem irgendjemand, einschließlich AWS-Service Betreiber, Schlüsselmaterial im Klartext einsehen, darauf zugreifen oder es exportieren könnte. Dieses Prinzip gilt auch bei katastrophalen Ausfällen und Notfallwiederherstellungsereignissen. Das Kundenschlüsselmaterial in Klartext AWS KMS wird für kryptografische Operationen innerhalb von AWS KMS FIPS 140-3 verwendet und HSMs nur als Antwort auf autorisierte Anfragen des Kunden oder seines Beauftragten an den Service validiert.

Bei vom Kunden verwalteten Schlüsseln ist derjenige, der den Schlüssel erstellt AWS-Konto , der alleinige und nicht übertragbare Eigentümer des Schlüssels. Das Eigentümerkonto hat die vollständige und ausschließliche Kontrolle über die Autorisierungsrichtlinien, die den Zugriff auf den Schlüssel regeln. Denn Von AWS verwaltete Schlüssel er AWS-Konto hat die vollständige Kontrolle über die IAM-Richtlinien, die Anfragen an die autorisieren. AWS-Service

Schutz von außerhalb von AWS KMS generiertem Schlüsselmaterial

AWS KMS bietet Alternativen zu wichtigen Materialien, die in generiert wurden. AWS KMS

Mit benutzerdefinierten Schlüsselspeichern, einer optionalen AWS KMS Funktion, können Sie KMS-Schlüssel erstellen, die auf Schlüsselmaterial basieren, das außerhalb von generiert und verwendet wird AWS KMS. KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern werden durch Schlüssel in AWS CloudHSM Hardware-Sicherheitsmodulen gesichert, die Sie kontrollieren. Diese HSMs sind nach FIPS 140-2 Security Level 3 oder 140-3 Security Level 3 zertifiziert. KMS-Schlüssel in externen Schlüsselspeichern werden durch Schlüssel in einem externen Schlüsselmanager gesichert, den Sie außerhalb steuern und verwalten AWS, z. B. ein physisches HSM in Ihrem privaten Rechenzentrum.

Ein weiteres optionales Feature ermöglicht das Importieren des Schlüsselmaterials für einen KMS-Schlüssel. Um importiertes Schlüsselmaterial während der Übertragung zu schützen AWS KMS, verschlüsseln Sie das Schlüsselmaterial mit einem öffentlichen Schlüssel aus einem in einem AWS KMS HSM generierten RSA-Schlüsselpaar. Das importierte Schlüsselmaterial wird in einem HSM entschlüsselt und im AWS KMS HSM unter einem symmetrischen Schlüssel erneut verschlüsselt. Wie jedes AWS KMS Schlüsselmaterial verlässt importiertes Schlüsselmaterial im Klartext niemals unverschlüsselt das System. HSMs Der Kunde, der das Schlüsselmaterial zur Verfügung gestellt hat, ist jedoch verantwortlich für die sichere Verwendung, Haltbarkeit und Wartung des Schlüsselmaterials außerhalb von AWS KMS.

Datenverschlüsselung

Die AWS KMS darin enthaltenen Daten AWS KMS keys und das Verschlüsselungsschlüsselmaterial, das sie repräsentieren. Dieses Schlüsselmaterial ist im Klartext nur in AWS KMS Hardware-Sicherheitsmodulen (HSMs) und nur dann vorhanden, wenn es verwendet wird. Andernfalls wird das Schlüsselmaterial verschlüsselt und in dauerhaftem persistenten Speicher aufbewahrt.

Das Schlüsselmaterial, das für KMS-Schlüssel AWS KMS generiert wird, überschreitet niemals die Grenze des AWS KMS HSMs unverschlüsselten Bereichs. Es wird bei keinen AWS KMS API-Vorgängen exportiert oder übertragen. Eine Ausnahme bilden Schlüssel mit mehreren Regionen, bei denen ein regionsübergreifender Replikationsmechanismus AWS KMS verwendet wird, um das Schlüsselmaterial für einen Schlüssel mit mehreren Regionen von einem HSM in einem in ein HSM in einem anderen AWS-Region zu kopieren. AWS-Region Einzelheiten finden Sie unter Replikationsprozess für Schlüssel mit mehreren Regionen im Abschnitt Kryptografische Details. AWS Key Management Service

Verschlüsselung im Ruhezustand

AWS KMS generiert Schlüsselmaterial für AWS KMS keys FIPS 140-3-Sicherheitsmodule, die der Sicherheitsstufe 3 entsprechen (). HSMs Die einzige Ausnahme bilden China Regionen, in denen HSMs die zur Generierung von KMS-Schlüsseln AWS KMS verwendeten Dateien allen einschlägigen chinesischen Vorschriften entsprechen, aber nicht im Rahmen des FIPS 140-3-Validierungsprogramms für kryptografische Module validiert sind. Bei Nichtgebrauch wird Schlüsselmaterial durch einen HSM-Schlüssel verschlüsselt und in dauerhaftem persistenten Speicher geschrieben. Das Schlüsselmaterial für KMS-Schlüssel und die Verschlüsselungsschlüssel, die das Schlüsselmaterial schützen, verlassen diese niemals in Klartextform. HSMs

Die Verschlüsselung und Verwaltung von Schlüsselmaterial für KMS-Schlüssel erfolgt vollständig durch AWS KMS.

Weitere Informationen finden Sie unter Arbeiten mit AWS KMS keys unter AWS Key Management Service Kryptografische Details.

Verschlüsselung während der Übertragung

Schlüsselmaterial, das für KMS-Schlüssel AWS KMS generiert wird, wird bei AWS KMS API-Vorgängen niemals exportiert oder übertragen. AWS KMS verwendet Schlüsselkennungen, um die KMS-Schlüssel bei API-Vorgängen darzustellen. In ähnlicher Weise ist Schlüsselmaterial für KMS-Schlüssel in AWS KMS benutzerdefinierten Schlüsselspeichern nicht exportierbar und wird auch nicht im Rahmen von AWS KMS API-Vorgängen AWS CloudHSM übertragen.

Einige AWS KMS API-Operationen geben jedoch Datenschlüssel zurück. Kunden können außerdem API-Operationen zum Importieren von Schlüsselmaterial für ausgewählte KMS-Schlüssel verwenden.

Alle AWS KMS API-Aufrufe müssen mit Transport Layer Security (TLS) signiert und übertragen werden. AWS KMS erfordert TLS 1.2 und empfiehlt TLS 1.3 in allen Regionen. AWS KMS unterstützt auch hybrides Post-Quantum-TLS für AWS KMS Service-Endpunkte in allen Regionen außer den Regionen China. AWS KMS unterstützt kein hybrides Post-Quantum-TLS für FIPS-Endpunkte in. AWS GovCloud (US) Aufrufe an AWS KMS erfordern auch eine moderne Verschlüsselungssammlung, die Perfect Forward Secrecy unterstützt, was bedeutet, dass die Kompromittierung eines Geheimnisses, wie z. B. eines privaten Schlüssels, nicht auch den Sitzungsschlüssel gefährdet.

Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Um AWS KMS Standardendpunkte oder AWS KMS FIPS-Endpunkte verwenden zu können, müssen Clients TLS 1.2 oder höher unterstützen. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3. Eine Liste der AWS KMS FIPS-Endpunkte finden Sie unter AWS Key Management Service Endpunkte und Kontingente im. Allgemeine AWS-Referenz

HSMs Die Kommunikation zwischen AWS KMS Service-Hosts und wird mithilfe von Elliptic Curve Cryptography (ECC) und Advanced Encryption Standard (AES) in einem authentifizierten Verschlüsselungsschema geschützt. Weitere Informationen finden Sie unter Interne Kommunikationssicherheit unter Kryptografische Details. AWS Key Management Service

Richtlinie für den Datenverkehr zwischen Netzwerken

AWS KMS unterstützt eine AWS Management Console und eine Reihe von API-Vorgängen, mit denen Sie sie erstellen und verwalten AWS KMS keys und in kryptografischen Vorgängen verwenden können.

AWS KMS unterstützt zwei Netzwerkverbindungsoptionen von Ihrem privaten Netzwerk bis AWS.

  • Eine IPSec VPN-Verbindung über das Internet

  • AWS Direct Connect, das Ihr internes Netzwerk über ein Standard-Ethernet-Glasfaserkabel mit einem AWS Direct Connect Standort verbindet.

Alle AWS KMS API-Aufrufe müssen signiert und mithilfe von Transport Layer Security (TLS) übertragen werden. Die Anrufe erfordern auch eine moderne Verschlüsselungssammlung, die Perfect Forward Secrecy unterstützt. Der Datenverkehr zu den Hardware-Sicherheitsmodulen (HSMs), die Schlüsselmaterial für KMS-Schlüssel speichern, ist nur von bekannten AWS KMS API-Hosts über das AWS interne Netzwerk zulässig.

Um eine direkte Verbindung zu AWS KMS Ihrer Virtual Private Cloud (VPC) herzustellen, ohne Datenverkehr über das öffentliche Internet zu senden, verwenden Sie VPC-Endpunkte, betrieben von. AWS PrivateLink Weitere Informationen finden Sie unter Stellen Sie eine Connect AWS KMS über einen VPC-Endpunkt her.

AWS KMS unterstützt auch eine hybride Option für den Schlüsselaustausch nach dem Quantenzugriff für das Netzwerkverschlüsselungsprotokoll Transport Layer Security (TLS). Sie können diese Option mit TLS verwenden, wenn Sie eine Verbindung zu AWS KMS API-Endpunkten herstellen.