Resilienz in AWS Key Management Service - AWS Key Management Service
Regionale IsolierungDesign mit mehreren MandantenBewährte Methoden zur Resilienz in AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Resilienz in AWS Key Management Service

Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.

Zusätzlich zur AWS globalen Infrastruktur AWS KMS bietet es mehrere Funktionen zur Unterstützung Ihrer Datenausfallsicherheit und Backup-Anforderungen. Weitere Informationen zu AWS-Regionen und Availability Zones finden Sie unter AWS Globale Infrastruktur.

Regionale Isolierung

AWS Key Management Service (AWS KMS) ist ein sich selbst tragender regionaler Service, der überall verfügbar ist. AWS-Regionen Das regional isolierte Design von AWS KMS stellt sicher, dass ein Verfügbarkeitsproblem in einer Region den AWS KMS Betrieb in keiner anderen Region beeinträchtigen AWS-Region kann. AWS KMS ist so konzipiert, dass keine geplanten Ausfallzeiten auftreten und alle Softwareupdates und Skalierungsvorgänge nahtlos und unmerklich ausgeführt werden.

Das AWS KMS Service Level Agreement (SLA) beinhaltet eine Serviceverpflichtung von 99,999% für alle KMS. APIs Um diese Verpflichtung zu erfüllen, stellt AWS KMS sicher, dass alle Daten und Berechtigungsinformationen, die zur Ausführung einer API-Anfrage erforderlich sind, auf allen regionalen Hosts verfügbar sind, die die Anfrage erhalten.

Die AWS KMS Infrastruktur wird in mindestens drei Availability Zones (AZs) in jeder Region repliziert. Um sicherzustellen, dass mehrere Hostausfälle die AWS KMS Leistung nicht beeinträchtigen, AWS KMS ist es so konzipiert, dass Kundendatenverkehr aus allen Regionen einer AZs Region bedient wird.

Änderungen, die Sie an den Eigenschaften oder Berechtigungen eines KMS-Schlüssels vornehmen, werden auf alle Hosts in der Region repliziert, um sicherzustellen, dass nachfolgende Anfragen von jedem Host in der Region korrekt verarbeitet werden können. Anfragen für kryptografische Operationen unter Verwendung Ihres KMS-Schlüssels werden an eine Reihe von AWS KMS Hardware-Sicherheitsmodulen (HSMs) weitergeleitet, von denen jedes den Vorgang mit dem KMS-Schlüssel ausführen kann.

Design mit mehreren Mandanten

Das mandantenfähige Design von AWS KMS ermöglicht es, das SLA für eine Verfügbarkeit von 99,999% zu erfüllen und hohe Anforderungsraten aufrechtzuerhalten, während gleichzeitig die Vertraulichkeit Ihrer Schlüssel und Daten gewahrt bleibt.

Es werden mehrere integritätserzwingende Mechanismen eingesetzt, um sicherzustellen, dass der KMS-Schlüssel, den Sie für die kryptografische Operation angegeben haben, immer verwendet wird.

Das Klartext-Schlüsselmaterial für Ihre KMS-Schlüssel ist umfangreich geschützt. Das Schlüsselmaterial wird im HSM verschlüsselt, sobald es erstellt wird, und das verschlüsselte Schlüsselmaterial wird sofort in einen sicheren Speicher mit geringer Latenzzeit übertragen. Der verschlüsselte Schlüssel wird im HSM abgerufen und entschlüsselt, sobald er benutzt wird. Der Klartextschlüssel verbleibt nur so lange im HSM-Speicher, wie er für den Abschluss der kryptografischen Operation benötigt wird. Dann wird er im HSM erneut verschlüsselt und der verschlüsselte Schlüssel wird wieder gespeichert. Schlüsselmaterial im Klartext-Format verlässt niemals den und wird niemals in HSMs den persistenten Speicher geschrieben.

Bewährte Methoden zur Resilienz in AWS KMS

Um die Widerstandsfähigkeit Ihrer AWS KMS Ressourcen zu optimieren, sollten Sie die folgenden Strategien in Betracht ziehen.

  • Um Ihre Sicherungs- und Notfallwiederherstellungs-Strategie zu unterstützen, sollten Sie multiregionale Schlüssel in Betracht ziehen. Dabei handelt es sich um KMS-Schlüssel, die in einer AWS-Region erstellt und nur in von Ihnen angegebene Regionen repliziert werden. Mit Schlüsseln für mehrere Regionen können Sie verschlüsselte Ressourcen zwischen AWS-Regionen (innerhalb derselben Partition) verschieben, ohne jemals den Klartext preiszugeben, und die Ressource bei Bedarf in einer der Zielregionen entschlüsseln. Zusammengehörige multiregionale Schlüssel sind interoperabel, da sie dasselbe Schlüsselmaterial und dieselbe Schlüssel-ID verwenden, aber sie haben unabhängige Schlüsselrichtlinien für eine hochauflösende Zugangskontrolle. Weitere Informationen zu multiregionalen Schlüsseln finden Sie unter AWS KMS.

  • Um Ihre Schlüssel in einem Mehrmandantendienst wie z. B. zu schützen AWS KMS, sollten Sie Zugriffskontrollen verwenden, einschließlich Schlüsselrichtlinien und IAM-Richtlinien. Darüber hinaus können Sie Ihre Anfragen an AWS KMS einen VPC-Schnittstellenendpunkt senden, der von AWS PrivateLink betrieben wird. Wenn Sie dies tun, AWS KMS erfolgt die gesamte Kommunikation zwischen Ihrer Amazon VPC und ausschließlich innerhalb des AWS Netzwerks über einen dedizierten AWS KMS Endpunkt, der auf Ihre VPC beschränkt ist. Sie können diese Anfragen weiter absichern, indem Sie mit VPC-Endpunktrichtlinien eine zusätzliche Autorisierungsebene schaffen. Weitere Informationen finden Sie unter Verbinden mit AWS KMS über einen VPC-Endpunkt.