Domänen und Domänenstatus - AWS Key Management Service
DomänenschlüsselExportierte Domänen-TokenVerwalten von Domänenstatus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Domänen und Domänenstatus

Eine kooperative Sammlung vertrauenswürdiger interner AWS KMS Entitäten innerhalb einer AWS-Region wird als Domäne bezeichnet. Eine Domäne umfasst einen Satz vertrauenswürdiger Entitäten, einen Satz von Regeln und einen Satz geheimer Schlüssel, die als Domänenschlüssel bezeichnet werden. Die Domänenschlüssel werden von HSMs allen Mitgliedern der Domäne gemeinsam genutzt. Ein Domänenstatus besteht aus den folgenden Feldern.

Name

Ein Domänenname zur Identifizierung dieser Domäne.

Mitglieder

Eine Liste HSMs dieser Mitglieder der Domäne, einschließlich ihrer öffentlichen Signaturschlüssel und der Schlüssel für öffentliche Vereinbarungen.

Operatoren

Eine Liste von Entitäten, öffentlichen Signaturschlüsseln und einer Rolle (AWS KMS Betreiber oder Service-Host), die die Betreiber dieses Dienstes repräsentiert.

Regeln

Eine Liste von Quorumregeln für jeden Befehl, die erfüllt sein müssen, um einen Befehl auf dem HSM auszuführen.

Domänenschlüssel

Eine Liste der Domänenschlüssel (symmetrische Schlüssel), die derzeit in der Domäne verwendet werden.

Der vollständige Domänenstatus ist nur auf der HSM verfügbar. Der Domänenstatus wird zwischen HSM Domänenmitgliedern als exportiertes Domänentoken synchronisiert.

Domänenschlüssel

Alle Mitglieder HSMs einer Domain teilen sich einen Satz von Domänenschlüsseln, {DKr}. Diese Schlüssel werden über eine Exportroutine für Domänenstatus freigegeben. Der exportierte Domainstatus kann in jede Domain importiert werdenHSM, die Mitglied der Domain ist.

Der Satz von Domänenschlüsseln {DKr}enthält immer einen aktiven Domänenschlüssel und mehrere deaktivierte Domänenschlüssel. Die Domainschlüssel werden täglich gewechselt, um sicherzustellen, dass sie der Empfehlung für die Schlüsselverwaltung — Teil 1 AWS entsprechen. Während der Domainschlüsselrotation werden alle vorhandenen KMS Schlüssel, die unter dem ausgehenden Domänenschlüssel verschlüsselt wurden, unter dem neuen aktiven Domänenschlüssel erneut verschlüsselt. Der aktive Domänenschlüssel wird verwendet, um alle neuen zu verschlüsseln. EKTs Die abgelaufenen Domänenschlüssel können nur zum Entschlüsseln zuvor verschlüsselter Domänenschlüssel EKTs für eine Anzahl von Tagen verwendet werden, die der Anzahl der kürzlich rotierten Domänenschlüssel entspricht.

Exportierte Domänen-Token

Es besteht eine regelmäßige Notwendigkeit, den Status zwischen Domänenteilnehmern zu synchronisieren. Dies wird durch den Export des Domänenstatus erreicht, wenn eine Änderung an der Domäne vorgenommen wird. Der Domänenstaus wird als exportiertes Domänen-Token exportiert.

Name

Ein Domänenname zur Identifizierung dieser Domäne.

Mitglieder

Eine Liste dieser Mitglieder der DomainHSMs, einschließlich der öffentlichen Schlüssel, die sie unterzeichnet haben und denen sie zugestimmt haben.

Operatoren

Eine Liste von Entitäten, öffentlichen Signaturschlüsseln und einer Rolle, die die Operatoren dieses Services darstellt.

Regeln

Eine Liste der Quorumregeln für jeden Befehl, der erfüllt sein muss, um einen Befehl auf einem HSM Domänenmitglied auszuführen.

Verschlüsselte Domänenschlüssel

Envelope-verschlüsselte Domänenschlüssel. Die Domänenschlüssel werden vom unterzeichnenden Mitglied für jedes der oben aufgeführten Mitglieder verschlüsselt und in seinen öffentlichen Vereinbarungsschlüssel Envelope-verschlüsselt.

Signatur

Eine Signatur für den DomänenstatusHSM, die von einem Mitglied der Domäne erstellt wurde, das den Domänenstatus exportiert hat.

Das exportierte Domänen-Token bildet die grundlegende Vertrauensquelle für Entitäten, die innerhalb der Domäne arbeiten.

Verwalten von Domänenstatus

Der Domänenstatus wird über quorumauthentifizierte Befehle verwaltet. Zu diesen Änderungen gehören das Ändern der Liste der vertrauenswürdigen Teilnehmer in der Domäne, das Ändern der Quorumregeln für die Ausführung von HSM Befehlen und das regelmäßige Wechseln der Domänenschlüssel. Diese Befehle werden pro Befehl authentifiziert, im Gegensatz zu authentifizierten Sitzungsvorgängen, wie im folgenden Bild gezeigt.

In seinem initialisierten und betriebsbereiten Zustand HSM enthält an einen Satz von selbst generierten asymmetrischen Identitätsschlüsseln, ein Signaturschlüsselpaar und ein key pair für die key pair. Durch einen manuellen Prozess kann ein AWS KMS Betreiber eine erste Domain einrichten, die auf einer ersten Domain in einer Region erstellt werden soll. HSM Diese anfängliche Domäne besteht aus einem vollständigen Domänenstatus, wie zuvor in diesem Thema definiert. Sie wird über einen Join-Befehl für jedes der definierten HSM Mitglieder in der Domäne installiert.

Nachdem ein einer ursprünglichen Domäne HSM beigetreten ist, ist es an die Regeln gebunden, die in dieser Domäne definiert sind. Diese Regeln regeln die Befehle, die Kryptographieschlüssel des Kunden verwenden oder Änderungen am Host- oder Domänenstatus vornehmen. Die authentifizierten API Sitzungsvorgänge, die Ihre kryptografischen Schlüssel verwenden, wurden bereits zuvor definiert.

Domänenverwaltung

Das obige Bild zeigt, wie ein Domänenstatus geändert wird. Der Prozess besteht aus vier Schritten:

  1. Ein quorumbasierter Befehl wird an eine HSM gesendet, um die Domäne zu ändern.

  2. Ein neuer Domänenstatus wird generiert und als neues exportiertes Domänentoken exportiert. Der Status auf der HSM wurde nicht geändert, was bedeutet, dass die Änderung nicht für die übernommen wurde. HSM

  3. Ein zweiter Befehl wird an jedes der HSMs neu exportierten Domänentoken gesendet, um ihren Domänenstatus mit dem neuen Domänentoken zu aktualisieren.

  4. Das im neu exportierten Domain-Token HSMs aufgelistete Token kann den Befehl und das Domain-Token authentifizieren. Sie können auch die Domänenschlüssel entpacken, um den Domänenstatus für alle HSMs in der Domäne zu aktualisieren.

HSMskommunizieren nicht direkt miteinander. Stattdessen fordert ein Quorum von Operatoren eine Änderung des Domänenstatus an, die zu einem neuen exportierten Domänen-Token führt. Ein Service-Host-Mitglied der Domäne wird verwendet, um den neuen Domänenstatus an alle Mitglieder HSM der Domäne zu verteilen.

Das Verlassen und Beitreten einer Domäne erfolgt über die HSM Verwaltungsfunktionen. Die Änderung des Domänenstatus erfolgt über die Domänenverwaltungsfunktionen.

Verlassen der Domäne

BewirktHSM, dass ein Benutzer eine Domäne verlässt, wobei alle Überreste und Schlüssel dieser Domäne aus dem Speicher gelöscht werden.

Registrieren der Domäne

BewirktHSM, dass ein einer neuen Domäne beitritt oder seinen aktuellen Domänenstatus auf den neuen Domänenstatus aktualisiert. Die vorhandene Domäne wird als Quelle des anfänglichen Regelsatzes verwendet, um diese Nachricht zu authentifizieren.

Domäne erstellen

Bewirkt, dass eine neue Domäne auf einem erstellt wirdHSM. Gibt ein erstes Domänentoken zurück, das an ein Mitglied HSMs der Domäne verteilt werden kann.

Operatoren ändern

Fügt Operatoren und deren Rollen in der Domäne hinzu oder entfernt sie aus der Liste der autorisierten Operatoren.

Ändern von Mitgliedern

Fügt der Liste der HSMs in der Domäne autorisierten Personen einen hinzu oder entfernt ihn HSM aus dieser Liste.

Regeln ändern

Ändert den Satz von Quorumregeln, die für die Ausführung von Befehlen auf einem erforderlich sind. HSM

Drehen der Domänenschlüssel

Bewirkt, dass ein neuer Domänenschlüssel erstellt und als aktiver Domänenschlüssel markiert wird. Dadurch wird der vorhandene aktive Schlüssel in einen deaktivierten Schlüssel verschoben und der älteste deaktivierte Schlüssel aus dem Domänenstatus entfernt.