Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Als verwalteter Service ist AWS Key Management Service (AWS KMS) durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die in Amazon Web Services: Überblick über Sicherheitsprozesse
Für den Zugriff AWS KMS über das Netzwerk können Sie die AWS KMS API-Operationen aufrufen, die in der AWS Key Management Service API-Referenz beschrieben sind. AWS KMS erfordert TLS 1.2 und empfiehlt TLS 1.3 in allen Regionen. AWS KMS unterstützt auch hybrides Post-Quantum-TLS für AWS KMS Service-Endpunkte in allen Regionen außer den Regionen China. AWS KMS unterstützt kein hybrides Post-Quantum-TLS für FIPS-Endpunkte in. AWS GovCloud (US) Um die Standard- AWS KMS -Endpunkte oder AWS KMS -FIPS-Endpunkte zu verwenden, müssen Clients TLS 1.2 oder höher unterstützen. Clients müssen außerdem Cipher-Suites mit Perfect Forward Secrecy (PFS) wie Ephemeral Diffie-Hellman (DHE) oder Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) unterstützen. Die meisten modernen Systeme, z. B. Java 7 und höher, unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
Sie können diese API-Operationen von jedem Netzwerkstandort aus aufrufen, AWS KMS unterstützt jedoch globale Richtlinienbedingungen, mit denen Sie den Zugriff auf einen KMS-Schlüssel auf der Grundlage der Quell-IP-Adresse, der VPC und des VPC-Endpunkts steuern können. Sie können diese Bedingungsschlüssel in Schlüsselrichtlinien und IAM-Richtlinien verwenden. Diese Bedingungen können jedoch AWS verhindern, dass der KMS-Schlüssel in Ihrem Namen verwendet wird. Details hierzu finden Sie unter AWS globale Bedingungsschlüssel.
Die folgende wichtige Richtlinienanweisung ermöglicht es beispielsweise Benutzern, die diese KMSTestRole Rolle übernehmen können, diese AWS KMS key für die angegebenen kryptografischen Operationen zu verwenden, sofern es sich bei der Quell-IP-Adresse nicht um eine der in der Richtlinie angegebenen IP-Adressen handelt.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
} Isolierung auf physischen Hosts
Die Sicherheit der AWS KMS verwendeten physischen Infrastruktur unterliegt den Kontrollen, die im Abschnitt Physische Sicherheit und Umgebungssicherheit von Amazon Web Services: Überblick über Sicherheitsprozesse
AWS KMS wird von speziellen Sicherheitsmodulen für gehärtete Hardware (HSMs) unterstützt, die mit speziellen Kontrollen ausgestattet sind, um physischen Angriffen standzuhalten. Dabei HSMs handelt es sich um physische Geräte ohne Virtualisierungsebene, wie z. B. einen Hypervisor, der das physische Gerät von mehreren logischen Mandanten gemeinsam genutzt wird. Das Schlüsselmaterial für AWS KMS keys wird nur im flüchtigen Speicher auf dem gespeichert HSMs, und nur solange der KMS-Schlüssel verwendet wird. Dieser Speicher wird gelöscht, wenn das HSM den Betriebszustand verlässt, einschließlich beabsichtigtem und unbeabsichtigtem Herunterfahren und Zurücksetzen. Ausführliche Informationen zur Funktionsweise von finden Sie AWS KMS HSMs unter AWS Key Management Service Kryptografische Details.
