Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wichtige Geschäfte
Ein Schlüsselspeicher ist ein sicherer Ort für die Speicherung und Verwendung kryptografischer Schlüssel. Der Standardschlüsselspeicher in unterstützt AWS KMS auch Methoden zum Generieren und Verwalten der Schlüssel, die er speichert. Standardmäßig wird das kryptografische Schlüsselmaterial für das, in dem Sie erstellen AWS KMS keys , in Hardware-Sicherheitsmodulen (HSMs) generiert und durch diese geschützt. Dabei AWS KMS handelt es sich um nach den NISTFederal Information Processing Standards (FIPS) 140 Cryptographic Module Validation Program (FIPS) 140-2 Level 3-validierte kryptografische Module
AWS KMS unterstützt verschiedene Arten von Schlüsselspeichern zum Schutz Ihrer Schlüssel. Material, das Sie AWS KMS zur Erstellung und Verwaltung Ihrer Verschlüsselungsschlüssel verwenden können. Alle von angebotenen Schlüsselspeicheroptionen AWS KMS werden kontinuierlich auf Sicherheitsstufe 3 unter FIPS 140 geprüft. Sie sind so konzipiert, dass niemand, auch keine AWS Bediener, auf Ihre Klartext-Schlüssel zugreifen oder sie ohne Ihre Zustimmung verwenden kann.
AWS KMS Standard-Schlüsselspeicher
Standardmäßig wird ein KMS Schlüssel mit dem Standard erstellt AWS KMS HSM. Dieser HSM Typ kann als eine Flotte mit mehreren Mandanten betrachtet werdenHSMs, die aus Ihrer Sicht den skalierbarsten, kostengünstigsten und am einfachsten zu verwaltenden Schlüsselspeicher ermöglicht. Wenn Sie einen KMS Schlüssel zur Verwendung in einem oder mehreren Schlüsseln erstellen möchten, AWS-Services sodass der Service Ihre Daten in Ihrem Namen verschlüsseln kann, erstellen Sie einen symmetrischen Schlüssel. Wenn Sie einen KMS Schlüssel für Ihr eigenes Anwendungsdesign verwenden, können Sie wählen, ob Sie einen symmetrischen Verschlüsselungsschlüssel, einen asymmetrischen Schlüssel oder einen Schlüssel erstellen möchten. HMAC
AWS KMS Erstellt in der Standardoption für den Schlüsselspeicher Ihren Schlüssel und verschlüsselt ihn dann unter Schlüsseln, die der Dienst intern verwaltet. Mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel werden dann in Systemen gespeichert, die auf Langlebigkeit ausgelegt sind. Durch die Generierung und den Schutz Ihres Schlüsselmaterials im Standard-Schlüsselspeichertyp können Sie die Skalierbarkeit, Verfügbarkeit und Haltbarkeit von AWS Schlüsselspeichern AWS KMS bei geringstem Betriebsaufwand und geringsten Kosten voll ausschöpfen.
AWS KMS Standard-Schlüsselspeicher mit importiertem Schlüsselmaterial
Anstatt AWS KMS zu verlangen, dass die einzigen Kopien eines bestimmten Schlüssels sowohl generiert als auch gespeichert werden, können Sie Schlüsselmaterial in importieren AWS KMS, sodass Sie Ihren eigenen symmetrischen 256-Bit-Verschlüsselungsschlüssel, einen Schlüssel mit elliptischer Kurve (ECC) RSA oder einen Hash-Based Message Authentication Code () -Schlüssel (HMAC) generieren und ihn auf eine KMS Schlüssel-ID () anwenden können. keyId Dies wird manchmal auch als Bring Your Own Key () bezeichnet. BYOK Importiertes Schlüsselmaterial aus Ihrem lokalen Schlüsselverwaltungssystem muss mithilfe eines von ausgegebenen öffentlichen Schlüssels AWS KMS, eines unterstützten kryptografischen Wrapping-Algorithmus und eines zeitbasierten Import-Tokens, das von bereitgestellt wird, geschützt werden. AWS KMS Durch diesen Vorgang wird überprüft, ob Ihr verschlüsselter, importierter Schlüssel immer nur dann entschlüsselt werden kann, AWS KMS HSM wenn er Ihre Umgebung verlassen hat.
Importiertes Schlüsselmaterial kann nützlich sein, wenn Sie spezielle Anforderungen an das System haben, das Schlüssel generiert, oder wenn Sie eine Kopie Ihres Schlüssels außerhalb AWS als Backup benötigen. Beachten Sie, dass Sie für die allgemeine Verfügbarkeit und Haltbarkeit eines importierten Schlüsselmaterials verantwortlich sind. AWS KMS Besitzt zwar eine Kopie Ihres importierten Schlüssels und bleibt hochverfügbar, solange Sie ihn benötigen, aber importierte Schlüssel bieten eine spezielle API Option zum Löschen — DeleteImportedKeyMaterial. Dadurch API werden sofort alle Kopien des importierten Schlüsselmaterials AWS KMS gelöscht, ohne dass der AWS Schlüssel wiederhergestellt werden kann. Darüber hinaus können Sie für einen importierten Schlüssel eine Ablaufzeit festlegen, nach deren Ablauf der Schlüssel unbrauchbar ist. Damit der Schlüssel wieder nützlich ist AWS KMS, müssen Sie das Schlüsselmaterial erneut importieren und ihm zuweisen. keyId Diese Löschaktion für importierte Schlüssel unterscheidet sich von Standardschlüsseln, die in Ihrem Namen für Sie AWS KMS generiert und gespeichert werden. Im Standardfall gibt es beim Löschen von Schlüsseln eine obligatorische Wartezeit, in der ein Schlüssel, der gelöscht werden soll, zunächst für die Nutzung gesperrt wird. Mit dieser Aktion können Sie in den Protokollen aller Anwendungen oder AWS Dienste, die diesen Schlüssel möglicherweise für den Zugriff auf Daten benötigen, Fehler im Zusammenhang mit der Zugriffsverweigerung anzeigen. Wenn Sie solche Zugriffsanfragen sehen, können Sie das geplante Löschen abbrechen und den Schlüssel erneut aktivieren. Erst nach einer konfigurierbaren Wartezeit (zwischen 7 und 30 Tagen) werden das Schlüsselmaterial, die KeyID und alle mit dem Schlüssel verknüpften Metadaten KMS tatsächlich gelöscht. Weitere Informationen zu Verfügbarkeit und Haltbarkeit finden Sie im AWS KMS Entwicklerhandbuch unter Schutz von importiertem Schlüsselmaterial.
Beachten Sie bei importiertem Schlüsselmaterial einige zusätzliche Einschränkungen. Da AWS KMS kein neues Schlüsselmaterial generiert werden kann, gibt es keine Möglichkeit, die automatische Rotation importierter Schlüssel zu konfigurieren. Sie müssen einen neuen KMS Schlüssel mit einem neuen Schlüsselmaterial erstellen und dann neues importierenkeyId, um eine effektive Rotation zu erreichen. Außerdem können Chiffretexte, die AWS KMS unter einem importierten symmetrischen Schlüssel erstellt wurden, nicht einfach mit Ihrer lokalen Kopie des Schlüssels außerhalb von entschlüsselt werden. AWS Dies liegt daran, dass das von verwendete authentifizierte Verschlüsselungsformat zusätzliche Metadaten an den Chiffretext AWS KMS anhängt, um während des Entschlüsselungsvorgangs sicherzustellen, dass der Chiffretext mit dem erwarteten Schlüssel bei einem früheren Verschlüsselungsvorgang erstellt wurde. KMS Die meisten externen kryptografischen Systeme verstehen nicht, wie diese Metadaten analysiert werden müssen, um Zugriff auf den rohen Chiffretext zu erhalten und ihre Kopie eines symmetrischen Schlüssels verwenden zu können. Chiffretexte, die AWS KMS mit importierten asymmetrischen Schlüsseln (z. B. RSA oderECC) erstellt wurden, können außerhalb des entsprechenden (öffentlichen oder privaten) Teils des Schlüssels verwendet werden, da dem Chiffretext keine zusätzlichen Metadaten hinzugefügt werden. AWS KMS
AWS KMS benutzerdefinierte Schlüsselspeicher
Wenn Sie jedoch noch mehr Kontrolle über benötigenHSMs, können Sie einen benutzerdefinierten Schlüsselspeicher erstellen.
Ein benutzerdefinierter Schlüsselspeicher ist ein Schlüsselspeicher innerhalb AWS KMS , der von einem externen Schlüsselmanager unterstützt wird AWS KMS, den Sie besitzen und verwalten. Benutzerdefinierte Schlüsselspeicher kombinieren die praktische und umfassende Schlüsselverwaltungsoberfläche von AWS KMS mit der Möglichkeit, das Schlüsselmaterial und die kryptografischen Operationen zu besitzen und zu kontrollieren. Wenn Sie einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptografischen Operationen von Ihrem Schlüsselmanager unter Verwendung Ihrer kryptografischen Schlüssel ausgeführt. Dadurch übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit kryptografischer Schlüssel sowie für den Betrieb der. HSMs
Ihr Eigentum HSMs kann nützlich sein, um bestimmte gesetzliche Anforderungen zu erfüllen, die es Multi-Tenant-Webdiensten wie dem KMS Standard-Schlüsselspeicher noch nicht erlauben, Ihre kryptografischen Schlüssel zu speichern. Benutzerdefinierte Schlüsselspeicher sind nicht sicherer als KMS Schlüsselspeicher, die AWS-managed verwendenHSMs, aber sie haben andere (und höhere) Verwaltungs- und Kostenauswirkungen. Daher übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit kryptografischer Schlüssel und für den Betrieb der. HSMs Unabhängig davon, ob Sie den Standard-Schlüsselspeicher mit AWS KMS HSMs oder einen benutzerdefinierten Schlüsselspeicher verwenden, ist der Dienst so konzipiert, dass niemand, auch keine AWS Mitarbeiter, Ihre Klartext-Schlüssel abrufen oder ohne Ihre Zustimmung verwenden kann. AWS KMS unterstützt zwei Arten von benutzerdefinierten Schlüsselspeichern:
Nicht unterstützte Funktionen
AWS KMS unterstützt die folgenden Funktionen in benutzerdefinierten Schlüsselspeichern nicht.
AWS CloudHSM Schlüsselspeicher
Sie können einen KMS Schlüssel in einem AWS CloudHSM
Externer Schlüsselspeicher
Sie können AWS KMS die Verwendung eines externen Schlüsselspeichers (XKS) konfigurieren, in dem Root-Benutzerschlüssel generiert, gespeichert und in einem Schlüsselverwaltungssystem außerhalb von verwendet werden AWS Cloud. Anfragen AWS KMS zur Verwendung eines Schlüssels für einen kryptografischen Vorgang werden zur Ausführung des Vorgangs an Ihr extern gehostetes System weitergeleitet. Insbesondere werden Anfragen an einen XKS Proxy in Ihrem Netzwerk weitergeleitet, der die Anfrage dann an das von Ihnen verwendete kryptografische System weiterleitet. Der XKS Proxy ist eine Open-Source-Spezifikation, in die sich jeder integrieren kann. Viele kommerzielle Anbieter von Key-Management-Systemen unterstützen die XKS Proxy-Spezifikation. Da ein externer Schlüsselspeicher von Ihnen oder einem Drittanbieter gehostet wird, sind Sie für die gesamte Verfügbarkeit, Haltbarkeit und Leistung der Schlüssel im System verantwortlich. Um herauszufinden, ob ein externer Schlüsselspeicher Ihren Anforderungen entspricht, lesen Sie im AWS News-Blog den AWS KMS Artikel Ankündigung eines externen Schlüsselspeichers (XKS)