Asymmetrische Tasten in AWS KMS

AWS KMS unterstützt asymmetrische KMS-Schlüssel, die ein mathematisch verwandtes RSA-, Elliptic Curve- (ECC) oder SM2 (nur Regionen Chinas) öffentliches und privates key pair darstellen. Diese Schlüsselpaare werden in AWS KMS Hardware-Sicherheitsmodulen generiert, die im Rahmen des FIPS 140-2 Cryptographic Module Validation Program zertifiziert sind, außer in den Regionen China (Peking) und China (Ningxia). Der private Schlüssel verlässt die HSMs niemals unverschlüsselt. AWS KMS Sie können den öffentlichen Schlüssel zur Verteilung herunterladen und außerhalb von verwenden. AWS Sie können asymmetrische KMS-Schlüssel zur Verschlüsselung und Entschlüsselung, zum Signieren und Überprüfen oder zum Ableiten von gemeinsamen Geheimnissen erstellen (Sie müssen einen Schlüsselverwendungstyp wählen).

Sie können die asymmetrischen KMS-Schlüssel in Ihrem erstellen und verwalten AWS-Konto, einschließlich der Festlegung der Schlüsselrichtlinien, IAM-Richtlinien und Berechtigungen, die den Zugriff auf die Schlüssel steuern, die KMS-Schlüssel aktivieren und deaktivieren, Tags und Aliase erstellen und die KMS-Schlüssel löschen. Sie können alle Vorgänge, die Ihre asymmetrischen KMS-Schlüssel verwenden oder verwalten, in Protokollen überprüfen. AWSAWS CloudTrail

AWS KMS stellt außerdem asymmetrische Datenschlüsselpaare bereit, die für die Verwendung in clientseitiger Kryptografie außerhalb von konzipiert sind. AWS KMS Der private Schlüssel in einem asymmetrischen Datenschlüsselpaar wird durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung in AWS KMS geschützt.

In diesem Thema wird erläutert, wie asymmetrische KMS-Schlüssel funktionieren, wie sie sich von anderen KMS-Schlüsseln unterscheiden und wie Sie entscheiden, welche Art von KMS-Schlüssel Sie zum Schutz Ihrer Daten benötigen. Außerdem wird erklärt, wie asymmetrische Datenschlüsselpaare funktionieren und wie sie außerhalb von verwendet werden können. AWS KMS

Regionen

Asymmetrische KMS-Schlüssel und asymmetrische Datenschlüsselpaare werden in allem AWS-Regionen , was unterstützt, unterstützt. AWS KMS

Weitere Informationen

Informationen zum Erstellen asymmetrischer KMS-Schlüssel finden Sie unter Erstellen asymmetrischer KMS-Schlüssel. Informationen zum Erstellen von KMS-Schlüsseln mit symmetrischer Verschlüsselung finden Sie unter Erstellen von Schlüsseln.
Informationen zum Erstellen multiregionaler asymmetrischer KMS-Schlüssel finden Sie unter Erstellen von multiregionalen Schlüsseln.
Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen asymmetrischer KMS-Schlüssel.
Eine Tabelle, in der die AWS KMS API-Operationen verglichen werden, die für die einzelnen Typen von KMS-Schlüsseln gelten, finden Sie unter. Schlüsseltypreferenz
Informationen zur Steuerung des Zugriffs auf die Schlüsselspezifikationen, Schlüsselnutzung, Verschlüsselungsalgorithmen und Signaturalgorithmen, die Prinzipale in Ihrem Konto für KMS-Schlüssel verwenden können, finden Sie unter AWS KMS Bedingungsschlüssel.
Weitere Informationen zu den Anforderungskontingenten für unterschiedliche KMS-Schlüsseltypen finden Sie unter Anforderungskontingente.
Informationen zum Signieren von Nachrichten und Überprüfen von Signaturen mit asymmetrischen KMS-Schlüsseln finden Sie unter Digitale Signierung mit dem neuen asymmetrischen Schlüssel-Feature von AWS KMS im AWS -Sicherheits-Blog.

Themen

Asymmetrische KMS-Schlüssel

Sie können einen asymmetrischen KMS-Schlüssel in AWS KMS erstellen. Ein asymmetrischer KMS-Schlüssel repräsentiert einen mathematisch verwandtes Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel. Sie können den öffentlichen Schlüssel jedem geben, auch wenn er nicht vertrauenswürdig sind, aber der private Schlüssel muss geheim gehalten werden.

Bei einem asymmetrischen KMS-Schlüssel wird der private Schlüssel unverschlüsselt erstellt AWS KMS und verlässt ihn nie AWS KMS unverschlüsselt. Um den privaten Schlüssel zu verwenden, müssen Sie anrufen. AWS KMS Sie können den öffentlichen Schlüssel darin verwenden, AWS KMS indem Sie die AWS KMS API-Operationen aufrufen. Oder Sie können den öffentlichen Schlüssel herunterladen und ihn außerhalb von verwenden AWS KMS.

Wenn Ihr Anwendungsfall eine Verschlüsselung außerhalb AWS von Benutzern erfordert, die nicht anrufen können AWS KMS, sind asymmetrische KMS-Schlüssel eine gute Wahl. Wenn Sie jedoch einen KMS-Schlüssel erstellen, um die Daten zu verschlüsseln, die Sie in einem AWS Dienst speichern oder verwalten, verwenden Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung. AWS Dienste, in die integriert sind, AWS KMS verwenden nur KMS-Schlüssel mit symmetrischer Verschlüsselung, um Ihre Daten zu verschlüsseln. Diese Services unterstützen keine Verschlüsselung mit asymmetrischen KMS-Schlüsseln.

AWS KMS unterstützt drei Arten von asymmetrischen KMS-Schlüsseln.

RSA-KMS-Schlüssel: Ein KMS-Schlüssel mit einem RSA-Schlüsselpaar für Verschlüsselung und Entschlüsselung oder Signierung und Überprüfung (aber nicht beides). AWS KMS unterstützt mehrere Schlüssellängen für unterschiedliche Sicherheitsanforderungen.
KMS-Schlüssel mit elliptischer Kurve (ECC): Ein KMS-Schlüssel mit einem key pair mit elliptischer Kurve zum Signieren und Verifizieren oder zum Ableiten gemeinsamer Geheimnisse (aber nicht beides). AWS KMS unterstützt mehrere häufig verwendete Kurven.
SM2-KMS-Schlüssel (nur Regionen Chinas): Ein KMS-Schlüssel mit einem SM2-Schlüsselpaar zur Verschlüsselung und Entschlüsselung, Signierung und Überprüfung oder zum Ableiten gemeinsamer Geheimnisse (Sie müssen einen Schlüsselverwendungstyp wählen).

Hilfe bei der Auswahl Ihrer asymmetrischen Schlüsselkonfiguration finden Sie unter Auswahl eines KMS-Schlüsseltyps. Technische Informationen zu den Verschlüsselungs- und Signierungsalgorithmen, die RSA-KMS-Schlüssel AWS KMS unterstützen, finden Sie unter RSA-Schlüsselspezifikationen. Technische Informationen zu den Signaturalgorithmen, die ECC-KMS-Schlüssel AWS KMS unterstützen, finden Sie unter Schlüsselspezifikationen für elliptische Kurven. Technische Informationen zu den Verschlüsselungs- und Signierungsalgorithmen, die SM2-KMS-Schlüssel AWS KMS unterstützen (nur Regionen Chinas), finden Sie unter SM2-Schlüsselspezifikation.

Eine Tabelle mit den Operationen, die Sie für symmetrische und asymmetrische KMS-Schlüssel ausführen können, finden Sie unter Vergleich symmetrischer und asymmetrischer KMS-Schlüssel. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen asymmetrischer KMS-Schlüssel.

Regionen

Asymmetrische KMS-Schlüssel und asymmetrische Datenschlüsselpaare werden in allem unterstützt, was unterstützt wird. AWS-Regionen AWS KMS

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schlüssel für spezielle Zwecke

Erstellen asymmetrischer KMS-Schlüssel