Claves de dominio Tokens de dominio exportados Administración de estados de dominio

Dominios y estado de dominio

Una recopilación cooperativa de entidades internas de AWS KMS de confianza dentro de una Región de AWS se denomina dominio. Un dominio incluye un conjunto de entidades de confianza, un conjunto de reglas y un conjunto de claves secretas, denominadas claves de dominio. Las claves de dominio se comparten entre los HSM que son miembros del dominio. Un estado de dominio consta de los siguientes campos.

Nombre: Un nombre de dominio para identificar este dominio.
Miembros: Una lista de HSM que son miembros del dominio, incluidas sus claves de firma públicas y claves de acuerdo públicas.
Operadores: Una lista de entidades, claves de firma públicas y un rol (operador de AWS KMS o anfitrión de servicio) que representa a los operadores de este servicio.
Reglas: Una lista de reglas de quórum para cada comando que se deben cumplir para ejecutar un comando en el HSM.
Claves de dominio: Una lista de claves de dominio (claves simétricas) actualmente en uso dentro del dominio.

El estado de dominio completo solo está disponible en el HSM. El estado de dominio se sincroniza entre los miembros del dominio de HSM como un token de dominio exportado.

Claves de dominio

Todos los HSM de un dominio comparten un conjunto de claves de dominio, {DK _r}. Estas claves se comparten a través de una rutina de exportación de estado de dominio. El estado de dominio exportado se puede importar a cualquier HSM que sea miembro del dominio.

El conjunto de claves de dominio, {DK _r}, siempre incluye una clave de dominio activa y varias claves de dominio desactivadas. Las claves de dominio se rotan a diario con el fin de garantizar que AWS cumpla con la Recomendación para la gestión de claves: parte 1. Durante la rotación de claves de dominio, todas las claves de KMS existentes cifradas con la clave de dominio saliente se vuelven a cifrar con la nueva clave de dominio activa. La clave de dominio activa se utiliza para cifrar cualquier EKT nuevo. Las claves de dominio vencidas solo se pueden utilizar para descifrar EKT previamente cifrados durante una cantidad de días equivalente al número de claves de dominio rotadas hace poco.

Tokens de dominio exportados

Existe una necesidad periódica de sincronizar el estado entre los participantes del dominio. Esto se logra al exportar el estado de dominio cada vez que se realiza un cambio en el dominio. El estado de dominio se exporta como un token de dominio exportado.

Nombre: Un nombre de dominio para identificar este dominio.
Miembros: Una lista de HSM que son miembros del dominio, incluidas las claves públicas de firma y acuerdo.
Operadores: Una lista de entidades, claves de firma públicas y un rol que representa a los operadores de este servicio.
Reglas: Una lista de reglas de quórum para cada comando que se deben cumplir para ejecutar un comando en un miembro de dominio de HSM.
Claves de dominio cifradas: Claves de dominio con cifrado doble. El miembro firmante cifra las claves de dominio para cada uno de los miembros enumerados anteriormente y las vuelve a cifrar con su clave de acuerdo pública.
Signature: Una firma en el estado de dominio producida por un HSM, necesariamente el miembro del dominio que exportó el estado de dominio.

El token de dominio exportado forma la fuente fundamental de confianza para las entidades que operan dentro del dominio.

Administración de estados de dominio

El estado de dominio se administra a través de comandos autenticados con quórum. Estos cambios incluyen la actualización de la lista de participantes de confianza en el dominio, la modificación de las reglas de quórum para ejecutar comandos de HSM y la rotación periódica de las claves de dominio. Estos comandos se autentican por cada comando en lugar de operaciones de sesión autenticadas, como se muestra en la imagen siguiente.

Un HSM, en su estado inicializado y operativo, contiene un conjunto de claves de identidad asimétricas generadas de forma automática, un par de claves de firma y un par de claves de establecimiento de claves. A través de un proceso manual, un operador de AWS KMS puede establecer un dominio inicial que se creará en un primer HSM en una determinada región. Este dominio inicial consta de un estado de dominio completo como se definió anteriormente en este tema. Se instala mediante un comando de unión para cada uno de los miembros del HSM definidos en el dominio.

Una vez que un HSM se haya unido a un dominio inicial, este estará vinculado a las reglas que se definen en ese dominio. Estas reglas rigen los comandos que utilizan claves criptográficas de cliente o realizan cambios en el estado del anfitrión o del dominio. Las operaciones de API de sesión autenticadas que utilizan las claves criptográficas se han definido anteriormente.

La imagen anterior muestra cómo se modifica un estado de dominio. El proceso consta de cuatro pasos:

Se envía un comando basado en quórum a un HSM para modificar el dominio.
El nuevo estado de dominio se crea y se exporta como un nuevo token de dominio exportado. El estado en el HSM no se modifica, lo que significa que el cambio no se implementa en el HSM.
Se envía un segundo comando a cada uno de los HSM en el token de dominio recién exportado para actualizar su estado de dominio con el nuevo token de dominio.
Los HSM enumerados en el nuevo token de dominio exportado pueden autenticar el comando y el token de dominio. También pueden descomprimir las claves de dominio para actualizar el estado de dominio en todos los HSM del dominio.

Los HSM no se comunican directamente entre sí. En su lugar, un quórum de operadores solicita un cambio en el estado de dominio que da como resultado un nuevo token de dominio exportado. Un miembro del anfitrión de servicio del dominio se utiliza para distribuir el nuevo estado de dominio a cada HSM del dominio.

La salida y unión de un dominio se realizan a través de las funciones de gestión de HSM. La modificación del estado de dominio se realiza a través de las funciones de gestión del dominio.

Salir del dominio: Hace que un HSM salga de un dominio, lo que elimina todos los restos y claves de ese dominio de la memoria.
Unirse al dominio: Hace que un HSM se una a un nuevo dominio o actualice su estado de dominio actual al nuevo estado del dominio. El dominio existente se utiliza como fuente del conjunto inicial de reglas para autenticar este mensaje.
Crear un dominio: Hace que se cree un nuevo dominio en un HSM. Devuelve un primer token de dominio que se puede distribuir a los HSM miembros del dominio.
Modificar operadores: Agrega o elimina operadores de la lista de operadores autorizados y sus respectivos roles en el dominio.
Modificar miembros: Agrega o elimina un HSM de la lista de HSM autorizados en el dominio.
Modificar reglas: Modifica el conjunto de reglas de quórum necesario para ejecutar comandos en un HSM.
Rotar claves de dominio: Hace que se cree una nueva clave de dominio y que esta se marque como la clave de dominio activa. De esta manera, se mueve la clave activa existente a una clave desactivada y elimina la clave desactivada más antigua del estado de dominio.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Operaciones internas de AWS KMS

Seguridad de la comunicación interna