AWS KMS konsep - AWS Key Management Service
Pengantar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS KMS konsep

Pelajari istilah dan konsep dasar yang digunakan dalam AWS Key Management Service (AWS KMS) dan bagaimana mereka bekerja sama untuk membantu melindungi data Anda.

Pengantar AWS KMS

AWS Key Management Service (AWS KMS) menyediakan antarmuka web untuk menghasilkan dan mengelola kunci kriptografi dan beroperasi sebagai penyedia layanan kriptografi untuk melindungi data. AWS KMS menawarkan layanan manajemen kunci tradisional yang terintegrasi dengan AWS layanan untuk memberikan pandangan yang konsisten tentang kunci pelanggan AWS, dengan manajemen dan audit terpusat.

AWS KMS mencakup antarmuka web melalui, antarmuka baris perintah AWS Management Console, dan RESTful API operasi untuk meminta operasi kriptografi dari armada terdistribusi FIPS 140-2 modul keamanan perangkat keras yang divalidasi (). HSMs AWS KMS HSMIni adalah alat kriptografi perangkat keras mandiri multichip yang dirancang untuk menyediakan fungsi kriptografi khusus untuk memenuhi persyaratan keamanan dan skalabilitas. AWS KMS Anda dapat membuat hierarki kriptografi HSM berbasis Anda sendiri di bawah kunci yang Anda kelola sebagai. AWS KMS keys Kunci-kunci ini hanya tersedia di memori HSMs dan hanya untuk waktu yang diperlukan untuk memproses permintaan kriptografi Anda. Anda dapat membuat beberapa KMS kunci, masing-masing diwakili oleh ID kuncinya. Hanya di bawah AWS IAM peran dan akun yang dikelola oleh setiap pelanggan, KMS kunci yang dikelola pelanggan dapat dibuat, dihapus, atau digunakan untuk mengenkripsi, mendekripsi, menandatangani, atau memverifikasi data. Anda dapat menentukan kontrol akses pada siapa yang dapat mengelola dan/atau menggunakan KMS kunci dengan membuat kebijakan yang dilampirkan ke kunci. Kebijakan tersebut memungkinkan Anda untuk menentukan penggunaan khusus aplikasi untuk kunci Anda untuk setiap API operasi.

Selain itu, sebagian besar AWS layanan mendukung enkripsi data saat istirahat menggunakan KMS kunci. Kemampuan ini memungkinkan pelanggan untuk mengontrol bagaimana dan kapan AWS layanan dapat mengakses data terenkripsi dengan mengontrol bagaimana dan kapan KMS kunci dapat diakses.

AWS KMS arsitektur.

AWS KMS adalah layanan berjenjang yang terdiri dari AWS KMS host yang menghadap ke web dan tingkat. HSMs Pengelompokan host berjenjang ini membentuk tumpukan. AWS KMS Semua permintaan AWS KMS harus dibuat melalui protokol Transport Layer Security (TLS) dan berakhir pada AWS KMS host. AWS KMS host hanya mengizinkan TLS dengan ciphersuite yang memberikan kerahasiaan maju yang sempurna. AWS KMS mengautentikasi dan mengotorisasi permintaan Anda menggunakan kredensi dan mekanisme kebijakan AWS Identity and Access Management (IAM) yang sama yang tersedia untuk semua operasi lainnya. AWS API

AWS KMS tujuan desain

AWS KMS dirancang untuk memenuhi persyaratan berikut.

Daya tahan

Daya tahan kunci kriptografi dirancang untuk menyamai layanan dengan daya tahan tertinggi di AWS. Kunci kriptografi tunggal dapat mengenkripsi volume besar data Anda yang telah terakumulasi dalam waktu lama.

Dapat Dipercaya

Penggunaan kunci dilindungi oleh kebijakan kontrol akses yang Anda tetapkan dan kelola. Tidak ada mekanisme untuk mengekspor kunci plaintextKMS. Kerahasiaan kunci kriptografi Anda sangat penting. Beberapa karyawan Amazon dengan akses khusus peran ke kontrol akses berbasis kuorum diperlukan untuk melakukan tindakan administratif pada perangkat. HSMs

Latensi rendah dan throughput yang tinggi

AWS KMS menyediakan operasi kriptografi pada tingkat latensi dan throughput yang cocok untuk digunakan oleh layanan lain di. AWS

Daerah Independen

AWS menyediakan Wilayah independen untuk pelanggan yang perlu membatasi akses data di Wilayah yang berbeda. Penggunaan kunci dapat diisolasi dalam file Wilayah AWS.

Sumber nomor acak yang aman

Karena kriptografi yang kuat bergantung pada generasi angka acak yang benar-benar tidak dapat diprediksi, AWS KMS menyediakan sumber angka acak berkualitas tinggi dan tervalidasi.

Audit

AWS KMS mencatat penggunaan dan pengelolaan kunci kriptografi dalam AWS CloudTrail log. Anda dapat menggunakan AWS CloudTrail log untuk memeriksa penggunaan kunci kriptografi Anda, termasuk penggunaan kunci oleh AWS layanan atas nama Anda.

Untuk mencapai tujuan ini, AWS KMS sistem mencakup seperangkat AWS KMS operator dan operator host layanan (secara kolektif, “operator”) yang mengelola “domain.” Domain adalah seperangkat AWS KMS server,, HSMs dan operator yang ditentukan secara regional. Setiap AWS KMS operator memiliki token perangkat keras yang berisi key pair pribadi dan publik yang digunakan untuk mengotentikasi tindakannya. HSMsMemiliki tambahan private dan public key pair untuk membangun kunci enkripsi yang melindungi sinkronisasi HSM status.