Toko-toko utama - AWS Key Management Service
AWS KMS toko kunci standarAWS KMS toko kunci standar dengan bahan kunci imporAWS KMS toko kunci kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Toko-toko utama

Toko kunci adalah lokasi yang aman untuk menyimpan dan menggunakan kunci kriptografi. Penyimpanan kunci default AWS KMS juga mendukung metode untuk menghasilkan dan mengelola kunci yang disimpannya. Secara default, materi kunci kriptografi untuk AWS KMS keys yang Anda buat dihasilkan dan dilindungi oleh modul keamanan perangkat keras () yang AWS KMS merupakan Standar Pemrosesan Informasi NIST Federal (HSMs) 140 Program Validasi Modul Kriptografi (FIPSFIPS) 140-2 Level 3modul kriptografi yang divalidasi. Materi kunci untuk KMS kunci Anda tidak pernah meninggalkan yang tidak HSMs terenkripsi.

AWS KMS mendukung beberapa jenis toko utama untuk melindungi kunci Anda. materi saat menggunakan AWS KMS untuk membuat dan mengelola kunci enkripsi Anda. Semua opsi penyimpanan utama yang disediakan oleh terus AWS KMS divalidasi di bawah FIPS 140 di Security Level 3 dan dirancang untuk mencegah siapa pun, termasuk AWS operator, mengakses kunci teks biasa Anda atau menggunakannya tanpa izin Anda.

AWS KMS toko kunci standar

Secara default, KMS kunci dibuat menggunakan standar AWS KMS HSM. HSMJenis ini dapat dianggap sebagai armada multi-penyewa yang memungkinkan toko kunci HSMs yang paling skalabel, biaya terendah, dan termudah untuk dikelola dari sudut pandang Anda. Jika Anda peduli membuat KMS kunci untuk digunakan dalam satu atau lebih Layanan AWS sehingga layanan dapat mengenkripsi data Anda atas nama Anda, Anda akan membuat kunci simetris. Jika Anda menggunakan KMS kunci untuk desain aplikasi Anda sendiri, Anda dapat memilih untuk membuat kunci enkripsi simetris, kunci asimetris, atau HMAC kunci.

Dalam opsi penyimpanan kunci standar, AWS KMS buat kunci Anda, lalu enkripsi di bawah kunci yang dikelola layanan secara internal. Beberapa salinan versi terenkripsi kunci Anda kemudian disimpan dalam sistem yang dirancang untuk daya tahan. Menghasilkan dan melindungi bahan utama Anda dalam jenis toko kunci standar memungkinkan Anda memanfaatkan sepenuhnya skalabilitas, ketersediaan, dan daya tahan AWS KMS dengan beban operasional dan biaya terendah dari toko-toko AWS utama.

AWS KMS toko kunci standar dengan bahan kunci impor

Alih-alih meminta AWS KMS untuk menghasilkan dan menyimpan satu-satunya salinan kunci yang diberikan, Anda dapat memilih untuk mengimpor materi kunci ke dalamnya AWS KMS, memungkinkan Anda untuk membuat kunci enkripsi simetris 256-bit Anda sendiri, atau kunci eliptic curve (ECC), RSA atau kunci Kode Otentikasi Pesan Berbasis Hash (), dan menerapkannya ke pengenal kunci (HMAC). KMS keyId Ini kadang-kadang disebut sebagai bring your own key (BYOK). Materi kunci yang diimpor dari sistem manajemen kunci lokal Anda harus dilindungi dengan menggunakan kunci publik yang dikeluarkan oleh AWS KMS, algoritma pembungkus kriptografi yang didukung, dan token impor berbasis waktu yang disediakan oleh. AWS KMS Proses ini memverifikasi bahwa kunci yang dienkripsi dan diimpor hanya dapat didekripsi oleh AWS KMS HSM setelah meninggalkan lingkungan Anda.

Materi kunci yang diimpor mungkin berguna jika Anda memiliki persyaratan khusus di sekitar sistem yang menghasilkan kunci, atau menginginkan salinan kunci Anda di luar AWS sebagai cadangan. Perhatikan bahwa Anda bertanggung jawab atas ketersediaan dan daya tahan material kunci impor secara keseluruhan. Meskipun AWS KMS memiliki salinan kunci impor Anda dan akan tetap sangat tersedia saat Anda membutuhkannya, kunci impor menawarkan khusus API untuk penghapusan —. DeleteImportedKeyMaterial Ini API akan segera menghapus semua salinan materi kunci impor yang AWS KMS memiliki, tanpa opsi AWS untuk memulihkan kunci. Selain itu, Anda dapat mengatur waktu kedaluwarsa pada kunci yang diimpor, setelah itu kunci tidak dapat digunakan. Untuk membuat kunci berguna lagi AWS KMS, Anda harus mengimpor ulang materi kunci dan menetapkannya ke yang sama. keyId Tindakan penghapusan untuk kunci impor ini berbeda dari kunci standar yang AWS KMS menghasilkan dan disimpan untuk Anda atas nama Anda. Dalam kasus standar, proses penghapusan kunci memiliki masa tunggu wajib di mana kunci yang dijadwalkan untuk dihapus pertama kali diblokir dari penggunaan. Tindakan ini memungkinkan Anda melihat kesalahan akses ditolak dalam log dari aplikasi atau AWS layanan apa pun yang mungkin memerlukan kunci tersebut untuk mengakses data. Jika Anda melihat permintaan akses tersebut, Anda dapat memilih untuk membatalkan penghapusan terjadwal dan mengaktifkan kembali kunci. Setelah masa tunggu yang dapat dikonfigurasi (antara 7 dan 30 hari), baru kemudian akan KMS benar-benar menghapus materi kunci, keyID dan semua metadata yang terkait dengan kunci. Untuk informasi selengkapnya tentang ketersediaan dan daya tahan, lihat Melindungi materi kunci yang diimpor di Panduan AWS KMS Pengembang.

Ada beberapa batasan tambahan dengan bahan kunci impor yang harus diperhatikan. Karena AWS KMS tidak dapat menghasilkan materi kunci baru, tidak ada cara untuk mengonfigurasi rotasi otomatis kunci yang diimpor. Anda perlu membuat KMS kunci baru dengan yang barukeyId, lalu mengimpor materi kunci baru untuk mencapai rotasi yang efektif. Selain itu, ciphertext yang dibuat di AWS KMS bawah kunci simetris yang diimpor tidak dapat dengan mudah didekripsi menggunakan salinan lokal Anda dari kunci di luar. AWS Ini karena format enkripsi yang diautentikasi yang digunakan dengan AWS KMS menambahkan metadata tambahan ke ciphertext untuk memberikan jaminan selama operasi dekripsi bahwa ciphertext dibuat oleh kunci yang diharapkan di bawah operasi enkripsi sebelumnya. KMS Sebagian besar sistem kriptografi eksternal tidak akan mengerti cara mengurai metadata ini untuk mendapatkan akses ke ciphertext mentah untuk dapat menggunakan salinan kunci simetris mereka. Ciphertext yang dibuat di bawah kunci asimetris yang diimpor (misalnya RSA atauECC) dapat digunakan di luar AWS KMS dengan bagian kunci yang cocok (publik atau pribadi) karena tidak ada metadata tambahan yang ditambahkan ke ciphertext. AWS KMS

AWS KMS toko kunci kustom

Namun, jika Anda memerlukan lebih banyak kontrolHSMs, Anda dapat membuat toko kunci khusus.

Toko kunci khusus adalah toko kunci di dalamnya AWS KMS yang didukung oleh manajer kunci di luar AWS KMS, yang Anda miliki dan kelola. Toko kunci khusus menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kemampuan untuk memiliki dan mengontrol materi utama dan operasi kriptografi. Ketika Anda menggunakan KMS kunci di toko kunci khusus, operasi kriptografi dilakukan oleh manajer kunci Anda menggunakan kunci kriptografi Anda. Akibatnya, Anda memikul lebih banyak tanggung jawab atas ketersediaan dan daya tahan kunci kriptografi, dan untuk pengoperasianHSMs.

Memiliki Anda HSMs mungkin berguna untuk membantu memenuhi persyaratan peraturan tertentu yang belum memungkinkan layanan web multi-penyewa seperti toko KMS kunci standar untuk menyimpan kunci kriptografi Anda. Toko kunci khusus tidak lebih aman daripada toko KMS kunci yang menggunakan AWS-managedHSMs, tetapi memiliki implikasi manajemen dan biaya yang berbeda (dan lebih tinggi). Akibatnya, Anda memikul lebih banyak tanggung jawab atas ketersediaan dan daya tahan kunci kriptografi dan untuk pengoperasianHSMs. Terlepas dari apakah Anda menggunakan toko kunci standar dengan AWS KMS HSMs atau toko kunci khusus, layanan ini dirancang sehingga tidak ada seorang pun, termasuk AWS karyawan, dapat mengambil kunci teks biasa Anda atau menggunakannya tanpa izin Anda. AWS KMS mendukung dua jenis toko kunci khusus, toko AWS CloudHSM kunci dan toko kunci eksternal.

Fitur yang tidak didukung

AWS KMS tidak mendukung fitur berikut di toko kunci khusus.

AWS CloudHSM toko kunci

Anda dapat membuat KMS kunci di penyimpanan AWS CloudHSMkunci, tempat kunci pengguna root dihasilkan, disimpan, dan digunakan dalam AWS CloudHSM cluster yang Anda miliki dan kelola. Permintaan AWS KMS untuk menggunakan kunci untuk beberapa operasi kriptografi diteruskan ke AWS CloudHSM cluster Anda untuk melakukan operasi. Sementara AWS CloudHSM cluster di-host oleh AWS, ini adalah solusi penyewa tunggal yang langsung dikelola dan dioperasikan oleh Anda. Anda memiliki banyak ketersediaan dan kinerja KMS kunci dalam sebuah AWS CloudHSM cluster. Untuk melihat apakah toko kunci AWS CloudHSM khusus cocok untuk kebutuhan Anda, baca Apakah toko kunci AWS KMS khusus tepat untuk Anda? di blog AWS keamanan.

Toko kunci eksternal

Anda dapat mengonfigurasi AWS KMS untuk menggunakan External Key Store (XKS), di mana kunci pengguna root dihasilkan, disimpan, dan digunakan dalam sistem manajemen kunci di luar AWS Cloud. Permintaan AWS KMS untuk menggunakan kunci untuk beberapa operasi kriptografi diteruskan ke sistem yang dihosting secara eksternal untuk melakukan operasi. Secara khusus, permintaan diteruskan ke XKS Proxy di jaringan Anda, yang kemudian meneruskan permintaan ke sistem kriptografi mana pun yang Anda gunakan. XKSProxy adalah spesifikasi sumber terbuka yang dapat diintegrasikan oleh siapa saja. Banyak vendor manajemen kunci komersial mendukung spesifikasi XKS Proxy. Karena Toko Kunci Eksternal dihosting oleh Anda atau pihak ketiga, Anda memiliki semua ketersediaan, daya tahan, dan kinerja kunci dalam sistem. Untuk melihat apakah Toko Kunci Eksternal cocok untuk kebutuhan Anda, baca Mengumumkan Toko Kunci AWS KMS Eksternal (XKS) di blog AWS Berita.