AWS KMS concetti

Scopri i termini e i concetti di base utilizzati in AWS Key Management Service (AWS KMS) e come interagiscono per proteggere i tuoi dati.

Introduzione a AWS KMS

AWS Key Management Service (AWS KMS) fornisce un'interfaccia web per generare e gestire chiavi crittografiche e funge da fornitore di servizi crittografici per la protezione dei dati. AWS KMS offre servizi tradizionali di gestione delle chiavi integrati con AWS servizi per fornire una visione coerente delle chiavi dei clienti su tutti i fronti AWS, con gestione e controllo centralizzati.

AWS KMS include un'interfaccia web tramite interfaccia a riga di comando e RESTful API operazioni per richiedere operazioni crittografiche di una flotta distribuita di FIPS 140-2 moduli di sicurezza hardware convalidati (). AWS Management Console HSMs AWS KMS HSMSi tratta di un'appliance crittografica hardware standalone multichip progettata per fornire funzioni crittografiche dedicate per soddisfare i requisiti di sicurezza e scalabilità di. AWS KMSÈ possibile stabilire la propria gerarchia crittografica HSM basata su chiavi gestite come. AWS KMS keys Queste chiavi sono disponibili solo su HSMs e solo in memoria per il tempo necessario all'elaborazione della richiesta crittografica. È possibile creare più KMS chiavi, ciascuna rappresentata dal relativo ID chiave. Solo con AWS IAM ruoli e account amministrati da ciascun cliente è possibile creare, eliminare o utilizzare KMS le chiavi gestite dal cliente per crittografare, decrittografare, firmare o verificare i dati. È possibile definire i controlli di accesso su chi può gestire e/o utilizzare KMS le chiavi creando una policy allegata alla chiave. Tali politiche consentono di definire usi specifici dell'applicazione per le chiavi per ogni operazione. API

Inoltre, la maggior parte dei AWS servizi supporta la crittografia dei dati inattivi mediante chiavi. KMS Questa funzionalità consente ai clienti di controllare come e quando AWS i servizi possono accedere ai dati crittografati controllando come e quando è possibile accedere alle KMS chiavi.

AWS KMS è un servizio a più livelli composto da AWS KMS host rivolti al Web e da un livello di. HSMs Il raggruppamento di questi host a più livelli costituisce lo stack. AWS KMS Tutte le richieste AWS KMS devono essere effettuate tramite il protocollo Transport Layer Security (TLS) e terminate su un host. AWS KMS AWS KMS gli host lo consentono solo TLS con una suite di crittografia che fornisce una perfetta segretezza di inoltro. AWS KMS autentica e autorizza le richieste utilizzando gli stessi meccanismi di credenziali e policy di AWS Identity and Access Management (IAM) disponibili per tutte le altre operazioni. AWS API

AWS KMS obiettivi di progettazione

AWS KMS è progettato per soddisfare i seguenti requisiti.

Durabilità: La durabilità delle chiavi crittografiche è progettata per eguagliare quella dei servizi di massima durabilità in AWS. Una singola chiave di crittografia può crittografare grandi volumi di dati accumulati per un lungo periodo di tempo.
Affidabile: L'utilizzo delle chiavi è protetto alle policy di controllo accessi definite e gestite dall'utente. Non esiste alcun meccanismo per esportare chiavi in testo sempliceKMS. La riservatezza delle chiavi di crittografia è fondamentale. Sono necessari più dipendenti Amazon con accesso specifico per ruolo ai controlli di accesso basati sul quorum per eseguire azioni amministrative su. HSMs
Bassa latenza e velocità effettiva elevata: AWS KMS fornisce operazioni crittografiche a livelli di latenza e velocità effettiva adatti all'uso da parte di altri servizi in. AWS
Regioni indipendenti: AWS fornisce regioni indipendenti per i clienti che devono limitare l'accesso ai dati in diverse regioni. L'utilizzo delle chiavi può essere isolato all'interno di una Regione AWS.
Fonte sicura di numeri casuali: Poiché una crittografia avanzata dipende da una generazione di numeri casuali davvero imprevedibile, AWS KMS fornisce una fonte di numeri casuali convalidata e di alta qualità.
Audit: AWS KMS registra l'uso e la gestione delle chiavi crittografiche nei log. AWS CloudTrail È possibile utilizzare AWS CloudTrail i log per controllare l'uso delle chiavi crittografiche, incluso l'uso delle chiavi da parte AWS dei servizi che operano per conto dell'utente.

Per raggiungere questi obiettivi, il AWS KMS sistema include una serie di AWS KMS operatori e operatori di service host (collettivamente, «operatori») che amministrano i «domini». Un dominio è un insieme di AWS KMS server e operatori definito a livello regionale. HSMs Ogni AWS KMS operatore dispone di un token hardware che contiene una coppia di chiavi privata e una pubblica che viene utilizzata per autenticare le sue azioni. HSMsDispongono di un'ulteriore coppia di chiavi private e pubbliche per stabilire chiavi di crittografia che proteggono la sincronizzazione degli HSM stati.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione delle AWS KMS richieste che utilizzano un endpoint VPC

AWS KMS keys