Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS KMS keys
Le KMS chiavi create e gestite per essere utilizzate nelle vostre applicazioni crittografiche sono di un tipo noto come chiavi gestite dal cliente. Le chiavi gestite dal cliente possono essere utilizzate anche in combinazione con AWS servizi che utilizzano KMS le chiavi per crittografare i dati archiviati dal servizio per conto dell'utente. Le chiavi gestite dal cliente sono consigliate ai clienti che desiderano il pieno controllo sul ciclo di vita e sull'utilizzo delle proprie chiavi. È previsto un costo mensile per avere una chiave gestita dal cliente nel proprio account. Inoltre, le richieste di utilizzo e/o gestione della chiave comportano un costo di utilizzo. Per maggiori dettagli, consulta la sezione AWS Key Management Service Prezzi
Ci sono casi in cui un cliente potrebbe desiderare che un AWS servizio crittografi i propri dati, ma non vuole il sovraccarico di gestione delle chiavi e non vuole pagare per una chiave. An Chiave gestita da AWSè una KMS chiave presente nel tuo account, ma può essere utilizzata solo in determinate circostanze. In particolare, può essere utilizzata solo nel contesto del AWS servizio in cui operi e può essere utilizzata solo dai responsabili all'interno dell'account in cui esiste la chiave. Non puoi gestire nulla sul ciclo di vita o sulle autorizzazioni di queste chiavi. <service code>Come potete notare, quando utilizzate le funzionalità di crittografia nei AWS servizi Chiavi gestite da AWS, questi utilizzano un alias nel formato «aws». Ad esempio, una aws/ebs chiave può essere utilizzata solo per crittografare EBS i volumi e solo per i volumi utilizzati dai IAM responsabili dello stesso account della chiave. Pensa a una Chiave gestita da AWS che è destinata ad essere utilizzata solo dagli utenti del tuo account per le risorse del tuo account. Non puoi condividere risorse crittografate con e Chiave gestita da AWS con altri account. Sebbene nel tuo account possa esistere gratuitamente, ogni utilizzo di questo tipo di chiave ti viene addebitato dal AWS servizio assegnato alla chiave. Chiave gestita da AWS
Chiavi gestite da AWS sono un tipo di chiave legacy che non viene più creato per nuovi AWS servizi a partire dal 2021. Invece, i AWS servizi nuovi (e legacy) utilizzano il cosiddetto «an» Chiave di proprietà di AWSper crittografare i dati dei clienti per impostazione predefinita. An Chiave di proprietà di AWS è una KMS chiave presente in un account gestito dal AWS servizio, pertanto gli operatori del servizio hanno la possibilità di gestirne il ciclo di vita e le autorizzazioni di utilizzo. Grazie all'utilizzo Chiavi di proprietà di AWS, AWS i servizi possono crittografare i dati in modo trasparente e consentire una facile condivisione dei dati tra account o aree geografiche senza che l'utente debba preoccuparsi delle autorizzazioni chiave. Utilizzali Chiavi di proprietà di AWS per encryption-by-default carichi di lavoro che forniscono una protezione dei dati più semplice e automatizzata. Poiché queste chiavi sono possedute e gestite da AWS, non ti viene addebitato alcun costo per la loro esistenza o il loro utilizzo, non puoi modificarne le politiche, non puoi controllare le attività su queste chiavi e non puoi eliminarle. Utilizzate le chiavi gestite dal cliente quando il controllo è importante, ma Chiavi di proprietà di AWS usatele quando la comodità è più importante.
| Chiavi gestite dal cliente | Chiavi gestite da AWS | Chiavi di proprietà di AWS | |
| Policy della chiave | Controllato esclusivamente dal cliente | Controllato dal servizio; visualizzabile dal cliente | Controllato esclusivamente e visualizzabile solo dal AWS servizio che crittografa i dati |
| Registrazione di log | CloudTrail percorso dei clienti o archivio dati sugli eventi | CloudTrail percorso dei clienti o archivio dati sugli eventi | Non visualizzabile dal cliente |
| Gestione del ciclo di vita | Il cliente gestisce la rotazione, l'eliminazione e l'ubicazione regionale | AWS KMS gestisce la rotazione (annuale), l'eliminazione e la sede regionale | Servizio AWS gestisce la rotazione, l'eliminazione e la posizione regionale |
| Prezzi |
Tariffa mensile per l'esistenza delle chiavi (ripartita proporzionalmente) ogni ora). Addebitato anche per l'utilizzo delle chiavi |
Nessun canone mensile, ma al chiamante viene addebitato API l'utilizzo di questi tasti | Nessun addebito per il cliente |
Le KMS chiavi che crei sono chiavi gestite dal cliente. Servizi AWS che utilizzano KMS chiavi per crittografare le risorse di servizio spesso creano chiavi per voi. KMSle chiavi che vengono Servizi AWS create nel tuo AWS account sono Chiavi gestite da AWS. KMSle chiavi che vengono Servizi AWS create in un account di servizio sono Chiavi di proprietà di AWS.
| Tipo di KMS chiave | Può visualizzare i metadati KMS chiave | Può gestire la chiave KMS | Usato solo per il mio Account AWS | Rotazione automatica | Prezzi |
|---|---|---|---|---|---|
| Chiave gestita dal cliente | Sì | Sì | Sì | Facoltativo. | Canone mensile (proporzionale a ora) Tariffa per uso |
| Chiave gestita da AWS | Sì | No | Sì | Campo obbligatorio. Ogni anno (circa 365 giorni). | Nessuna tariffa mensile Tariffa per utilizzo (alcuni Servizi AWS pagano questa tariffa per te) |
| Chiave di proprietà di AWS | No | No | No | Servizio AWS Gestisce la strategia di rotazione. | Nessuna tariffa |
AWS i servizi che si AWS KMS integrano con differiscono nel supporto per KMS le chiavi. Per impostazione predefinita, alcuni AWS servizi crittografano i dati con un Chiave di proprietà di AWS o un Chiave gestita da AWS. Alcuni AWS servizi supportano chiavi gestite dai clienti. Altri AWS servizi supportano tutti i tipi di KMS chiavi per consentire la facilità di utilizzo Chiave di proprietà di AWS, la visibilità di una Chiave gestita da AWS chiave o il controllo di una chiave gestita dal cliente. Per informazioni dettagliate sulle opzioni di crittografia offerte da un AWS servizio, consulta l'argomento Encryption at Rest nella guida per l'utente o la guida per sviluppatori del servizio.
Chiavi gestite dal cliente
Le KMS chiavi che crei sono chiavi gestite dal cliente. Le chiavi gestite dal cliente sono KMS chiavi Account AWS che crei, possiedi e gestisci. Hai il pieno controllo su queste KMS chiavi, inclusa la definizione e la manutenzione delle relative politiche, IAM politiche e concessioni chiave, l'attivazione e la disabilitazione, la rotazione del materiale crittografico, l'aggiunta di tag, la creazione di alias che fanno riferimento alle chiavi e la pianificazione dell'eliminazione delle KMS chiavi. KMS
Le chiavi gestite dal cliente vengono visualizzate nella pagina chiavi gestite dal cliente della AWS Management Console
per AWS KMS. Per identificare in modo definitivo una chiave gestita dal cliente, utilizza l'operazione. DescribeKey Per le chiavi gestite dal cliente, il valore del campo KeyManager della risposta di DescribeKey è CUSTOMER.
Si possono utilizzare chiavi gestite dal cliente in operazioni di crittografia e verificarne l'uso nei registri AWS CloudTrail . Inoltre, molti servizi AWS che si integrano con AWS KMS consentono di specificare una chiave gestita dal cliente per proteggere i dati archiviati e gestiti per l'utente.
Le chiavi gestite dal cliente sono soggette a una tariffa mensile e a una tariffa qualora l'utilizzo superi i termini del piano gratuito. Vengono conteggiati nelle AWS KMS quote del tuo account. Per i dettagli, vedere le sezioni Prezzi AWS Key Management Service
Chiavi gestite da AWS
Chiavi gestite da AWSsono KMS chiavi del tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con AWS KMS
Alcuni AWS servizi consentono di scegliere una chiave Chiave gestita da AWS o una chiave gestita dal cliente per proteggere le risorse di quel servizio. In generale, a meno che non sia necessario controllare la chiave di crittografia che protegge le risorse, an Chiave gestita da AWS è una buona scelta. Non è necessario creare o mantenere la chiave o la relativa policy delle chiavi e non è mai previsto un canone mensile per una Chiave gestita da AWS.
Hai il permesso di visualizzarle Chiavi gestite da AWS nel tuo account, visualizzare le relative politiche chiave e controllarne l'utilizzo nei AWS CloudTrail log. Tuttavia, non è possibile modificare alcuna proprietà Chiavi gestite da AWS, ruotarle, modificarne le politiche chiave o pianificarne l'eliminazione. Inoltre, non è possibile utilizzarle direttamente Chiavi gestite da AWS nelle operazioni crittografiche; il servizio che le crea le utilizza per conto dell'utente.
Le politiche di controllo delle risorse dell'organizzazione non si applicano a Chiavi gestite da AWS.
Chiavi gestite da AWS appaiono nella Chiavi gestite da AWSpagina del AWS Management Console modulo AWS KMS. È inoltre possibile identificarli Chiavi gestite da AWS tramite i relativi alias, che hanno il formatoaws/, ad esempio. service-nameaws/redshift Per identificare definitivamente un Chiavi gestite da AWS, utilizzate l'DescribeKeyoperazione. Per le Chiavi gestite da AWS, il valore del campo KeyManager della risposta DescribeKey è AWS.
Tutti Chiavi gestite da AWS vengono ruotati automaticamente ogni anno. Non è possibile modificare questo programma di rotazione.
Nota
A maggio 2022, AWS KMS ha modificato il programma di rotazione Chiavi gestite da AWS da ogni tre anni (circa 1.095 giorni) a ogni anno (circa 365 giorni).
Chiavi gestite da AWS I nuovi vengono ruotati automaticamente un anno dopo la creazione e successivamente all'incirca ogni anno.
Chiavi gestite da AWS Le versioni esistenti vengono ruotate automaticamente un anno dopo la loro rotazione più recente e successivamente ogni anno.
Non è previsto alcun canone mensile per. Chiavi gestite da AWS Il loro utilizzo può essere soggetto a tariffe superiori a quelle del piano gratuito, ma alcuni AWS servizi coprono questi costi per te. Per informazioni dettagliate, consulta l'argomento Crittografia dei dati inattivi nella guida per l'utente o nella guida per gli sviluppatori del servizio. Per informazioni dettagliate, consulta Prezzi di AWS Key Management Service
Chiavi gestite da AWS non conteggiate ai fini delle quote di risorse sul numero di KMS chiavi in ciascuna regione del vostro account. Tuttavia, se utilizzate per conto di un responsabile del conto, le KMS chiavi vengono conteggiate ai fini delle quote richieste. Per informazioni dettagliate, consultare Quote.
Chiavi di proprietà di AWS
Chiavi di proprietà di AWSsono una raccolta di KMS chiavi possedute e gestite da un AWS servizio per l'utilizzo in più Account AWS lingue. Sebbene non Chiavi di proprietà di AWS siano presenti nel tuo account Account AWS, un AWS servizio può utilizzare un Chiave di proprietà di AWS per proteggere le risorse del tuo account.
Alcuni AWS servizi consentono di scegliere una chiave Chiave di proprietà di AWS o una chiave gestita dal cliente. In generale, a meno che non sia necessario verificare o controllare la chiave di crittografia che protegge le risorse, an Chiave di proprietà di AWS è una buona scelta. Chiavi di proprietà di AWS sono completamente gratuiti (senza canoni mensili o costi di utilizzo), non influiscono sulle AWS KMS quote del tuo account e sono facili da usare. Non è necessario creare o mantenere la chiave o la relativa policy delle chiavi.
La rotazione di Chiavi di proprietà di AWS varia a seconda dei servizi. Per informazioni sulla rotazione di un determinato servizio Chiave di proprietà di AWS, consulta l'argomento Encryption at Rest nella guida per l'utente o nella guida per sviluppatori del servizio.
AWS KMS key gerarchia
La gerarchia delle chiavi inizia con una chiave logica di primo livello, un. AWS KMS key Una KMS chiave rappresenta un contenitore per materiale chiave di primo livello ed è definita in modo univoco all'interno dello spazio dei nomi del AWS servizio con un Amazon Resource Name (). ARN ARNInclude un identificatore di chiave generato in modo univoco, un ID chiave. Una KMS chiave viene creata sulla base di una richiesta avviata dall'utente tramite. AWS KMS Alla ricezione, AWS KMS richiede la creazione di una chiave di HSM supporto iniziale (HBK) da inserire nel contenitore delle KMS chiavi. HBKViene generato su un HSM dominio ed è progettato per non essere mai esportato dal testo HSM in chiaro. HBKViene invece esportato crittografato con chiavi di dominio HSM -managed. Questi token esportati HBKs sono denominati token chiave esportati (). EKTs
EKTViene esportato in uno storage altamente durevole e a bassa latenza. Si supponga, ad esempio, di ricevere una chiave logica ARN to the. KMS Questo rappresenta la parte superiore di una gerarchia di chiavi, o contesto crittografico. Puoi creare più KMS chiavi all'interno del tuo account e impostare politiche sulle tue KMS chiavi come qualsiasi altra risorsa AWS denominata.
All'interno della gerarchia di una KMS chiave specifica, HBK questa può essere considerata come una versione della KMS chiave. Quando si desidera ruotare la KMS chiave AWS KMS, ne HBK viene creata una nuova e associata alla KMS chiave come attiva HBK della chiave. KMS I dati più vecchi HBKs vengono conservati e possono essere utilizzati per decrittografare e verificare dati precedentemente protetti. Ma solo la chiave di crittografia attiva può essere utilizzata per proteggere nuove informazioni.
Puoi richiedere di utilizzare le tue KMS chiavi AWS KMS per proteggere direttamente le informazioni o richiedere chiavi aggiuntive HSM generate che sono protette dalla tua KMS chiave. Queste chiavi sono chiamate chiavi dei dati del cliente oCDKs. CDKspossono essere restituite crittografate come testo cifrato (CT), in testo non crittografato o entrambi. Tutti gli oggetti crittografati con una KMS chiave (dati forniti dal cliente o chiavi HSM generate) possono essere decrittografati solo su e tramite una chiamata. HSM AWS KMS
Il testo cifrato restituito, o il payload decrittografato, non viene mai archiviato all'interno. AWS KMS Le informazioni vengono restituite all'utente tramite la connessione a. TLS AWS KMS Ciò vale anche per le chiamate effettuate dai AWS servizi per conto dell'utente.
La gerarchia delle chiavi e le proprietà della chiave specifiche vengono visualizzate nella tabella seguente.
| Chiave | Descrizione | Ciclo di vita |
|---|---|---|
|
Chiave di dominio |
Una GCM chiave a 256 bit AES solo in memoria di una delle versioni HSM utilizzate per avvolgere le KMS chiavi, le chiavi secondarieHSM. |
Rotazione giornaliera1 |
|
HSMchiave di supporto |
Una chiave simmetrica a 256 bit RSA o una chiave privata a curva ellittica, utilizzata per proteggere i dati e le chiavi dei clienti e archiviata in modo crittografato sotto chiavi di dominio. Una o più chiavi di HSM supporto comprendono la chiave, rappresentata da. KMS keyId |
Rotazione annuale2 (config. facoltativa) |
|
Chiave di crittografia derivata |
Una chiave a 256 bit AES solo in memoria di una GCM chiave HSM utilizzata per crittografare i dati e le chiavi dei clienti. Derivata da e HBK per ogni crittografia. |
Usato una volta per crittografare e rigenerato sulla decrittografia |
|
Chiave dei dati del cliente |
Chiave simmetrica o asimmetrica definita dall'utente esportata da testo in chiaro e testo cifrato. HSM Crittografato con una chiave di supporto e restituito agli utenti autorizzati tramite canale. HSM TLS |
Rotazione e utilizzo controllati dall'applicazione |
Di tanto in tanto AWS KMS potrei ridurre la rotazione delle chiavi di dominio portandola al massimo a cadenza settimanale per tenere conto delle attività di amministrazione e configurazione del dominio.
2 Le impostazioni predefinite Chiavi gestite da AWS create e gestite da AWS KMS per conto dell'utente vengono ruotate automaticamente ogni anno.
Identificatori chiave () KeyId
Gli identificatori di chiave fungono da nomi per le KMS chiavi. Ti aiutano a riconoscere KMS le tue chiavi nella console. Li usi per indicare quali KMS chiavi desideri utilizzare nelle AWS KMS API operazioni, nelle politiche chiave, nelle politiche e nelle sovvenzioni. IAM I valori degli identificatori chiave sono completamente estranei al materiale chiave associato alla chiave. KMS
AWS KMS definisce diversi identificatori chiave. Quando si crea una KMS chiave, AWS KMS genera una chiave ARN e un ID chiave, che sono proprietà della KMS chiave. Quando crei un alias, AWS KMS genera un alias ARN basato sul nome dell'alias che definisci. È possibile visualizzare gli identificatori di chiave e alias in e in. AWS Management Console AWS KMS API
Nella AWS KMS console, è possibile visualizzare e filtrare KMS le chiavi in base alla chiaveARN, all'ID della chiave o al nome alias e ordinare per ID chiave e nome alias. Per informazioni su come individuare gli identificatori della chiave nella console, consulta Trova l'ID e la chiave della chiave ARN.
In AWS KMS API, i parametri utilizzati per identificare una KMS chiave sono denominati KeyId o varianti, ad esempio o. TargetKeyId DestinationKeyId Tuttavia, i valori di tali parametri non si limitano alla chiaveIDs. Alcuni possono prendere qualsiasi identificatore di chiave valido. Per informazioni sui valori di ciascun parametro, consultate la descrizione del parametro nel AWS Key Management Service API riferimento.
Nota
Quando utilizzate il AWS KMS API, fate attenzione all'identificatore di chiave che utilizzate. Diversi APIs richiedono identificatori chiave diversi. In generale, utilizza l'identificatore di chiave più completo e pratico per il processo.
AWS KMS supporta i seguenti identificatori chiave.
- Chiave ARN
-
La chiave ARN è l'Amazon Resource Name (ARN) di una KMS chiave. È un identificatore unico e completamente qualificato per la KMS chiave. Una chiave ARN include Account AWS la regione e l'ID della chiave. Per informazioni su come trovare la chiave ARN di una KMS chiave, consultaTrova l'ID e la chiave della chiave ARN.
Il formato di una chiave ARN è il seguente:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>Di seguito è riportato un esempio di chiave ARN per una KMS chiave a regione singola.
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abIl
key-idl'elemento della chiave ARNs delle chiavi multiregionali inizia con ilmrk-prefisso. Di seguito è riportato un esempio di chiave ARN per una chiave multiregionale.arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
- ID chiave
-
L'ID della chiave identifica in modo univoco una KMS chiave all'interno di un account e di una regione. Per informazioni su come trovare l'ID chiave di una KMS chiave, consulta. Trova l'ID e la chiave della chiave ARN
Di seguito è riportato un esempio di ID di chiave per una KMS chiave a regione singola.
1234abcd-12ab-34cd-56ef-1234567890abLa chiave IDs delle chiavi multiregionali inizia con il
mrk-prefisso. Di seguito è riportato un esempio di ARN della chiave per una chiave KMS in più Regioni.mrk-1234abcd12ab34cd56ef1234567890ab - Alias ARN
-
L'alias ARN è l'Amazon Resource Name (ARN) di un AWS KMS alias. È un identificatore unico e completo per l'alias e per la KMS chiave che rappresenta. Un alias ARN include la regione e Account AWS il nome dell'alias.
In qualsiasi momento, un alias ARN identifica una chiave particolare. KMS Tuttavia, poiché è possibile modificare la KMS chiave associata all'alias, l'alias ARN può identificare KMS chiavi diverse in momenti diversi. Per informazioni su come trovare l'alias ARN di una KMS chiave, consulta. Trova il nome dell'alias e l'alias ARN per una chiave KMS
Il formato di un alias ARN è il seguente:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>Quello che segue è l'alias di un ARN fittizio.
ExampleAliasarn:aws:kms:us-west-2:111122223333:alias/ExampleAlias - Nome alias
-
Il nome alias è una stringa di massimo 256 caratteri. Identifica in modo univoco una KMS chiave associata all'interno di un account e di una regione. In AWS KMS API, i nomi alias iniziano sempre con.
alias/Per informazioni su come trovare il nome alias di una KMS chiave, consulta. Trova il nome dell'alias e l'alias ARN per una chiave KMSIl formato di un nome alias è il seguente:
alias/<alias-name>Ad esempio:
alias/ExampleAliasIl prefisso
aws/di un nome alias è riservato alle Chiavi gestite da AWS. Non è possibile creare un alias con questo prefisso. Ad esempio, il nome alias di Amazon Chiave gestita da AWS Simple Storage Service (Amazon S3) è il seguente.alias/aws/s3
