Crea una chiave di crittografia simmetrica KMS - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una chiave di crittografia simmetrica KMS

Questo argomento spiega come creare la KMS chiave di base, una chiave di crittografia simmetrica per una singola regione con materiale KMS chiave proveniente da. AWS KMSÈ possibile utilizzare questa KMS chiave per proteggere le risorse in un. Servizio AWS

È possibile creare KMS chiavi di crittografia simmetriche nella AWS KMS console utilizzando o utilizzando CreateKeyAPIil modello AWS::KMS: AWS CloudFormation :Key.

La specifica chiave predefinita, SYMMETRIC_ DEFAULT, è la specifica chiave per le chiavi di crittografia simmetriche. KMS Quando si seleziona il tipo di chiave simmetrica e l'utilizzo della chiave di crittografia e decrittografia nella console, viene selezionata la specifica della chiave. AWS KMS SYMMETRIC_DEFAULT Nell'CreateKeyoperazione, se non si specifica un valore, viene selezionato _. KeySpec SYMMETRIC DEFAULT Se non avete motivo di utilizzare una specifica chiave diversa, SYMMETRIC _ DEFAULT è una buona scelta.

Per informazioni sulle quote che si applicano alle KMS chiavi, consulta. Quote

È possibile utilizzare AWS Management Console per creare AWS KMS keys (KMSchiavi).

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Per creare una chiave di crittografia simmetrica, per Tipo di KMS chiave scegli Simmetrico.

  6. In Utilizzo della chiave, l'opzione Crittografa e decrittografa è selezionata per impostazione predefinita.

  7. Scegli Next (Successivo).

  8. Digitate un alias per la chiave. KMS Un nome di alias non può iniziare con aws/. Il aws/ prefisso è riservato da Amazon Web Services per essere rappresentato Chiavi gestite da AWS nel tuo account.

    Nota

    L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave. KMS Per informazioni dettagliate, consulta ABACper AWS KMS e Utilizzate gli alias per controllare l'accesso alle chiavi KMS.

    Un alias è un nome visualizzato che è possibile utilizzare per identificare la chiave. KMS Ti consigliamo di scegliere un alias che indichi il tipo di dati che intendi proteggere o l'applicazione che intendi utilizzare con la KMS chiave.

    Gli alias sono necessari quando si crea una KMS chiave in. AWS Management Console Sono facoltativi quando si utilizza l'CreateKeyoperazione.

  9. (Facoltativo) Digitate una descrizione per la KMS chiave.

    Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo stato della chiave non sia Pending Deletion o Pending Replica Deletion. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della KMS chiave AWS Management Console o utilizza l'UpdateKeyDescriptionoperazione.

  10. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per aggiungere più di un tag alla KMS chiave, scegli Aggiungi tag.

    Nota

    L'aggiunta di tag o detag a una KMS chiave può consentire o negare l'autorizzazione alla chiave. KMS Per informazioni dettagliate, consulta ABACper AWS KMS e Utilizzate i tag per controllare l'accesso alle KMS chiavi.

    Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una KMS chiave. Per informazioni sull'etichettatura delle KMS chiavi, consulta Tag in AWS KMS eABACper AWS KMS.

  11. Scegli Next (Successivo).

  12. Seleziona gli IAM utenti e i ruoli che possono amministrare la KMS chiave.

    Nota

    Questa politica chiave offre il Account AWS pieno controllo di questa KMS chiave. Consente agli amministratori degli account IAM di utilizzare le politiche per concedere ad altri responsabili il permesso di gestire la KMS chiave. Per informazioni dettagliate, consultare Policy delle chiavi predefinita.

     

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  13. (Facoltativo) Per impedire agli IAM utenti e ai ruoli selezionati di eliminare questa KMS chiave, nella sezione Eliminazione della chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori chiave di eliminare questa chiave.

  14. Scegli Next (Successivo).

  15. Seleziona gli IAM utenti e i ruoli che possono utilizzare la chiave nelle operazioni crittografiche

    Nota

    Questa politica chiave offre il Account AWS pieno controllo di questa KMS chiave. Consente agli amministratori degli account IAM di utilizzare le politiche per concedere ad altri responsabili il permesso di utilizzare la KMS chiave nelle operazioni crittografiche. Per informazioni dettagliate, consultare Policy delle chiavi predefinita.

     

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  16. (Facoltativo) È possibile consentire Account AWS ad altri di utilizzare questa KMS chiave per operazioni crittografiche. A tale scopo, nella Account AWS sezione Altro in fondo alla pagina, scegli Aggiungi un altro account Account AWS e inserisci il numero di Account AWS identificazione di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Per consentire ai responsabili degli account esterni di utilizzare la KMS chiave, gli amministratori dell'account esterno devono creare IAM politiche che forniscano tali autorizzazioni. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.

  17. Seleziona Next (Successivo).

  18. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  19. Scegli Fine per creare la chiave. KMS

È possibile utilizzare l'CreateKeyoperazione per creare AWS KMS keys di tutti i tipi. Questi esempi utilizzano il AWS Command Line Interface (AWS CLI). Per esempi in più linguaggi di programmazione, consulta Da utilizzare CreateKey con un AWS SDK o CLI.

Importante

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

La seguente operazione crea una chiave di crittografia simmetrica in una singola regione supportata da materiale chiave generato da. AWS KMS Questa operazione non include parametri obbligatori. È possibile anche utilizzare il parametro Policy per specificare una policy delle chiavi. È possibile modificare la politica della chiave (PutKeyPolicy) e aggiungere elementi opzionali, come una descrizione e tag in qualsiasi momento. È inoltre possibile anche creare chiavi asimmetriche, chiavi multi-regione, chiavi con materiale chiave importato e chiavi in archivi delle chiavi personalizzate. Per creare chiavi di dati per la crittografia lato client, utilizzate l'GenerateDataKeyoperazione.

L'CreateKeyoperazione non consente di specificare un alias, ma è possibile utilizzare l'CreateAliasoperazione per creare un alias per la nuova chiave. KMS

Di seguito è riportato un esempio di una chiamata all'operazione CreateKey senza parametri. Questo comando utilizza tutti i valori predefiniti. Crea una chiave di crittografia simmetrica con materiale KMS chiave generato da. AWS KMS

$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}

Se non si specifica una politica di chiave per la nuova KMS chiave, la politica di chiave predefinita CreateKey applicata è diversa dalla politica di chiave predefinita applicata dalla console quando la si utilizza per creare una nuova chiave. KMS

Ad esempio, questa chiamata all'GetKeyPolicyoperazione restituisce la politica chiave CreateKey applicabile. Fornisce l' Account AWS accesso alla KMS chiave e le consente di creare politiche AWS Identity and Access Management (IAM) per la KMS chiave. Per informazioni dettagliate sulle IAM politiche e sulle politiche chiave per le KMS chiavi, vedere KMSaccesso con chiavi e autorizzazioni

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
{
  "Version" : "2012-10-17",
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}