Creare una KMS chiave in archivi di chiavi esterni - AWS Key Management Service
Requisiti per una KMS chiave in un archivio di chiavi esternoCrea una nuova KMS chiave nel tuo archivio di chiavi esterno

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare una KMS chiave in archivi di chiavi esterni

Dopo aver creato e collegato l'archivio chiavi esterno, puoi crearlo AWS KMS keys nel tuo archivio chiavi. Devono essere KMSchiavi di crittografia simmetriche con un valore di origine di External key store ()EXTERNAL_KEY_STORE. Non è possibile creare chiavi asimmetriche, KMS chiavi o HMACKMSKMSchiavi con materiale chiave importato in un archivio di chiavi personalizzato. Inoltre, non è possibile utilizzare chiavi di crittografia simmetriche in un archivio di KMS chiavi personalizzato per generare coppie di chiavi di dati asimmetriche.

Una KMS chiave in un archivio di chiavi esterno potrebbe avere una latenza, una durata e una disponibilità inferiori rispetto a una KMS chiave standard perché dipende da componenti situati all'esterno di. AWS Prima di creare o utilizzare una KMS chiave in un archivio di chiavi esterno, verificate di aver bisogno di una chiave con proprietà di archivio chiavi esterne.

Nota

Alcuni gestori di chiavi esterni forniscono un metodo più semplice per creare KMS chiavi in un archivio di chiavi esterno. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Per creare una KMS chiave nell'archivio di chiavi esterno, specificate quanto segue:

  • L'ID dell'archivio delle chiavi esterne.

  • Un'origine del materiale della chiave con valore External key store (Archivio delle chiavi esterne) (EXTERNAL_KEY_STORE).

  • L'ID di una chiave esterna esistente nel gestore delle chiavi esterne associato all'archivio delle chiavi esterne. Questa chiave esterna funge da materiale chiave per la KMS chiave. Non è possibile modificare l'ID della chiave esterna dopo aver creato la KMS chiave.

    AWS KMS fornisce l'ID della chiave esterna al proxy dell'archivio chiavi esterno nelle richieste di operazioni di crittografia e decrittografia. AWS KMS non può accedere direttamente al gestore di chiavi esterno o a nessuna delle sue chiavi crittografiche.

Oltre alla chiave esterna, una KMS chiave in un archivio di chiavi esterno contiene anche materiale AWS KMS chiave. Tutti i dati crittografati con la KMS chiave vengono prima crittografati AWS KMS utilizzando il materiale AWS KMS chiave della chiave e poi dal gestore delle chiavi esterno utilizzando la chiave esterna. Questo processo di doppia crittografia garantisce che il testo cifrato protetto da una KMS chiave in un archivio di chiavi esterno sia almeno altrettanto potente del testo cifrato protetto solo da. AWS KMS Per informazioni dettagliate, consultare Funzionamento degli archivi delle chiavi esterne.

Quando l'CreateKeyoperazione ha esito positivo, lo stato della nuova chiave è. KMS Enabled Quando si visualizza una KMS chiave in un archivio di chiavi esterno, è possibile visualizzare le proprietà tipiche, come l'ID della chiave, le specifiche della chiave, l'utilizzo della chiave, lo stato della chiave e la data di creazione. Puoi inoltre visualizzare l'ID e lo stato di connessione dell'archivio delle chiavi esterne e l'ID della chiave esterna.

Se il tentativo di creare una KMS chiave nell'archivio di chiavi esterno fallisce, utilizza il messaggio di errore per identificare la causa. Potrebbe indicare che l'archivio chiavi esterno non è connesso (CustomKeyStoreInvalidStateException), che il proxy dell'archivio chiavi esterno non riesce a trovare una chiave esterna con l'ID chiave esterna specificato (XksKeyNotFoundException) o che la chiave esterna è già associata a una KMS chiave nello stesso archivio di chiavi esternoXksKeyAlreadyInUseException.

Per un esempio del AWS CloudTrail registro dell'operazione che crea una KMS chiave in un archivio di chiavi esterno, vedereCreateKey.

Requisiti per una KMS chiave in un archivio di chiavi esterno

Per creare una KMS chiave in un archivio di chiavi esterno, sono necessarie le seguenti proprietà dell'archivio chiavi esterno, della KMS chiave e della chiave esterna che funge da materiale crittografico esterno per la KMS chiave.

Requisiti dell'archivio delle chiavi esterne

KMSrequisiti chiave

Non è possibile modificare queste proprietà dopo aver creato la KMS chiave.

  • Specifiche chiave: _ SYMMETRIC DEFAULT

  • Utilizzo della chiave: _ ENCRYPT DECRYPT

  • Origine del materiale chiave: EXTERNAL _ KEY _ STORE

  • Multiregione: FALSE

Requisiti della chiave esterna

  • Chiave AES crittografica a 256 bit (256 bit casuali). Il valore di KeySpec per la chiave esterna deve essere AES_256.

  • Attivata e disponibile per l'uso. Il valore di Status per la chiave esterna deve essere ENABLED.

  • Configurata per la crittografia e la decrittografia. Il valore di KeyUsage per la chiave esterna deve includere ENCRYPT e DECRYPT.

  • Utilizzata solo con questa chiave. KMS Ciascuna KMS key in un archivio delle chiavi esterne deve essere associata a una chiave esterna diversa.

    AWS KMS consiglia inoltre di utilizzare la chiave esterna esclusivamente per l'archivio chiavi esterno. Questa restrizione semplifica l'identificazione e la risoluzione dei problemi relativi alla chiave.

  • Accessibile dal proxy dell'archivio delle chiavi esterne per l'archivio delle chiavi esterne.

    Se il proxy dell'archivio delle chiavi esterne non riesce a trovare la chiave utilizzando l'ID della chiave esterna specificato, l'operazione CreateKey ha esito negativo.

  • È in grado di gestire il traffico previsto Servizi AWS generato dall'utilizzo. AWS KMS consiglia di preparare chiavi esterne per gestire fino a 1800 richieste al secondo.

Crea una nuova KMS chiave nel tuo archivio di chiavi esterno

È possibile creare una nuova KMS chiave nell'archivio delle chiavi esterno nella AWS KMS console o utilizzando l'CreateKeyoperazione.

Esistono due modi per creare una KMS chiave in un archivio chiavi esterno.

  • Metodo 1 (consigliato): scegli un archivio chiavi esterno, quindi crea una KMS chiave in quell'archivio di chiavi esterno.

  • Metodo 2: crea una KMS chiave, quindi indica che si trova in un archivio di chiavi esterno.

Se utilizzate il Metodo 1, in cui scegliete l'archivio di chiavi esterno prima di creare la chiave, AWS KMS scegliete automaticamente tutte le proprietà della KMS chiave richieste e inserite l'ID del vostro archivio di chiavi esterno. Questo metodo evita errori che potreste commettere durante la creazione della chiave. KMS

Nota

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Metodo 1 (consigliato): inizia dall'archivio di chiavi esterno

Per utilizzare questo metodo, scegli il tuo archivio di chiavi esterno, quindi crea una KMS chiave. La AWS KMS console sceglie per te tutte le proprietà richieste e inserisce l'ID del tuo archivio di chiavi esterno. Questo metodo evita molti errori che potreste commettere durante la creazione della chiave. KMS

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).

  4. Scegli il nome dell'archivio delle chiavi esterne.

  5. Nell'angolo in alto a destra, scegli Crea una KMS chiave in questo archivio di chiavi.

    Se l'archivio delle chiavi esterne non è connesso, ti verrà richiesto di collegarlo. Se il tentativo di connessione fallisce, devi risolvere il problema e connettere l'archivio di chiavi esterno prima di potervi creare una nuova KMS chiave.

    Se l'archivio delle chiavi esterne è connesso, verrai reindirizzato alla pagina Customer managed keys (Chiavi gestite dal cliente) per creare una chiave. I valori di Key configuration (Configurazione della chiave) richiesti sono già stati selezionati automaticamente. Inoltre, è già stato inserito l'ID dell'archivio delle chiavi personalizzate per l'archivio delle chiavi esterne, sebbene sia possibile modificarlo.

  6. Inserisci l'ID chiave di una chiave esterna nel gestore delle chiavi esterne. Questa chiave esterna deve soddisfare i requisiti per l'utilizzo con una KMS chiave. Non puoi modificare questo valore dopo la creazione della chiave.

    Se la chiave esterna è multiplaIDs, inserisci l'ID della chiave utilizzato dal proxy dell'archivio chiavi esterno per identificare la chiave esterna.

  7. Conferma che intendi creare una KMS chiave nell'archivio di chiavi esterno specificato.

  8. Scegli Next (Successivo).

    Il resto di questa procedura equivale alla creazione di una KMS chiave standard.

  9. Digitate un alias (obbligatorio) e una descrizione (opzionale) per la KMS chiave.

  10. (Facoltativo). Nella pagina Aggiungi tag, aggiungi i tag che identificano o classificano la tua KMS chiave.

    Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una KMS chiave. Per informazioni sull'etichettatura delle KMS chiavi, consulta Tag in AWS KMS eABACper AWS KMS.

  11. Scegli Next (Successivo).

  12. Nella sezione Amministratori chiave, seleziona IAM gli utenti e i ruoli che possono gestire la KMS chiave. Per ulteriori informazioni, consulta Consente agli amministratori chiave di amministrare la chiave. KMS

    Nota

    IAMle politiche possono concedere ad altri IAM utenti e ruoli il permesso di utilizzare la KMS chiave.

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  13. (Facoltativo) Per impedire a questi amministratori chiave di eliminare questa KMS chiave, deseleziona la casella di controllo Consenti agli amministratori chiave di eliminare questa chiave.

    L'eliminazione di una KMS chiave è un'operazione distruttiva e irreversibile che può rendere irrecuperabile il testo cifrato. Non è possibile ricreare una chiave simmetrica in un archivio di chiavi esterno, anche se si dispone del materiale KMS chiave esterno. Tuttavia, l'eliminazione di una KMS chiave non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una KMS chiave da un archivio chiavi esterno, vedere Considerazioni speciali per l'eliminazione delle chiavi.

  14. Scegli Next (Successivo).

  15. Nella sezione Questo account, seleziona IAM gli utenti e i ruoli Account AWS che possono utilizzare la KMS chiave nelle operazioni crittografiche. Per ulteriori informazioni, consulta Consente agli utenti chiave di utilizzare la KMS chiave.

    Nota

    IAMle politiche possono concedere ad altri IAM utenti e ruoli il permesso di utilizzare la KMS chiave.

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  16. (Facoltativo) È possibile consentire Account AWS ad altri di utilizzare questa KMS chiave per operazioni crittografiche. A tale scopo, nella Account AWS sezione Altro in fondo alla pagina, scegli Aggiungi un altro account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla KMS chiave creando IAM politiche per i propri utenti. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.

  17. Seleziona Next (Successivo).

  18. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  19. Al termine, scegli Crea filtro.

Mostra piùMostra meno

Metodo 2: inizia dalle chiavi gestite dal cliente

Questa procedura è la stessa di quella per creare una chiave di crittografia simmetrica con AWS KMS materiale chiave. Tuttavia, in questa procedura puoi specificare l'ID dell'archivio delle chiavi personalizzate dell'archivio delle chiavi esterne e l'ID chiave della chiave esterna. È inoltre necessario specificare i valori delle proprietà richiesti per una KMS chiave in un archivio di chiavi esterno, ad esempio le specifiche della chiave e l'utilizzo della chiave.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Scegliere Symmetric (Simmetrica).

  6. In Key usage (Utilizzo della chiave), l'opzione Encrypt and decrypt (Crittografa e decrittografa) è selezionata per default. Non modificarla.

  7. Scegliere Advanced options (Opzioni avanzate).

  8. In Key material origin (Origine del materiale della chiave), scegli External key store (Archivio delle chiavi esterne).

  9. Conferma che intendi creare una KMS chiave nell'archivio chiavi esterno specificato.

  10. Scegli Next (Successivo).

  11. Scegliete la riga che rappresenta l'archivio di chiavi esterno per la nuova KMS chiave.

    Non puoi scegliere un archivio delle chiavi esterne disconnesso. Per connettere un archivio delle chiavi disconnesso, scegli il nome dell'archivio, quindi in Key store actions (Operazioni per l'archivio delle chiavi), scegli Connect (Connetti). Per informazioni dettagliate, consultare Utilizzo della console AWS KMS.

  12. Inserisci l'ID chiave di una chiave esterna nel gestore delle chiavi esterne. Questa chiave esterna deve soddisfare i requisiti per l'utilizzo con una KMS chiave. Non puoi modificare questo valore dopo la creazione della chiave.

    Se la chiave esterna è multiplaIDs, inserisci l'ID della chiave utilizzato dal proxy dell'archivio chiavi esterno per identificare la chiave esterna.

  13. Scegli Next (Successivo).

    Il resto di questa procedura equivale alla creazione di una KMS chiave standard.

  14. Digitate un alias e una descrizione opzionale per la KMS chiave.

  15. (Facoltativo). Nella pagina Aggiungi tag, aggiungi i tag che identificano o classificano la tua KMS chiave.

    Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una KMS chiave. Per informazioni sull'etichettatura delle KMS chiavi, consulta Tag in AWS KMS eABACper AWS KMS.

  16. Scegli Next (Successivo).

  17. Nella sezione Amministratori chiave, seleziona IAM gli utenti e i ruoli che possono gestire la KMS chiave. Per ulteriori informazioni, consulta Consente agli amministratori chiave di amministrare la chiave. KMS

    Nota

    IAMle politiche possono concedere ad altri IAM utenti e ruoli il permesso di utilizzare la KMS chiave.

  18. (Facoltativo) Per impedire a questi amministratori chiave di eliminare questa KMS chiave, deselezionate la casella di controllo Consenti agli amministratori chiave di eliminare questa chiave.

    L'eliminazione di una KMS chiave è un'operazione distruttiva e irreversibile che può rendere irrecuperabile il testo cifrato. Non è possibile ricreare una chiave simmetrica in un archivio di chiavi esterno, anche se si dispone del materiale KMS chiave esterno. Tuttavia, l'eliminazione di una KMS chiave non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una KMS chiave da un archivio chiavi esterno, vedere. Eliminare un AWS KMS keys

  19. Scegli Next (Successivo).

  20. Nella sezione Questo account, seleziona gli IAM utenti e i ruoli Account AWS che possono utilizzare la KMS chiave nelle operazioni crittografiche. Per ulteriori informazioni, consulta Consente agli utenti chiave di utilizzare la KMS chiave.

    Nota

    IAMle politiche possono concedere ad altri IAM utenti e ruoli il permesso di utilizzare la KMS chiave.

  21. (Facoltativo) È possibile consentire Account AWS ad altri di utilizzare questa KMS chiave per operazioni crittografiche. A tale scopo, nella Account AWS sezione Altro in fondo alla pagina, scegli Aggiungi un altro account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla KMS chiave creando IAM politiche per i propri utenti. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.

  22. Seleziona Next (Successivo).

  23. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  24. Al termine, scegli Crea filtro.

Mostra piùMostra meno

Quando la procedura ha esito positivo, il display mostra la nuova KMS chiave nell'archivio di chiavi esterno scelto. Quando si sceglie il nome o l'alias della nuova KMS chiave, la scheda Configurazione crittografica nella relativa pagina dei dettagli mostra l'origine della KMS chiave (archivio chiavi esterno), il nome, l'ID e il tipo dell'archivio chiavi personalizzato, nonché l'ID, l'utilizzo della chiave e lo stato della chiave esterna. Se la procedura ha esito negativo, viene visualizzato un messaggio di errore che descrive l'errore. Per , consulta Risoluzione dei problemi relativi all'archivio delle chiavi esterne.

Suggerimento

Per semplificare l'identificazione KMS delle chiavi in un archivio di chiavi personalizzato, nella pagina Customer managed keys, aggiungi la colonna Origin and Custom key store ID al display. Per modificare i campi della tabella, scegli l'icona a forma di ingranaggio nell'angolo in alto a destra della pagina. Per informazioni dettagliate, consultare Personalizza la visualizzazione della console.

Per creare una nuova KMS chiave in un archivio di chiavi esterno, utilizzare l'CreateKeyoperazione. I parametri seguenti sono obbligatori:

  • Il valore Origin deve essere EXTERNAL_KEY_STORE.

  • Il parametro CustomKeyStoreId identifica l'archivio delle chiavi esterne. Il valore di ConnectionState per l'archivio delle chiavi esterne specificato deve essere CONNECTED. Per trovare CustomKeyStoreId e ConnectionState, usa l'operazione DescribeCustomKeyStores.

  • Il parametro XksKeyId identifica la chiave esterna. Questa chiave esterna deve soddisfare i requisiti per l'associazione con una KMS chiave.

Puoi inoltre utilizzare uno qualsiasi dei parametri facoltativi dell'operazione CreateKey, ad esempio Policy o i parametri Tags (Tag).

Nota

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Questo comando di esempio utilizza l'CreateKeyoperazione per creare una KMS chiave in un archivio di chiavi esterno. La risposta include le proprietà delle KMS chiavi, l'ID dell'archivio chiavi esterno e l'ID, l'utilizzo e lo stato della chiave esterna.

Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}