Crea una chiave di chiavi Come funzionano le operazioni crittografiche con chiavi dati

Generazione di chiavi dati

Le chiavi di dati sono chiavi simmetriche che possono essere usate per crittografare i dati, incluse grandi quantità di dati e altre chiavi crittografiche dati. A differenza delle KMS chiavi simmetriche, che non possono essere scaricate, le chiavi dati ti vengono restituite per essere utilizzate all'esterno di. AWS KMS

Quando AWS KMS genera chiavi dati, restituisce una chiave dati in testo semplice per l'uso immediato (opzionale) e una copia crittografata della chiave dati che puoi archiviare in sicurezza con i dati. Quando sei pronto per decrittografare i dati, chiedi innanzitutto di AWS KMS decrittografare la chiave dati crittografata.

AWS KMS genera, crittografa e decrittografa le chiavi di dati. Tuttavia, AWS KMS non archivia, gestisce o tiene traccia delle chiavi dati né esegue operazioni crittografiche con le chiavi dati. È necessario utilizzare e gestire le chiavi dati all'esterno di AWS KMS. Per informazioni sull'utilizzo sicuro delle chiavi dati, consulta AWS Encryption SDK.

Argomenti

Crea una chiave di chiavi

Per creare una chiave dati, richiama l'GenerateDataKeyoperazione. AWS KMS genera la chiave dati. Quindi crittografa una copia della chiave dati con una chiave di crittografia KMS simmetrica specificata dall'utente. L'operazione restituisce una copia in testo semplice della chiave dati e la copia della chiave dati crittografata sotto la chiave. KMS L'immagine seguente mostra questa operazione.

AWS KMS supporta anche l'GenerateDataKeyWithoutPlaintextoperazione, che restituisce solo una chiave dati crittografata. Quando devi usare la chiave dati, chiedi di AWS KMS decrittografarla.

Come funzionano le operazioni crittografiche con chiavi dati

I seguenti argomenti spiegano come funzionano le chiavi dati generate da un'GenerateDataKeyWithoutPlaintextoperazione GenerateDataKeyor.

Crittografia dei dati con una chiave di dati

AWS KMS non può utilizzare una chiave dati per crittografare i dati. È tuttavia possibile utilizzare la chiave dati all'esterno di AWS KMS, ad esempio utilizzando Open SSL o una libreria crittografica come. AWS Encryption SDK

Dopo aver utilizzato la chiave di dati in testo normale per crittografare i dati, eliminarla dalla memoria il prima possibile. È possibile archiviare la chiave di dati crittografati con i dati crittografati in totale sicurezza, in modo che sia disponibile per decrittografare i dati.

Crittografa i dati degli utenti all'esterno di AWS KMS

Decrittografare i dati con una chiave di dati

Per decrittografare i dati, passa la chiave dei dati crittografati all'operazione Decrypt. AWS KMS utilizza la tua KMS chiave per decrittografare la chiave dati e quindi restituisce la chiave di dati in testo semplice. Utilizza la chiave di dati in testo normale per decrittografare i dati, quindi rimuovi la chiave di dati in testo normale dalla memoria al più presto.

Il seguente diagramma illustra come utilizzare l'operazione Decrypt per decrittografare una chiave di dati crittografati.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Eliminare il materiale chiave importato

In che modo le chiavi inutilizzabili influiscono sulle chiavi dati KMS