Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Key Management Service

AWS Key Management Service archivia e protegge le chiavi di crittografia per renderle altamente disponibili, fornendo al contempo un controllo degli accessi solido e flessibile.

Protezione del materiale della chiave

Per impostazione predefinita, AWS KMS genera e protegge il materiale delle KMS chiavi crittografiche. Inoltre, AWS KMS offre opzioni per il materiale chiave creato e protetto all'esterno di AWS KMS.

Protezione del materiale chiave generato in AWS KMS

Quando si crea una KMS chiave, per impostazione predefinita, AWS KMS genera e protegge il materiale crittografico relativo alla KMS chiave.

Per proteggere il materiale chiave per KMS le chiavi, AWS KMS si affida a una flotta distribuita di FIPS140-2 moduli di sicurezza hardware convalidati dal livello di sicurezza 3 (). HSMs Ciascuno AWS KMS HSM è un dispositivo hardware indipendente dedicato progettato per fornire funzioni crittografiche dedicate per soddisfare i requisiti di sicurezza e scalabilità di. AWS KMS(I dispositivi HSMs AWS KMS utilizzati nelle regioni cinesi sono certificati OSCCAe conformi a tutte le normative cinesi pertinenti, ma non sono convalidati nell'ambito del programma di convalida dei moduli crittografici FIPS 140-2.)

Il materiale chiave di una KMS chiave viene crittografato per impostazione predefinita quando viene generato in. HSM Il materiale chiave viene decrittografato solo all'interno della memoria HSM volatile e solo per i pochi millisecondi necessari per utilizzarlo in un'operazione crittografica. Ogni volta che il materiale chiave non viene utilizzato attivamente, viene crittografato al suo interno HSM e trasferito su un sistema di archiviazione persistente a bassa latenza e altamente durevole (99,25%), dove rimane separato e isolato dal. HSMs Il materiale chiave in testo semplice non esce mai dai limiti di HSM sicurezza; non viene mai scritto su disco o memorizzato in alcun supporto di memorizzazione. (L'unica eccezione è la chiave pubblica di una coppia di chiavi asimmetriche, che non è segreta.)

AWS afferma come principio di sicurezza fondamentale che non vi è alcuna interazione umana con materiale a chiave crittografica in chiaro di alcun tipo e in alcun modo. Servizio AWS Non esiste alcun meccanismo che consenta a nessuno, compresi Servizio AWS gli operatori, di visualizzare, accedere o esportare materiale chiave in testo semplice. Questo principio si applica anche in caso di guasti catastrofici ed eventi di ripristino di emergenza. Il materiale in testo non crittografato contenente le chiavi del cliente AWS KMS viene utilizzato per le operazioni crittografiche, all'interno del quale è AWS KMS FIPS stato convalidato HSMs solo in risposta alle richieste autorizzate inviate al servizio dal cliente o da un suo delegato.

Per le chiavi gestite dal cliente, chi crea Account AWS la chiave è l'unico e non trasferibile proprietario della chiave. L'account proprietario ha il controllo completo ed esclusivo delle policy di autorizzazione che controllano l'accesso alla chiave. Infatti Chiavi gestite da AWS, Account AWS ha il controllo completo sulle IAM politiche che autorizzano le richieste a. Servizio AWS

Protezione del materiale della chiave generato esternamente a AWS KMS

AWS KMS fornisce alternative al materiale chiave generato in AWS KMS.

Gli archivi di chiavi personalizzati, una AWS KMS funzionalità opzionale, consentono di creare KMS chiavi supportate da materiale chiave generato e utilizzato all'esterno di AWS KMS. KMSle AWS CloudHSM chiavi negli archivi delle chiavi sono supportate da chiavi nei moduli di sicurezza AWS CloudHSM hardware controllati dall'utente. Queste HSMs sono certificate al livello di sicurezza FIPS 140-2 3. KMSle chiavi negli archivi di chiavi esterni sono supportate dalle chiavi di un gestore di chiavi esterno che puoi controllare e gestire all'esterno AWS, ad esempio un dispositivo fisico HSM nel tuo data center privato.

Un'altra funzionalità opzionale consente di importare il materiale chiave per una KMS chiave. Per proteggere il materiale chiave importato mentre è in transito verso AWS KMS, si crittografa il materiale chiave utilizzando una chiave pubblica da una coppia di RSA chiavi generata in un AWS KMS HSM. Il materiale chiave importato viene decrittografato in un file AWS KMS HSM e ricrittografato con una chiave simmetrica in. HSM Come tutto il materiale chiave, il materiale AWS KMS chiave importato in testo semplice non esce mai da quello non crittografato. HSMs Tuttavia, il cliente che ha fornito il materiale della chiave è responsabile dell'uso sicuro, della durabilità e della manutenzione del materiale della chiave esternamente a AWS KMS.

Crittografia dei dati

I dati contenuti sono AWS KMS costituiti dal materiale chiave di AWS KMS keys crittografia che rappresentano. Questo materiale chiave è disponibile in testo semplice solo all'interno dei moduli di sicurezza AWS KMS hardware (HSMs) e solo quando è in uso. In caso contrario, il materiale della chiave viene crittografato e memorizzato in uno storage persistente durevole.

Il materiale chiave AWS KMS generato per KMS le chiavi non esce mai dal limite del non criptato. AWS KMS HSMs Non viene esportato o trasmesso in nessuna operazione. AWS KMS API L'eccezione è rappresentata dalle chiavi multiregionali, in cui viene AWS KMS utilizzato un meccanismo di replica interregionale per copiare il materiale chiave di una chiave multiregionale da una chiave HSM in una Regione AWS all'altra. HSM Regione AWS Per i dettagli, consulta Processo di replica per chiavi multiregionali in Dettagli crittografici. AWS Key Management Service

Crittografia a riposo

AWS KMS genera materiale chiave per i moduli AWS KMS keys di sicurezza hardware conformi al livello di sicurezza FIPS 140-2 (). HSMs L'unica eccezione è rappresentata dalle regioni cinesi, dove i HSMs dati AWS KMS utilizzati per generare KMS le chiavi sono conformi a tutte le normative cinesi pertinenti, ma non sono convalidati ai sensi del 140-2 Cryptographic Module Validation Program. FIPS Quando non viene utilizzato, il materiale chiave viene crittografato da una HSM chiave e scritto su un dispositivo di archiviazione durevole e persistente. Il materiale chiave per KMS le chiavi e le chiavi di crittografia che proteggono il materiale chiave non viene mai rilasciato HSMs in formato testo semplice.

La crittografia e la gestione del materiale chiave per KMS le chiavi sono gestite interamente da. AWS KMS

Per maggiori dettagli, consulta Working with AWS KMS keys in AWS Key Management Service Cryptographic Details.

Crittografia in transito

Il materiale chiave AWS KMS generato per KMS le chiavi non viene mai esportato o trasmesso durante le operazioni. AWS KMS API AWS KMS utilizza identificatori di chiave per rappresentare le KMS chiavi nelle API operazioni. Allo stesso modo, il materiale chiave per KMS le chiavi negli archivi di chiavi AWS KMS personalizzati non è esportabile e non viene mai trasmesso nelle AWS KMS nostre operazioni. AWS CloudHSM API

Tuttavia, alcune AWS KMS API operazioni restituiscono chiavi di dati. Inoltre, i clienti possono utilizzare API le operazioni per importare materiale chiave per KMS le chiavi selezionate.

Tutte le AWS KMS API chiamate devono essere firmate e trasmesse utilizzando Transport Layer Security (TLS). AWS KMS richiede TLS 1.2 e consiglia TLS 1.3 in tutte le regioni. AWS KMS supporta anche la tecnologia post-quantistica ibrida TLS per gli endpoint AWS KMS di servizio in tutte le regioni, ad eccezione delle regioni cinesi. AWS KMS non supporta la postquantistica TLS ibrida per gli endpoint in. FIPS AWS GovCloud (US) Le chiamate a AWS KMS richiedono anche una moderna suite di cifratura che supporti la perfect forward secrecy, il che significa che il compromesso di qualsiasi segreto, come una chiave privata, non compromette anche la chiave della sessione.

Se hai bisogno di FIPS 140-2 moduli crittografici convalidati per l'accesso AWS tramite un'interfaccia a riga di comando o un, usa un endpoint. API FIPS Per utilizzare endpoint o AWS KMS endpoint standard, i client AWS KMS FIPS devono supportare 1.2 o versioni successive. TLS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () FIPS 140-2. Per un elenco degli AWS KMS FIPS endpoint, vedere AWS Key Management Service endpoint e quote in. Riferimenti generali di AWS

Le comunicazioni tra gli host AWS KMS del servizio HSMs sono protette utilizzando Elliptic Curve Cryptography (ECC) e Advanced Encryption Standard (AES) in uno schema di crittografia autenticato. Per ulteriori dettagli, consulta Sicurezza delle comunicazioni interne in Cryptographic Details. AWS Key Management Service

Riservatezza del traffico Internet

AWS KMS supporta una AWS Management Console serie di API operazioni che consentono di crearle, gestirle AWS KMS keys e utilizzarle nelle operazioni crittografiche.

AWS KMS supporta due opzioni di connettività di rete dalla rete privata a AWS.

Tutte le AWS KMS API chiamate devono essere firmate e trasmesse utilizzando Transport Layer Security ()TLS. Le chiamate richiedono anche una moderna suite di cifratura che supporta la perfect forward secrecy. Il traffico verso i moduli di sicurezza hardware (HSMs) che memorizzano il materiale chiave per KMS le chiavi è consentito solo da AWS KMS API host noti sulla rete AWS interna.

Per connetterti direttamente AWS KMS dal tuo cloud privato virtuale (VPC) senza inviare traffico sulla rete Internet pubblica, utilizza gli VPC endpoint, forniti da AWS PrivateLink. Per ulteriori informazioni, consulta Connect a AWS KMS tramite un VPC endpoint.

AWS KMS supporta anche un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete Transport Layer Security (TLS). È possibile utilizzare questa opzione con TLS quando ci si connette agli AWS KMS API endpoint.