Creazione di una chiave KMS HMAC - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una chiave KMS HMAC

È possibile creare chiavi HMAC KMS nella AWS KMS console, utilizzando CreateKeyAPI o utilizzando il AWS::KMS::Key AWS CloudFormation modello.

Quando crei una chiave KMS HMAC, devi selezionare una specifica chiave. AWS KMS supporta diverse specifiche chiave per le chiavi HMAC KMS. La scelta della specifica della chiave può essere determinata da requisiti normativi, di sicurezza o aziendali. In generale, le chiavi più lunghe sono più resistenti agli attacchi a forza bruta.

Per informazioni sulle autorizzazioni richieste per la creazione di chiavi KMS, consultare Autorizzazioni per la creazione di chiavi KMS.

È possibile utilizzare il AWS Management Console per creare chiavi KMS HMAC. Le chiavi KMS HMAC sono chiavi simmetriche con un utilizzo della chiave Generate and verify MAC (Genera e verifica MAC). È possibile anche creare chiavi HMAC multi-regione.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in /kms. https://console.aws.amazon.com

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Alla voce Key type (Tipo di chiave), scegliere Symmetric (Simmetrica).

    Le chiavi KMS HMAC sono simmetriche. Usa la stessa chiave per generare e verificare i tag HMAC.

  6. Per Key usage (Utilizzo della chiave), scegli Generate and verify MAC (Genera e verifica MAC).

    Generate and verify MAC (Genera e verifica MAC) è l'unico utilizzo valido per le chiavi KMS HMAC.

    Nota

    Key usage (Utilizzo della chiave) viene visualizzato per le chiavi simmetriche solo quando le chiavi KMS HMAC sono supportate nella regione selezionata.

  7. Seleziona un valore Key spec (Specifica della chiave) per la tua chiave KMS HMAC.

    La scelta della specifica della chiave può essere determinata da requisiti normativi, di sicurezza o aziendali. In generale, le chiavi più lunghe sono più sicure.

  8. Per creare una chiave HMAC primaria multi-regione, in Advanced options (Opzioni avanzate) scegli Multi-Region key (Chiave multi-regione). Le proprietà condivise che definisci per questa chiave KMS, come il tipo di chiave e l'utilizzo della chiave, saranno condivise con le relative chiavi di replica.

    Non è possibile utilizzare questa procedura per creare una chiave di replica. Per creare una chiave HMAC di replica multi-regione, segui le istruzioni per creare una chiave di replica.

  9. Scegli Next (Successivo).

  10. Inserisci un alias per la chiave KMS. Un nome di alias non può iniziare con aws/. Il prefisso aws/ è riservato da Amazon Web Services per rappresentare le Chiavi gestite da AWS nel tuo account.

    Ti consigliamo di utilizzare un alias che identifichi la chiave KMS come chiave HMAC, ad esempio HMAC/test-key. In questo modo sarà più facile identificare le chiavi HMAC nella AWS KMS console, dove è possibile ordinare e filtrare le chiavi in base a tag e alias, ma non in base alle specifiche o all'utilizzo delle chiavi.

    Gli alias sono obbligatori quando si crea una chiave KMS nella AWS Management Console. Non è possibile specificare un alias quando si utilizza l'CreateKeyoperazione, ma è possibile utilizzare la console o l'CreateAliasoperazione per creare un alias per una chiave KMS esistente. Per informazioni dettagliate, consultare Alias in AWS KMS.

  11. (Facoltativo) Inserisci una descrizione per la chiave KMS.

    Inserire una descrizione che illustra il tipo di dati che si desidera proteggere o l'applicazione che si desidera utilizzare con la chiave KMS.

    Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo stato della chiave non sia Pending Deletion o Pending Replica Deletion. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della chiave KMS AWS Management Console o utilizza AWS Management Console l'operazione. UpdateKeyDescription

  12. (Facoltativo) Inserisci un tag della chiave e un valore facoltativo. Per aggiungere più di un tag alla chiave KMS scegli Add tag (Aggiungi tag).

    Puoi anche aggiungere un tag che identifica la chiave come chiave HMAC, ad esempio Type=HMAC. In questo modo sarà più facile identificare le chiavi HMAC nella AWS KMS console, dove è possibile ordinare e filtrare le chiavi in base a tag e alias, ma non in base alle specifiche o all'utilizzo delle chiavi.

    Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta Tag in AWS KMS e ABAC per AWS KMS.

  13. Seleziona Next (Successivo).

  14. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.

    Note

    Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, consultare Policy delle chiavi predefinita.

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

    La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. "Allow access for Key Administrators" La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  15. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione Eliminazione chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave.

  16. Scegli Next (Successivo).

  17. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per operazioni di crittografia.

    Note

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

    La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli "Allow use of the key" identificatori di dichiarazione e. "Allow attachment of persistent resources" La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

  18. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  19. Scegli Next (Successivo).

  20. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona Modifica.

  21. Scegli Next (Successivo).

  22. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  23. Scegli Finish (Termina) per creare la chiave KMS HMAC.

È possibile utilizzare l'CreateKeyoperazione per creare una chiave KMS HMAC. Questi esempi utilizzano la AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Quando crei una chiave KMS HMAC, devi specificare il parametro KeySpec che determina il tipo di chiave KMS. Inoltre, devi specificare il valore KeyUsage di GENERATE_VERIFY_MAC, anche se è l'unico valore valido per l'utilizzo della chiave per le chiavi HMAC. Per creare una chiave KMS HMAC multi-regione, aggiungi il parametro MultiRegion con un valore true. Una volta creata la chiave KMS, non è più possibile modificare queste proprietà.

L'CreateKeyoperazione non consente di specificare un alias, ma è possibile utilizzare l'CreateAliasoperazione per creare un alias per la nuova chiave KMS. Ti consigliamo di utilizzare un alias che identifichi la chiave KMS come chiave HMAC, ad esempio HMAC/test-key. In questo modo sarà più facile identificare le chiavi HMAC nella AWS KMS console, dove è possibile ordinare e filtrare le chiavi per alias, ma non per specifica chiave o utilizzo della chiave.

Se si tenta di creare una chiave KMS HMAC in un ambiente Regione AWS in cui le chiavi HMAC non sono supportate, l'operazione restituisce un CreateKey UnsupportedOperationException

Gli esempi seguenti utilizzano l'operazione CreateKey per creare una chiave KMS HMAC a 512 bit.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}