Creazione di chiavi KMS HMAC - AWS Key Management Service
Creazione di chiavi KMS HMAC (console)Creazione di chiavi KMS HMAC (API AWS KMS)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di chiavi KMS HMAC

Puoi creare chiavi KMS HMAC nella console AWS KMS, tramite l'API CreateKey o utilizzando un modello AWS CloudFormation.

AWS KMS supporta molteplici specifiche della chiave per le chiavi KMS HMAC. La scelta della specifica della chiave può essere determinata da requisiti normativi, di sicurezza o aziendali. In generale, le chiavi più lunghe sono più resistenti agli attacchi a forza bruta.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Se stai creando una chiave KMS per crittografare i dati in un servizio AWS, utilizza una chiave KMS di crittografia simmetrica. I servizi AWS integrati con AWS KMS non supportano le chiavi KMS asimmetriche né le chiavi KMS HMAC. Per informazioni sulla creazione di una chiave KMS di crittografia simmetrica, consulta la sezione Creazione di chiavi.

Ulteriori informazioni

Creazione di chiavi KMS HMAC (console)

Per creare chiavi KMS HMAC puoi utilizzare la AWS Management Console. Le chiavi KMS HMAC sono chiavi simmetriche con un utilizzo della chiave Generate and verify MAC (Genera e verifica MAC). È possibile anche creare chiavi HMAC multi-regione.

  1. Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Alla voce Key type (Tipo di chiave), scegliere Symmetric (Simmetrica).

    Le chiavi KMS HMAC sono simmetriche. Usa la stessa chiave per generare e verificare i tag HMAC.

  6. Per Key usage (Utilizzo della chiave), scegli Generate and verify MAC (Genera e verifica MAC).

    Generate and verify MAC (Genera e verifica MAC) è l'unico utilizzo valido per le chiavi KMS HMAC.

    Nota

    Key usage (Utilizzo della chiave) viene visualizzato per le chiavi simmetriche solo quando le chiavi KMS HMAC sono supportate nella regione selezionata.

  7. Seleziona un valore Key spec (Specifica della chiave) per la tua chiave KMS HMAC.

    La scelta della specifica della chiave può essere determinata da requisiti normativi, di sicurezza o aziendali. In generale, le chiavi più lunghe sono più sicure.

  8. Per creare una chiave HMAC primaria multi-regione, in Advanced options (Opzioni avanzate) scegli Multi-Region key (Chiave multi-regione). Le proprietà condivise che definisci per questa chiave KMS, come il tipo di chiave e l'utilizzo della chiave, saranno condivise con le relative chiavi di replica. Per informazioni dettagliate, vedi Creazione di chiavi multiregione.

    Non è possibile utilizzare questa procedura per creare una chiave di replica. Per creare una chiave HMAC di replica multi-regione, segui le istruzioni per creare una chiave di replica.

  9. Seleziona Avanti.

  10. Inserisci un alias per la chiave KMS. Un nome di alias non può iniziare con aws/. Il prefisso aws/ è riservato da Amazon Web Services per rappresentare le Chiavi gestite da AWS nel tuo account.

    Ti consigliamo di utilizzare un alias che identifichi la chiave KMS come chiave HMAC, ad esempio HMAC/test-key. In questo modo è più semplice identificare le chiavi HMAC nella console AWS KMS, dove puoi ordinare e filtrare le chiavi per tag e alias, ma non in base alla specifica o all'utilizzo delle chiavi.

    Gli alias sono obbligatori quando si crea una chiave KMS nella AWS Management Console. Non è possibile specificare un alias quando si utilizza l'CreateKeyoperazione, ma è possibile utilizzare la console o l'CreateAliasoperazione per creare un alias per una chiave KMS esistente. Per informazioni dettagliate, vedi Utilizzo di alias.

  11. (Facoltativo) Inserisci una descrizione per la chiave KMS.

    Inserire una descrizione che illustra il tipo di dati che si desidera proteggere o l'applicazione che si desidera utilizzare con la chiave KMS.

    Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo stato della chiave non sia Pending Deletion o Pending Replica Deletion. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella AWS Management Console o utilizza l'operazione. UpdateKeyDescription

  12. (Facoltativo) Inserisci un tag della chiave e un valore facoltativo. Per aggiungere più di un tag alla chiave KMS scegli Add tag (Aggiungi tag).

    Puoi anche aggiungere un tag che identifica la chiave come chiave HMAC, ad esempio Type=HMAC. In questo modo è più semplice identificare le chiavi HMAC nella console AWS KMS, dove puoi ordinare e filtrare le chiavi per tag e alias, ma non in base alla specifica o all'utilizzo delle chiavi.

    Quando aggiungi i tag alle risorse AWS, AWS genera un report di allocazione dei costi in cui l'utilizzo e i costi sono aggregati in base ai tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta Chiavi di tagging e ABAC per AWS KMS.

  13. Seleziona Next (Successivo).

  14. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.

    Nota

    Questa policy delle chiavi fornisce all'Account AWS il controllo completo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, vedi Policy delle chiavi predefinita.

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

  15. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione Eliminazione chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave.

  16. Seleziona Next (Successivo).

  17. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per operazioni di crittografia.

    Nota

    Questa policy delle chiavi fornisce all'Account AWS il controllo completo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare le policy IAM per fornire ad altri principali l'autorizzazione per utilizzare la chiave KMS nelle operazioni di crittografia. Per informazioni dettagliate, vedi Policy delle chiavi predefinita.

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

  18. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni di crittografia. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  19. Seleziona Next (Successivo).

  20. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  21. Scegli Finish (Termina) per creare la chiave KMS HMAC.

Creazione di chiavi KMS HMAC (API AWS KMS)

È possibile utilizzare l'CreateKeyoperazione per creare una chiave KMS HMAC. Questi esempi utilizzano la AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Quando crei una chiave KMS HMAC, devi specificare il parametro KeySpec che determina il tipo di chiave KMS. Inoltre, devi specificare il valore KeyUsage di GENERATE_VERIFY_MAC, anche se è l'unico valore valido per l'utilizzo della chiave per le chiavi HMAC. Per creare una chiave KMS HMAC multi-regione, aggiungi il parametro MultiRegion con un valore true. Una volta creata la chiave KMS, non è più possibile modificare queste proprietà.

L'CreateKeyoperazione non consente di specificare un alias, ma è possibile utilizzare l'CreateAliasoperazione per creare un alias per la nuova chiave KMS. Ti consigliamo di utilizzare un alias che identifichi la chiave KMS come chiave HMAC, ad esempio HMAC/test-key. In questo modo è più semplice identificare le chiavi HMAC nella console AWS KMS, dove puoi ordinare e filtrare le chiavi per alias, ma non in base alla specifica o all'utilizzo delle chiavi.

Se tenti di creare una chiave KMS HMAC in una Regione AWS in cui le chiavi HMAC non sono supportate, l'operazione CreateKey restituisce un'eccezione UnsupportedOperationException

Gli esempi seguenti utilizzano l'operazione CreateKey per creare una chiave KMS HMAC a 512 bit.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}