Protezione del materiale della chiave importato

Il materiale della chiave importato è protetto durante il transito e a riposo. Prima di importare il materiale chiave, si crittografa (o «avvolge») il materiale chiave con la chiave pubblica di una RSA coppia di chiavi generata nei moduli di sicurezza AWS KMS hardware (HSMs) convalidati nell'ambito del FIPS140-2 Cryptographic Module Validation Program. È possibile crittografare il materiale chiave direttamente con la chiave pubblica di avvolgimento oppure crittografare il materiale chiave con una chiave simmetrica e quindi crittografare la chiave AES simmetrica con la chiave pubblica. AES RSA

Al ricevimento, AWS KMS decripta il materiale chiave con la chiave privata corrispondente in un formato AWS KMS HSM e lo cripta nuovamente con una chiave simmetrica che esiste solo nella memoria volatile diAES. HSM Il materiale chiave non viene mai lasciato in formato testo normale. HSM Viene decifrato solo mentre è in uso e solo all'interno. AWS KMS HSMs

L'uso della KMS chiave con materiale chiave importato è determinato esclusivamente dalle politiche di controllo dell'accesso impostate sulla KMS chiave. Inoltre, è possibile utilizzare alias e tag per identificare e controllare l'accesso alla KMS chiave. Puoi abilitare e disabilitare la chiave, visualizzarla e monitorarla utilizzando servizi come AWS CloudTrail.

Ciononostante, conserva solo la copia sicura del materiale della chiave. In cambio di questa ulteriore misura di controllo, sei responsabile della durabilità e della disponibilità complessiva del materiale chiave importato. AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera.

Questa differenza di durabilità è significativa nei seguenti casi:

Quando impostate una scadenza per il materiale chiave importato, AWS KMS elimina il materiale chiave dopo la sua scadenza. AWS KMS non elimina la KMS chiave o i relativi metadati. Puoi creare un CloudWatch allarme Amazon che ti avvisa quando il materiale chiave importato si avvicina alla data di scadenza.

Non è possibile eliminare il materiale chiave AWS KMS generato per una KMS chiave e non è possibile impostare la scadenza del materiale AWS KMS chiave, sebbene sia possibile ruotarlo.
Quando eliminate manualmente il materiale chiave importato, AWS KMS elimina il materiale chiave ma non elimina la KMS chiave o i relativi metadati. Al contrario, la pianificazione dell'eliminazione delle chiavi richiede un periodo di attesa compreso tra 7 e 30 giorni, dopodiché elimina AWS KMS definitivamente la KMS chiave, i relativi metadati e il relativo materiale chiave.
Nell'improbabile eventualità che si verifichino determinati guasti a livello regionale AWS KMS (ad esempio una perdita totale di alimentazione), AWS KMS non è possibile ripristinare automaticamente il materiale chiave importato. Tuttavia, AWS KMS può ripristinare la KMS chiave e i relativi metadati.

È necessario conservare una copia del materiale chiave importato all'esterno AWS di un sistema controllato dall'utente. Si consiglia di archiviare una copia esportabile del materiale chiave importato in un sistema di gestione delle chiavi, ad esempio unHSM. Se il materiale chiave importato viene eliminato o scade, la KMS chiave associata diventa inutilizzabile finché non si reimporta lo stesso materiale chiave. Se il materiale chiave importato viene perso definitivamente, qualsiasi testo cifrato crittografato sotto la chiave è irrecuperabile. KMS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Considerazioni speciali per il materiale chiave importato

KMSchiavi in un archivio di HSM chiavi Cloud