Informazioni sul materiale della chiave importato Protezione del materiale della chiave importato Autorizzazioni per l'importazione del materiale della chiave Requisiti per il materiale della chiave importato

Pianificazione dell'importazione del materiale della chiave

Il materiale chiave importato consente di proteggere AWS le risorse con le chiavi crittografiche generate dall'utente. Il materiale della chiave che importi è associato a una chiave KMS particolare. Puoi reimportare lo stesso materiale chiave nella stessa chiave KMS, ma non puoi importare materiale chiave diverso nella chiave KMS e non puoi convertire una chiave KMS progettata per il materiale chiave importato in una chiave KMS con materiale chiave. AWS KMS

Ulteriori informazioni:

Argomenti

Informazioni sul materiale della chiave importato
Protezione del materiale della chiave importato
Autorizzazioni per l'importazione del materiale della chiave
Requisiti per il materiale della chiave importato

Informazioni sul materiale della chiave importato

Prima di decidere di importare materiale chiave in AWS KMS, è necessario comprendere le seguenti caratteristiche del materiale chiave importato.

Generare il materiale della chiave

Sei responsabile della generazione del materiale della chiave utilizzando una fonte di casualità che soddisfa i tuoi requisiti di sicurezza.

Puoi eliminare il materiale chiave

Puoi eliminare il materiale della chiave importato da una chiave KMS, rendendo immediatamente inutilizzabile la chiave KMS. Quando importi il materiale della chiave in una chiave KMS, puoi determinare se la chiave scade e impostare la data di scadenza. Quando arriva la data di scadenza, AWS KMS elimina il materiale chiave. Senza materiale chiave, la chiave KMS non può essere utilizzata in nessuna operazione di crittografia. Per ripristinare la chiave, è necessario importare nuovamente lo stesso materiale chiave nella chiave.

Non puoi modificare il materiale della chiave

Quando importi materiale della chiave in una chiave KMS, la chiave KMS viene associata in modo permanente a quel materiale della chiave. Puoi importare nuovamente lo stesso materiale della chiave, ma non puoi importare materiale della chiave diverso in quella chiave KMS. Inoltre, non puoi abilitare la rotazione automatica delle chiavi per una chiave KMS con materiale della chiave importato. Tuttavia, puoi ruotare manualmente una chiave KMS con materiale della chiave importato.

Non puoi modificare l'origine del materiale della chiave

Le chiavi KMS progettate per il materiale chiave importato ha un valore di origine di EXTERNAL che non può essere modificato. Non è possibile convertire una chiave KMS per materiale chiave importato in modo da utilizzare materiale chiave proveniente da altre fonti, tra cui. AWS KMS Allo stesso modo, non è possibile convertire una chiave KMS con materiale AWS KMS chiave in una chiave progettata per il materiale chiave importato.

Non puoi esportare il materiale della chiave

Non è possibile esportare alcun materiale chiave importato. AWS KMS non può restituirti il materiale chiave importato in nessuna forma. È necessario conservare una copia del materiale chiave importato all'esterno AWS, preferibilmente in un gestore di chiavi, come un modulo di sicurezza hardware (HSM), in modo da poter reimportare il materiale chiave in caso di eliminazione o scadenza.

Puoi creare chiavi multi-regione con materiale della chiave importato

Le chiavi multi-regione con il materiale della chiave importato includono le funzionalità delle chiavi KMS con il materiale della chiave importato e possono interoperare tra Regioni AWS. Per creare una chiave multi-regione con il materiale della chiave importato, devi importare lo stesso materiale della chiave nella chiave KMS primaria e in ogni chiave di replica. Per informazioni dettagliate, vedi Importazione di materiale chiave in chiavi multiregione.

Le chiavi asimmetriche e le chiavi HMAC sono portatili e interoperabili

È possibile utilizzare il materiale chiave asimmetrico e il materiale chiave HMAC all'esterno AWS per interagire con chiavi con AWS KMS lo stesso materiale chiave importato.

A differenza del testo cifrato AWS KMS simmetrico, che è indissolubilmente legato alla chiave KMS utilizzata nell'algoritmo, AWS KMS utilizza formati HMAC standard e asimmetrici per la crittografia, la firma e la generazione MAC. Di conseguenza, le chiavi sono portatili e supportano gli scenari di chiavi di deposito tradizionali.

Quando la chiave KMS ha importato materiale chiave, puoi utilizzare il materiale chiave importato all'esterno per eseguire le seguenti operazioni. AWS

Chiavi HMAC: puoi verificare un tag HMAC generato dalla chiave KMS HMAC con il materiale della chiave importato. Puoi anche utilizzare la chiave KMS HMAC con il materiale chiave importato per verificare un tag HMAC generato dal materiale chiave all'esterno di. AWS
Chiavi di crittografia asimmetriche: puoi utilizzare la tua chiave di crittografia asimmetrica privata all'esterno di AWS per decrittografare un testo cifrato crittografato dalla chiave KMS con la chiave pubblica corrispondente. Puoi anche utilizzare la tua chiave KMS asimmetrica per decrittografare un testo cifrato asimmetrico generato all'esterno di. AWS
Chiavi di firma asimmetriche: puoi utilizzare la tua chiave KMS di firma asimmetrica con materiale chiave importato per verificare le firme digitali generate dalla tua chiave di firma privata all'esterno di. AWS Puoi anche utilizzare la tua chiave di firma pubblica asimmetrica all'esterno di per verificare le firme generate dalla tua chiave KMS asimmetrica. AWS
Chiavi di accordo con chiave asimmetrica: puoi utilizzare la tua chiave KMS asimmetrica con il materiale chiave importato per ricavare segreti condivisi con un altro utente esterno. AWS

Se importi lo stesso materiale della chiave in chiavi KMS diverse nella stessa Regione AWS, anche queste chiavi sono interoperabili. Per creare chiavi KMS interoperabili in diversi formati, crea una chiave multiregionale con materiale chiave importato. Regioni AWS

Le chiavi di crittografia simmetriche non sono portatili né interoperabili

I testi cifrati simmetrici che produce non sono portatili o interoperabili. AWS KMS AWS KMS non pubblica il formato di testo cifrato simmetrico richiesto dalla portabilità e il formato potrebbe cambiare senza preavviso.

AWS KMS non è in grado di decrittografare testi cifrati simmetrici crittografati all'esterno, anche se si utilizza materiale chiave importato. AWS
AWS KMS non supporta la decrittografia di alcun testo cifrato AWS KMS simmetrico al di fuori di, anche se il testo cifrato è stato crittografato con una chiave KMS con AWS KMS materiale chiave importato.
Le chiavi KMS con lo stesso materiale della chiave importato non sono interoperabili. Il testo cifrato simmetrico che genera testo cifrato specifico per ogni chiave KMS. AWS KMS Questo formato di testo criptato garantisce che solo la chiave KMS che ha crittografato i dati possa decrittografarli.

Inoltre, non è possibile utilizzare AWS strumenti, come la AWS Encryption SDK crittografia lato client di Amazon S3, per decrittografare testi cifrati simmetrici. AWS KMS

Di conseguenza, non è possibile utilizzare chiavi con materiale chiave importato per supportare accordi di deposito di chiavi in cui una terza parte autorizzata con accesso condizionato al materiale chiave possa decrittografare determinati testi cifrati all'esterno. AWS KMS Per supportare il deposito delle chiavi, utilizza il AWS Encryption SDK per crittografare il messaggio in una chiave indipendente da AWS KMS.

Sei responsabile della disponibilità e della durata

AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera. Per informazioni dettagliate, vedi Protezione del materiale della chiave importato.

Protezione del materiale della chiave importato

Il materiale della chiave importato è protetto durante il transito e a riposo. Prima di importare il materiale chiave, si crittografa (o «avvolge») il materiale chiave con la chiave pubblica di una coppia di chiavi RSA generata in moduli di sicurezza AWS KMS hardware (HSM) convalidati nell'ambito del programma di convalida dei moduli crittografici FIPS 140-2. Puoi crittografare il materiale della chiave direttamente con la chiave pubblica di wrapping oppure crittografare il materiale della chiave con una chiave simmetrica AES e quindi crittografare la chiave simmetrica AES con la chiave pubblica RSA.

Alla ricezione, AWS KMS decripta il materiale chiave con la chiave privata corrispondente in un AWS KMS HSM e lo cripta nuovamente con una chiave simmetrica AES che esiste solo nella memoria volatile dell'HSM. Il materiale della chiave non esce mai in testo normale dal modulo HSM. Viene decrittografato solo mentre è in uso e solo all'interno degli HSM. AWS KMS

L'uso della chiave KMS con il materiale della chiave importato è determinato esclusivamente dalle policy di controllo degli accessi che hai impostato sulla chiave KMS. Inoltre, puoi utilizzare alias e tag per identificare e controllare l'accesso alla chiave KMS. Puoi abilitare e disabilitare la chiave, visualizzare e modificare le sue proprietà e monitorarla utilizzando servizi come AWS CloudTrail.

Ciononostante, conserva solo la copia sicura del materiale della chiave. In cambio di questa ulteriore misura di controllo, l'utente è responsabile della durabilità e della disponibilità complessiva del materiale chiave importato. AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera.

Questa differenza di durabilità è significativa nei seguenti casi:

Quando impostate una scadenza per il materiale chiave importato, AWS KMS elimina il materiale chiave dopo la sua scadenza. AWS KMS non elimina la chiave KMS o i relativi metadati. Puoi creare un CloudWatch allarme Amazon che ti avvisa quando il materiale chiave importato si avvicina alla data di scadenza.

Non puoi eliminare il materiale chiave AWS KMS generato per una chiave KMS e non puoi impostare la scadenza del materiale AWS KMS chiave, sebbene sia possibile ruotarlo.
Quando elimini manualmente il materiale chiave importato, AWS KMS elimina il materiale chiave ma non elimina la chiave KMS o i relativi metadati. La pianificazione dell'eliminazione di una chiave, invece, richiede un periodo di attesa compreso tra 7 e 30 giorni, trascorso il quale AWS KMS elimina permanentemente la chiave KMS, i relativi metadati e il materiale della chiave.
Nell'improbabile eventualità che si verifichino determinati guasti a livello regionale AWS KMS (come una perdita totale di alimentazione), AWS KMS non è possibile ripristinare automaticamente il materiale chiave importato. Tuttavia, AWS KMS può ripristinare la chiave KMS e i relativi metadati.

È necessario conservare una copia del materiale chiave importato all'esterno di AWS un sistema controllato dall'utente. Ti consigliamo di archiviare una copia esportabile del materiale della chiave importato in un sistema di gestione delle chiavi, ad esempio un modulo HSM. Se il materiale della chiave importato viene eliminato o scade, la chiave KMS associata diventa inutilizzabile fino a quando non importi nuovamente lo stesso materiale della chiave. Se il materiale della chiave importato viene perso definitivamente, qualunque testo criptato crittografato con la chiave KMS è irrecuperabile.

Autorizzazioni per l'importazione del materiale della chiave

Per creare e gestire le chiave KMS con materiale della chiave importato, l'utente deve avere l'autorizzazione per le operazioni di questo processo. Puoi fornire le autorizzazioni kms:GetParametersForImport, kms:ImportKeyMaterial, e kms:DeleteImportedKeyMaterial nella policy delle chiavi quando crei la chiave KMS. Nella AWS KMS console, queste autorizzazioni vengono aggiunte automaticamente per gli amministratori chiave quando si crea una chiave con un'origine materiale esterna.

Per creare chiavi KMS con materiale della chiave importato, il principale richiede le seguenti autorizzazioni.

kms: CreateKey (politica IAM)

Per limitare questa autorizzazione alle chiavi KMS con materiale chiave importato, utilizza la condizione kms: KeyOrigin policy con un valore di. EXTERNAL


{
  "Sid": "CreateKMSKeysWithoutKeyMaterial",
  "Effect": "Allow",
  "Resource": "*",
  "Action": "kms:CreateKey",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL"
    }
  }
}

kms: GetParametersForImport (Politica chiave o politica IAM)
- Per limitare questa autorizzazione alle richieste che utilizzano un particolare algoritmo di wrapping e una specifica chiave di wrapping, utilizza le condizioni delle policy kms: WrappingAlgorithm e kms:. WrappingKeySpec
kms: ImportKeyMaterial (Politica chiave o politica IAM)
- Per consentire o vietare la scadenza del materiale chiave e controllare la data di scadenza, utilizza le condizioni delle politiche kms: ExpirationModel e kms:. ValidTo

Per reimportare il materiale chiave importato, il principale necessita delle autorizzazioni kms: e kms:. GetParametersForImport ImportKeyMaterial

Per eliminare il materiale chiave importato, il principale necessita dell'autorizzazione kms:. DeleteImportedKeyMaterial

Ad esempio, per dare a KMSAdminRole di esempio l'autorizzazione per gestire tutti gli aspetti di una chiave KMS con materiale chiave importato, includi una dichiarazione di policy delle chiavi come la seguente nella policy della chiave KMS.


{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Requisiti per il materiale della chiave importato

Il materiale della chiave importato deve essere compatibile con le specifiche chiave della chiave KMS associata. Per le coppie di chiavi asimmetriche, importa solo la chiave privata della coppia. AWS KMS ricava la chiave pubblica dalla chiave privata.

AWS KMS supporta le seguenti specifiche chiave per le chiavi KMS con materiale chiave importato.

Specifiche della chiave KMS	Requisiti del materiale della chiave
Chiavi di crittografia simmetrica SYMMETRIC_DEFAULT	256 bit (32 byte) di dati binari Nelle regioni cinesi, devono essere dati binari a 128 bit (16 byte).
Chiavi HMAC HMAC_224 HMAC_256 HMAC_384 HMAC_512	Il materiale della chiave HMAC deve essere conforme alla RFC 2104. La lunghezza della chiave deve corrispondere alla lunghezza specificata dalle specifiche della chiave.
Chiave privata asimmetrica RSA RSA_2048 RSA_3072 RSA_4096	La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 3447. Modulo: 2048 bit, 3072 bit o 4096 bit Numero di numeri primi: 2 (le chiavi RSA con più numeri primi non sono supportate) Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme alla RFC 5208.
Chiave privata asimmetrica a curva ellittica ECC_NIST_P256 (secp256r1) ECC_NIST_P384 (secp384r1) ECC_NIST_P521 (secp521r1) ECC_SECG_P256K1 (secp256k1)	La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 5915. Curva: NIST P-256, NIST P-384, NIST P-521 o Secp256k1 Parametri: solo curve denominate (le chiavi ECC con parametri espliciti vengono rifiutate) Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme a RFC 5208.
Chiave privata asimmetrica SM2 (solo regioni cinesi)	La chiave privata asimmetrica SM2 importata deve far parte di una coppia di chiavi conforme a GM/T 0003. Curva: SM2 Parametri: solo curva con nome (le chiavi SM2 con parametri espliciti vengono rifiutate) Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme alla RFC 5208.

Specifiche della chiave KMS

Requisiti del materiale della chiave

Chiavi di crittografia simmetrica

SYMMETRIC_DEFAULT

256 bit (32 byte) di dati binari

Nelle regioni cinesi, devono essere dati binari a 128 bit (16 byte).

Chiavi HMAC

HMAC_224

HMAC_256

HMAC_384

HMAC_512

Il materiale della chiave HMAC deve essere conforme alla RFC 2104

La lunghezza della chiave deve corrispondere alla lunghezza specificata dalle specifiche della chiave.

Chiave privata asimmetrica RSA

RSA_2048

RSA_3072

RSA_4096

La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 3447.

Modulo: 2048 bit, 3072 bit o 4096 bit

Numero di numeri primi: 2 (le chiavi RSA con più numeri primi non sono supportate)

Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme alla RFC 5208.

Chiave privata asimmetrica a curva ellittica

ECC_NIST_P256 (secp256r1)

ECC_NIST_P384 (secp384r1)

ECC_NIST_P521 (secp521r1)

ECC_SECG_P256K1 (secp256k1)

La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 5915.

Curva: NIST P-256, NIST P-384, NIST P-521 o Secp256k1

Parametri: solo curve denominate (le chiavi ECC con parametri espliciti vengono rifiutate)

Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive

Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme a RFC 5208.

Chiave privata asimmetrica SM2 (solo regioni cinesi)

La chiave privata asimmetrica SM2 importata deve far parte di una coppia di chiavi conforme a GM/T 0003.

Curva: SM2

Parametri: solo curva con nome (le chiavi SM2 con parametri espliciti vengono rifiutate)

Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive

Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme alla RFC 5208.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Materiale della chiave importato

Gestione del materiale della chiave importato