Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Negozi chiave
Un archivio di chiavi è un luogo sicuro per l'archiviazione e l'utilizzo di chiavi crittografiche. L'archivio chiavi predefinito in supporta AWS KMS anche metodi per la generazione e la gestione delle chiavi che memorizza. Per impostazione predefinita, il materiale delle chiavi crittografiche utilizzato per la AWS KMS keys creazione AWS KMS viene generato e protetto da moduli di sicurezza hardware (HSMs) che sono moduli crittografici convalidati NIST Federal Information Processing Standards (FIPS) 140 Cryptographic Module Validation Program (FIPS) 140-2 Level 3
AWS KMS supporta diversi tipi di archivi di chiavi per proteggere le chiavi. Materiale da utilizzare AWS KMS per creare e gestire le chiavi di crittografia. Tutte le opzioni di archiviazione delle chiavi fornite da AWS KMS sono continuamente convalidate al di sotto di FIPS 140 al livello di sicurezza 3 e sono progettate per impedire a chiunque, compresi AWS gli operatori, di accedere alle chiavi in chiaro o di utilizzarle senza la vostra autorizzazione.
AWS KMS archivio chiavi standard
Per impostazione predefinita, una KMS chiave viene creata utilizzando lo standard AWS KMS HSM. Questo HSM tipo può essere considerato come una flotta multi-tenant HSMs che offre l'archivio di chiavi più scalabile, più economico e più semplice da gestire dal proprio punto di vista. Se desideri creare una KMS chiave da utilizzare all'interno di una o più chiavi Servizi AWS in modo che il servizio possa crittografare i dati per tuo conto, creerai una chiave simmetrica. Se utilizzi una KMS chiave per la progettazione della tua applicazione, puoi scegliere di creare una chiave di crittografia simmetrica, una chiave asimmetrica o una chiave. HMAC
Nell'opzione di archiviazione delle chiavi standard, AWS KMS crea la chiave, quindi la crittografa utilizzando chiavi gestite internamente dal servizio. Più copie delle versioni crittografate delle chiavi vengono quindi archiviate in sistemi progettati per durare a lungo. La generazione e la protezione del materiale chiave nel tipo di archivio chiavi standard consente di sfruttare appieno la scalabilità, la disponibilità e la durata AWS KMS con il minor onere operativo e il costo degli archivi di AWS chiavi.
AWS KMS archivio chiavi standard con materiale chiave importato
Invece di richiedere AWS KMS di generare e archiviare le uniche copie di una determinata chiave, potete scegliere di importare il materiale chiave in cui generare la vostra chiave di crittografia simmetrica a 256 bit AWS KMS, o chiave ellittica () RSA o chiave Hash Based Message Authentication Code (ECC), e applicarla a un identificatore di chiave (HMAC). KMS keyId A volte questa operazione viene chiamata bring your own key (). BYOK Il materiale chiave importato dal sistema di gestione delle chiavi locale deve essere protetto utilizzando una chiave pubblica emessa da AWS KMS, un algoritmo di wrapping crittografico supportato e un token di importazione basato sul tempo fornito da. AWS KMS Questo processo verifica che la chiave crittografata importata possa essere decrittografata solo AWS KMS HSM dopo aver lasciato l'ambiente.
Il materiale relativo alle chiavi importato può essere utile se avete requisiti specifici relativi al sistema che genera le chiavi o se desiderate una copia della chiave non utilizzata AWS come backup. Tieni presente che sei responsabile della disponibilità e della durabilità complessive di un materiale chiave importato. Sebbene AWS KMS disponga di una copia della chiave importata e rimanga sempre disponibile finché ne avrai bisogno, le chiavi importate offrono un'opzione speciale API per l'eliminazione: DeleteImportedKeyMaterial. Ciò API eliminerà immediatamente tutte le copie del materiale chiave AWS KMS importato che contiene, senza possibilità AWS di recuperare la chiave. Inoltre, è possibile impostare una data di scadenza per una chiave importata, dopo la quale la chiave sarà inutilizzabile. Per rendere nuovamente utile la chiave AWS KMS, dovrai reimportare il materiale chiave e assegnarlo allo stesso. keyId Questa azione di eliminazione delle chiavi importate è diversa dalle chiavi standard che vengono AWS KMS generate e archiviate per conto dell'utente. Nel caso standard, il processo di eliminazione delle chiavi prevede un periodo di attesa obbligatorio durante il quale viene inizialmente bloccato l'utilizzo di una chiave programmata per l'eliminazione. Questa azione consente di visualizzare gli errori di accesso negato nei registri di qualsiasi applicazione o AWS servizio che potrebbe aver bisogno di quella chiave per accedere ai dati. Se visualizzi tali richieste di accesso, puoi scegliere di annullare l'eliminazione pianificata e riattivare la chiave. Dopo un periodo di attesa configurabile (tra 7 e 30 giorni), solo allora verranno KMS effettivamente eliminati il materiale chiave, il KeyID e tutti i metadati associati alla chiave. Per ulteriori informazioni sulla disponibilità e la durabilità, consulta la sezione Protezione del materiale chiave importato nella Guida per gli AWS KMS sviluppatori.
Esistono alcune limitazioni aggiuntive relative al materiale chiave importato di cui tenere conto. Poiché AWS KMS non è possibile generare nuovo materiale chiave, non è possibile configurare la rotazione automatica delle chiavi importate. È necessario creare una nuova KMS chiave con un nuovo materiale chiavekeyId, quindi importare nuovo materiale chiave per ottenere una rotazione efficace. Inoltre, i testi cifrati creati AWS KMS con una chiave simmetrica importata non possono essere facilmente decrittografati utilizzando la copia locale della chiave esterna a. AWS Questo perché il formato di crittografia autenticato utilizzato da AWS KMS aggiunge metadati aggiuntivi al testo cifrato per garantire, durante l'operazione di decrittografia, che il testo cifrato sia stato creato dalla chiave prevista nell'ambito di una precedente operazione di crittografia. KMS La maggior parte dei sistemi crittografici esterni non è in grado di analizzare questi metadati per accedere al testo cifrato non elaborato e utilizzare la propria copia di una chiave simmetrica. I testi cifrati creati con chiavi asimmetriche importate (ad esempio RSA oECC) possono essere utilizzati al di fuori della parte corrispondente (pubblica o privata) della AWS KMS chiave perché non vi sono metadati aggiuntivi aggiunti al testo cifrato. AWS KMS
AWS KMS archivi di chiavi personalizzati
Tuttavia, se è necessario un controllo ancora maggiore diHSMs, è possibile creare un archivio chiavi personalizzato.
Un archivio chiavi personalizzato è un archivio chiavi interno AWS KMS supportato da un gestore di chiavi esterno AWS KMS, di cui l'utente è proprietario e responsabile. Gli archivi di chiavi personalizzati combinano la comoda e completa interfaccia di gestione delle chiavi AWS KMS con la capacità di possedere e controllare il materiale chiave e le operazioni crittografiche. Quando si utilizza una KMS chiave in un archivio di chiavi personalizzato, le operazioni crittografiche vengono eseguite dal gestore delle chiavi utilizzando le chiavi crittografiche. Di conseguenza, l'utente si assume maggiori responsabilità per la disponibilità e la durabilità delle chiavi crittografiche e per il funzionamento di. HSMs
Possedere un account HSMs può essere utile per soddisfare determinati requisiti normativi che non consentono ancora ai servizi web multi-tenant, come l'archivio di KMS chiavi standard, di conservare le chiavi crittografiche. Gli archivi di chiavi personalizzati non sono più sicuri degli archivi di KMS chiavi che utilizzano AWS-managedHSMs, ma hanno implicazioni di gestione e costi diverse (e maggiori). Di conseguenza, l'utente si assume maggiori responsabilità per la disponibilità e la durabilità delle chiavi crittografiche e per il funzionamento di. HSMs Indipendentemente dal fatto che si utilizzi l'archivio chiavi standard con AWS KMS HSMs o un archivio chiavi personalizzato, il servizio è progettato in modo che nessuno, compresi AWS i dipendenti, possa recuperare le chiavi in testo normale o utilizzarle senza la tua autorizzazione. AWS KMS supporta due tipi di archivi di chiavi personalizzati:
Caratteristiche non supportate
AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.
AWS CloudHSM negozio di chiavi
È possibile creare una KMS chiave in un AWS CloudHSM
Archivio delle chiavi esterne
È possibile AWS KMS configurare l'utilizzo di un archivio di chiavi esterno (XKS), in cui le chiavi utente root vengono generate, archiviate e utilizzate in un sistema di gestione delle chiavi esterno a Cloud AWS. Le richieste di utilizzo AWS KMS di una chiave per alcune operazioni di crittografia vengono inoltrate al sistema ospitato esternamente per eseguire l'operazione. In particolare, le richieste vengono inoltrate a un XKS proxy della rete, che quindi inoltra la richiesta al sistema crittografico utilizzato. Il XKS Proxy è una specifica open source con cui chiunque può integrarsi. Molti fornitori commerciali di gestione delle chiavi supportano la specifica XKS Proxy. Poiché un archivio di chiavi esterno è ospitato dall'utente o da terze parti, l'utente possiede tutta la disponibilità, la durata e le prestazioni delle chiavi del sistema. Per vedere se un External Key Store è adatto alle tue esigenze, leggi Announcing AWS KMS External Key Store (XKS)
Argomenti
