Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In che modo le chiavi inutilizzabili influiscono sulle chiavi dati KMS
Quando una KMS chiave diventa inutilizzabile, l'effetto è quasi immediato (soggetto alla coerenza finale). Lo stato della KMS chiave cambia in base alla nuova condizione e tutte le richieste di utilizzo della KMS chiave nelle operazioni crittografiche hanno esito negativo.
Tuttavia, l'effetto sulle chiavi dati crittografate dalla KMS chiave e sui dati crittografati dalla chiave dati viene ritardato fino a quando la KMS chiave non viene riutilizzata, ad esempio per decrittografare la chiave dati.
KMSle chiavi possono diventare inutilizzabili per diversi motivi, tra cui le seguenti azioni che è possibile eseguire.
-
Eliminare il materiale chiave da una KMS chiave con materiale chiave importato o lasciare scadere il materiale chiave importato.
-
Disconnettere l'archivio delle AWS CloudHSM chiavi che ospita la KMS chiave o eliminare la chiave dal AWS CloudHSM cluster che funge da materiale chiave per la chiave. KMS
-
Disconnessione dell'archivio di chiavi esterno che ospita la KMS chiave o qualsiasi altra azione che interferisca con le richieste di crittografia e decrittografia al proxy dell'archivio chiavi esterno, inclusa l'eliminazione della chiave esterna dal relativo gestore di chiavi esterno.
Questo effetto è particolarmente importante per molti utenti Servizi AWS che utilizzano chiavi di dati per proteggere le risorse gestite dal servizio. L'esempio seguente utilizza Amazon Elastic Block Store (AmazonEBS) e Amazon Elastic Compute Cloud (AmazonEC2). Diversi Servizi AWS utilizzano le chiavi dati in modi diversi. Per maggiori dettagli, consulta la sezione Protezione dei dati del capitolo Sicurezza per il Servizio AWS.
Considera ad esempio questo scenario:
-
Si crea un EBS volume crittografato e si specifica una KMS chiave per proteggerlo. Amazon EBS chiede AWS KMS di utilizzare la tua KMS chiave per generare una chiave dati crittografata per il volume. Amazon EBS archivia la chiave dati crittografata con i metadati del volume.
-
Quando colleghi il EBS volume a un'EC2istanza, Amazon EC2 usa la tua KMS chiave per decrittografare la chiave dati crittografata del EBS volume. Amazon EC2 utilizza la chiave dati nell'hardware Nitro, che è responsabile della crittografia di tutti gli I/O del disco sul volume. EBS La chiave dati persiste nell'hardware Nitro mentre il EBS volume è collegato all'istanza. EC2
-
Si esegue un'azione che rende la KMS chiave inutilizzabile. Ciò non ha alcun effetto immediato sull'EC2istanza o sul EBS volume. Amazon EC2 utilizza la chiave dati, non la KMS chiave, per crittografare tutti gli I/O del disco mentre il volume è collegato all'istanza.
-
Tuttavia, quando il EBS volume crittografato viene scollegato dall'EC2istanza, Amazon EBS rimuove la chiave dati dall'hardware Nitro. La prossima volta che il EBS volume crittografato viene collegato a un'EC2istanza, l'allegato non riesce perché Amazon EBS non può utilizzare la KMS chiave per decrittografare la chiave dati crittografata del volume. Per utilizzare nuovamente il EBS volume, devi rendere nuovamente utilizzabile la KMS chiave.
