As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceitos básicos
Aprender alguns termos e conceitos básicos ajudará você a obter proveito máximo do AWS Key Management Service.
- AWS KMS key
-
nota
O AWS KMS está substituindo o termo chave mestre do cliente (CMK) por AWS KMS key e Chave KMS. O conceito não mudou. Para evitar alterações interrompidas, o AWS KMS está mantendo algumas variações deste termo.
Uma chave lógica que representa o topo da hierarquia de chaves. Uma chave do KMS recebe um nome do recurso da Amazon (ARN) que inclui um identificador de chave exclusivo ou ID de chave. AWS KMS keys têm três tipos:
-
Chave do cliente: os clientes criam e controlam o ciclo de vida e as principais políticas de chaves gerenciadas pelo cliente. Todas as solicitações feitas com base nessas chaves são registradas como CloudTrail eventos.
-
Chaves gerenciadas pela AWS: AWS cria e controla o ciclo de vida e as principais políticas do Chaves gerenciadas pela AWS, que são recursos no Conta da AWS de um cliente. Os clientes podem visualizar políticas e CloudTrail eventos de acessoChaves gerenciadas pela AWS, mas não podem gerenciar nenhum aspecto dessas chaves. Todas as solicitações feitas com base nessas chaves são registradas como CloudTrail eventos.
-
Chaves pertencentes à AWS: Essas chaves são criadas e usadas exclusivamente pelo AWS para operações de criptografia interna em diferentes serviços do AWS. Os clientes não têm visibilidade das principais políticas ou do Chave pertencente à AWS uso em CloudTrail.
-
- Alias
-
Um nome fácil de usar que está associado a uma chave do KMS. O nome pode ser usado de forma intercambiável com ID de chave em muitas das Operações de API AWS KMS.
- Permissões
-
Uma política anexada a uma chave KMS que define permissões na chave. A política padrão permite qualquer entidade principal que você defina, além de permitir que a Conta da AWS adicione políticas do IAM que fazem referência à chave.
- Concessões
-
A permissão delegada para usar uma chave KMS quando os principais do IAM pretendidos ou a duração do uso não é conhecida no início e, portanto, não pode ser adicionada a uma chave ou política do IAM. Um uso das concessões é definir permissões com escopo para baixo para como um serviço AWS pode usar uma chave do KMS. O serviço pode precisar usar sua chave para fazer trabalho assíncrono em seu nome em dados criptografados na ausência de uma chamada de API com assinatura direta sua.
- Chaves de dados
-
Chaves criptográficas geradas em HSMs, protegidas por uma chave KMS. O AWS KMS permite que entidades autorizadas obtenham chaves de dados protegidas por uma chave KMS. Elas podem ser retornadas como chaves de dados de texto simples (não criptografadas) e como chaves de dados criptografadas. As chaves de dados podem ser simétricas ou assimétricas (com o retorno das partes públicas e privadas).
- Texto cifrado
-
A saída criptografada do AWS KMS, às vezes chamada de texto cifrado do cliente, para eliminar a confusão. O texto cifrado contém dados criptografados com informações adicionais que identificam a chave KMS a ser usada no processo de descriptografia. As chaves de dados criptografados são um exemplo comum de texto cifrado produzido ao usar uma chave KMS, mas quaisquer dados com tamanho inferior a 4 KB podem ser criptografados sob uma chave KMS para produzir um texto cifrado.
- Contexto de criptografia
-
Um mapa de par chave-valor de informações adicionais que está associado ao AWS KMS – informações protegidas. O AWS KMS usa a criptografia autenticada para proteger chaves de dados. O contexto de criptografia é incorporado ao AAD da criptografia autenticada no AWS KMS – textos criptografados. Essas informações de contexto são opcionais e não são retornadas ao solicitar uma chave (ou uma operação de criptografia). Mas se for usado, esse valor de contexto é necessário para concluir com êxito uma operação de descriptografia. Um uso pretendido do contexto de criptografia é fornecer informações adicionais autenticadas. Essas informações podem ajudar você a aplicar políticas e a serem incluídas nos AWS CloudTrail registros. Por exemplo, você pode usar um par chave-valor de {"key name":"satellite uplink key"} para nomear a chave de dados. O uso subsequente da chave cria uma entrada no AWS CloudTrail que inclui “nome da chave”: “chave de uplink de satélite”. Essas informações adicionais podem fornecer um contexto útil para entender por que uma determinada chave KMS foi usada.
- Chave pública
-
Ao usar cifras assimétricas (RSA ou curva elíptica), a chave pública é o “componente público” de um par de chaves público-privadas. A chave pública pode ser compartilhada e distribuída para entidades que precisam criptografar dados para o proprietário do par de chaves público-privadas. Para operações de assinatura digital, a chave pública é usada para verificar a assinatura.
- Chave privada
-
Ao usar cifras assimétricas (RSA ou curva elíptica), a chave privada é o “componente privado” de um par de chaves público-privadas. A chave privada é usada para descriptografar dados ou criar assinaturas digitais. Semelhante às chaves KMS simétricas, as chaves privadas são criptografadas em HSMs. Elas são descriptografadas somente na memória de curto prazo do HSM e somente pelo tempo necessário para processar sua solicitação criptográfica.