AWS KMS conceitos - AWS Key Management Service
Introdução

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS KMS conceitos

Aprenda os termos e conceitos básicos usados em AWS Key Management Service (AWS KMS) e como eles funcionam juntos para ajudar a proteger seus dados.

Introdução ao AWS KMS

AWS Key Management Service (AWS KMS) fornece uma interface web para gerar e gerenciar chaves criptográficas e opera como um provedor de serviços criptográficos para proteger dados. AWS KMS oferece serviços tradicionais de gerenciamento de chaves integrados aos AWS serviços para fornecer uma visão consistente das chaves dos clientes AWS, com gerenciamento e auditoria centralizados.

AWS KMS inclui uma interface web por meio da AWS Management Console interface de linha de comando e RESTful API operações para solicitar operações criptográficas de uma frota distribuída de FIPS 140 a 2 módulos de segurança de hardware validados (). HSMs AWS KMS HSMÉ um dispositivo criptográfico de hardware autônomo com vários chips projetado para fornecer funções criptográficas dedicadas para atender aos requisitos de segurança e escalabilidade do. AWS KMS Você pode estabelecer sua própria hierarquia criptográfica HSM baseada nas chaves que você gerencia como. AWS KMS keys Essas chaves são disponibilizadas somente no HSMs e somente na memória pelo tempo necessário para processar sua solicitação criptográfica. Você pode criar várias KMS chaves, cada uma representada por seu ID de chave. Somente nas AWS IAM funções e contas administradas por cada cliente, KMS as chaves gerenciadas pelo cliente podem ser criadas, excluídas ou usadas para criptografar, descriptografar, assinar ou verificar dados. Você pode definir controles de acesso sobre quem pode gerenciar e/ou usar KMS chaves criando uma política anexada à chave. Essas políticas permitem que você defina usos específicos do aplicativo para suas chaves em cada operação. API

Além disso, a maioria dos AWS serviços oferece suporte à criptografia de dados em repouso usando KMS chaves. Esse recurso permite que os clientes controlem como e quando AWS os serviços podem acessar dados criptografados, controlando como e quando KMS as chaves podem ser acessadas.

AWS KMS arquitetura.

AWS KMS é um serviço em camadas que consiste em AWS KMS hosts voltados para a web e um nível de. HSMs O agrupamento desses hosts em camadas forma a AWS KMS pilha. Todas as solicitações AWS KMS devem ser feitas pelo protocolo Transport Layer Security (TLS) e terminar em um AWS KMS host. AWS KMS os hosts só permitem TLS com um conjunto de cifras que fornece sigilo direto perfeito. AWS KMS autentica e autoriza suas solicitações usando os mesmos mecanismos de credenciais e políticas de AWS Identity and Access Management (IAM) que estão disponíveis para todas as outras operações. AWS API

AWS KMS metas de design

AWS KMS foi projetado para atender aos seguintes requisitos.

Durabilidade

A durabilidade das chaves criptográficas foi projetada para ser igual à dos serviços de maior durabilidade em AWS. Uma única chave criptográfica pode criptografar grandes volumes dos seus dados acumulados ao longo de um longo período de tempo.

Confiável

O uso de chaves é protegido por políticas de controle de acesso que você define e gerencia. Não há mecanismo para exportar chaves de texto simplesKMS. A confidencialidade das suas chaves criptográficas é crucial. Vários funcionários da Amazon com acesso específico por função aos controles de acesso baseados em quórum são obrigados a realizar ações administrativas no. HSMs

Baixa latência e alto throughput

AWS KMS fornece operações criptográficas em níveis de latência e taxa de transferência adequados para uso por outros serviços em. AWS

Regiões independentes

AWS fornece regiões independentes para clientes que precisam restringir o acesso aos dados em diferentes regiões. O uso da chave pode ser isolado dentro de um Região da AWS.

Fonte segura de números aleatórios

Como a criptografia forte depende da geração de números aleatórios verdadeiramente imprevisível, AWS KMS fornece uma fonte validada e de alta qualidade de números aleatórios.

Auditoria

AWS KMS registra o uso e o gerenciamento de chaves criptográficas em AWS CloudTrail registros. Você pode usar AWS CloudTrail registros para inspecionar o uso de suas chaves criptográficas, incluindo o uso de chaves por AWS serviços em seu nome.

Para atingir esses objetivos, o AWS KMS sistema inclui um conjunto de AWS KMS operadores e operadores de hospedagem de serviços (coletivamente, “operadores”) que administram “domínios”. Um domínio é um conjunto de AWS KMS servidores e operadores definidos regionalmente. HSMs Cada AWS KMS operador tem um token de hardware que contém um par de chaves pública e privada que é usado para autenticar suas ações. Eles HSMs têm um par adicional de chaves públicas e privadas para estabelecer chaves de criptografia que protejam a sincronização de HSM estados.