Gerar chaves de dados - AWS Key Management Service
Criação de uma chave de dadosFuncionamento das operações criptográficas com chaves de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerar chaves de dados

Chaves de dados são chaves simétricas que você pode usar para criptografar dados, inclusive grandes quantidades de dados e outras chaves de criptografia dos dados. Ao contrário de chaves do KMS assimétricas, que não podem ser baixadas, as chaves de dados são devolvidas para você para uso fora do AWS KMS.

Quando o AWS KMS gera chaves de dados, ele retorna uma chave de dados em texto simples para uso imediato e uma cópia criptografada dessa chave de dados que você pode armazenar com os dados de maneira segura. Quando você pronto para descriptografar os dados, você primeiro solicita ao AWS KMS que descriptografe a chave de dados criptografada.

O AWS KMS gera, criptografa e descriptografa chaves de dados. No entanto, o AWS KMS não armazena, gerencia ou monitora as chaves de dados nem executa operações de criptografia com chaves de dados. Você deve usar e gerenciar as chaves de dados fora do AWS KMS. Para obter ajuda para usar as chaves de dados de forma segura, consulte a AWS Encryption SDK.

Tópicos

Criação de uma chave de dados

Para criar um par de chaves de dados, chame a operação GenerateDataKey. O AWS KMS gera a chave de dados. Em seguida, ele criptografa uma cópia da chave de dados em uma chave do KMS de criptografia simétrica especificada por você. A operação retorna uma cópia em texto simples da chave de dados e a cópia da chave de dados criptografada de acordo com a chave do KMS. A imagem a seguir mostra essa operação.

Gerar uma chave de dados

O AWS KMS também oferece suporte a operação GenerateDataKeyWithoutPlaintext, que retorna apenas uma chave de dados criptografada. Quando precisar usar a chave de dados, peça ao AWS KMS para descriptografá-la.

Funcionamento das operações criptográficas com chaves de dados

Os tópicos a seguir explicam como chaves de dados gerados por uma operação GenerateDataKey ou GenerateDataKeyWithoutPlaintext funcionam.

Criptografia de dados com uma chave de dados

AWS KMSO não pode usar uma chave de dados para criptografar dados. No entanto, você pode usar a chave de dados fora do AWS KMS, como ao usar OpenSSL ou uma biblioteca de criptografia, como AWS Encryption SDK.

Depois de usar a chave de dados de texto simples para criptografar dados e remova-a da memória assim que possível. Você pode armazenar seguramente as chaves de dados criptografadas com os dados criptografados para que estejam disponíveis para descriptografar os dados.

Criptografia dos dados do usuário fora do AWS KMS

Descriptografia dos dados com uma chave de dados

Para descriptografar dados, transmita a chave de dados criptografada para a operação Decrypt. O AWS KMS usa sua chave do KMS para descriptografar a chave de dados e, em seguida, retorna a chave de dados em texto simples. Use a chave de dados de texto simples para descriptografar seus dados e remove-a da memória assim que possível.

O diagrama a seguir mostra como usar a operação Decrypt para descriptografar uma chave de dados criptografada.

Descriptografia de uma chave de dados