As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Chaves de dados são chaves simétricas que você pode usar para criptografar dados, inclusive grandes quantidades de dados e outras chaves de criptografia dos dados. Ao contrário de chaves do KMS assimétricas, que não podem ser baixadas, as chaves de dados são devolvidas para você para uso fora do AWS KMS.
Quando AWS KMS gera chaves de dados, ele retorna uma chave de dados em texto simples para uso imediato (opcional) e uma cópia criptografada da chave de dados que você pode armazenar com segurança com os dados. Quando estiver pronto para descriptografar os dados, primeiro solicite a descriptografia da chave AWS KMS de dados criptografada.
AWS KMS gera, criptografa e descriptografa chaves de dados. No entanto, AWS KMS não armazena, gerencia nem rastreia suas chaves de dados nem executa operações criptográficas com chaves de dados. Você deve usar e gerenciar chaves de dados fora do AWS KMS. Para obter ajuda para usar as chaves de dados de forma segura, consulte a AWS Encryption SDK.
Tópicos
Criação de uma chave de dados
Para criar uma chave de dados, chame a GenerateDataKeyoperação. AWS KMS gera a chave de dados. Em seguida, ele criptografa uma cópia da chave de dados em uma chave do KMS de criptografia simétrica especificada por você. A operação retorna uma cópia em texto simples da chave de dados e a cópia da chave de dados criptografada de acordo com a chave do KMS. A imagem a seguir mostra essa operação.
AWS KMS também suporta a GenerateDataKeyWithoutPlaintextoperação, que retorna somente uma chave de dados criptografada. Quando precisar usar a chave de dados, peça AWS KMS para descriptografá-la.
Funcionamento das operações criptográficas com chaves de dados
Os tópicos a seguir explicam como as chaves de dados geradas por uma GenerateDataKeyWithoutPlaintextoperação GenerateDataKeyou funcionam.
Criptografia de dados com uma chave de dados
AWS KMS não é possível usar uma chave de dados para criptografar dados. Mas você pode usar a chave de dados fora dela AWS KMS, por exemplo, usando o OpenSSL ou uma biblioteca criptográfica como o. AWS Encryption SDK
Depois de usar a chave de dados de texto simples para criptografar dados e remova-a da memória assim que possível. Você pode armazenar seguramente as chaves de dados criptografadas com os dados criptografados para que estejam disponíveis para descriptografar os dados.
Descriptografia dos dados com uma chave de dados
Para descriptografar seus dados, passe a chave de dados criptografada para a operação Decrypt. AWS KMS usa sua chave KMS para descriptografar a chave de dados e, em seguida, retorna a chave de dados em texto simples. Use a chave de dados de texto simples para descriptografar seus dados e remove-a da memória assim que possível.
O diagrama a seguir mostra como usar a operação Decrypt para descriptografar uma chave de dados criptografada.
