Gerar chaves de dados - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerar chaves de dados

Chaves de dados são chaves simétricas que você pode usar para criptografar dados, inclusive grandes quantidades de dados e outras chaves de criptografia dos dados. Ao contrário de chaves do KMS assimétricas, que não podem ser baixadas, as chaves de dados são devolvidas para você para uso fora do AWS KMS.

Quando AWS KMS gera chaves de dados, ele retorna uma chave de dados em texto simples para uso imediato (opcional) e uma cópia criptografada da chave de dados que você pode armazenar com segurança com os dados. Quando estiver pronto para descriptografar os dados, primeiro solicite a descriptografia da chave AWS KMS de dados criptografada.

AWS KMS gera, criptografa e descriptografa chaves de dados. No entanto, AWS KMS não armazena, gerencia nem rastreia suas chaves de dados nem executa operações criptográficas com chaves de dados. Você deve usar e gerenciar chaves de dados fora do AWS KMS. Para obter ajuda para usar as chaves de dados de forma segura, consulte a AWS Encryption SDK.

Criação de uma chave de dados

Para criar uma chave de dados, chame a GenerateDataKeyoperação. AWS KMS gera a chave de dados. Em seguida, ele criptografa uma cópia da chave de dados em uma chave do KMS de criptografia simétrica especificada por você. A operação retorna uma cópia em texto simples da chave de dados e a cópia da chave de dados criptografada de acordo com a chave do KMS. A imagem a seguir mostra essa operação.

Gerar uma chave de dados

AWS KMS também suporta a GenerateDataKeyWithoutPlaintextoperação, que retorna somente uma chave de dados criptografada. Quando precisar usar a chave de dados, peça AWS KMS para descriptografá-la.

Funcionamento das operações criptográficas com chaves de dados

Os tópicos a seguir explicam como as chaves de dados geradas por uma GenerateDataKeyWithoutPlaintextoperação GenerateDataKeyou funcionam.

Criptografia de dados com uma chave de dados

AWS KMS não é possível usar uma chave de dados para criptografar dados. Mas você pode usar a chave de dados fora dela AWS KMS, por exemplo, usando o OpenSSL ou uma biblioteca criptográfica como o. AWS Encryption SDK

Depois de usar a chave de dados de texto simples para criptografar dados e remova-a da memória assim que possível. Você pode armazenar seguramente as chaves de dados criptografadas com os dados criptografados para que estejam disponíveis para descriptografar os dados.

Criptografe os dados do usuário fora do AWS KMS

Descriptografia dos dados com uma chave de dados

Para descriptografar seus dados, passe a chave de dados criptografada para a operação Decrypt. AWS KMS usa sua chave KMS para descriptografar a chave de dados e, em seguida, retorna a chave de dados em texto simples. Use a chave de dados de texto simples para descriptografar seus dados e remove-a da memória assim que possível.

O diagrama a seguir mostra como usar a operação Decrypt para descriptografar uma chave de dados criptografada.

Descriptografia de uma chave de dados