Chaves de domínio Tokens de domínio exportados Gerenciar estados de domínio

Domínios e estado do domínio

Uma coleção cooperativa de entidades internas confiáveis do AWS KMS dentro de um Região da AWS é chamada de um domínio. Um domínio inclui um conjunto de entidades confiáveis, um conjunto de regras e um conjunto de chaves secretas, chamadas chaves de domínio. As chaves de domínio são compartilhadas entre HSMs que são membros do domínio. Um estado de domínio consiste nos campos a seguir.

Nome: Um nome de domínio para identificar este domínio.
Membros: Uma lista de HSMs que são membros do domínio, incluindo sua chave de assinatura pública e chaves de acordo público.
Operadores: Uma lista de entidades, chaves de assinatura pública e uma função (operador do AWS KMS ou host de serviço) que representa os operadores deste serviço.
Regras: Uma lista de regras de quórum para cada comando que deve ser satisfeita para executar um comando no HSM.
Chaves de domínio: Uma lista de chaves de domínio (chaves simétricas) atualmente em uso no domínio.

O estado completo do domínio está disponível apenas no HSM. O estado do domínio é sincronizado entre os membros do domínio HSM como um token de domínio exportado.

Chaves de domínio

Todos os HSMs em um domínio compartilham um conjunto de chaves de domínio, {DK_r }. Essas chaves são compartilhadas por meio de uma rotina de exportação de estado de domínio. O estado do domínio exportado pode ser importado para qualquer HSM membro do domínio.

O conjunto de chaves de domínio, {DK_r }, sempre inclui uma chave de domínio ativa e várias chaves de domínio desativadas. As chaves de domínio são alternadas diariamente para garantir que o AWS está em conformidade com a Recomendação para o gerenciamento de chaves - Parte 1. Durante a alternância das chaves de domínio, todas as chaves KMS existentes criptografadas sob a chave de domínio de saída são criptografadas novamente sob a nova chave de domínio ativa. A chave de domínio ativa é usada para criptografar quaisquer novos EKTs. As chaves de domínio expiradas podem ser usadas apenas para descriptografar EKTs previamente criptografados por um número de dias equivalente ao número de chaves de domínio recentemente alternadas.

Tokens de domínio exportados

Há uma necessidade regular de sincronizar o estado entre os participantes do domínio. Isso é feito através da exportação do estado do domínio sempre que uma alteração é feita no domínio. O estado do domínio é exportado como um token de domínio exportado.

Nome: Um nome de domínio para identificar este domínio.
Membros: Uma lista de HSMs que são membros do domínio, incluindo suas chaves públicas de assinatura e acordo.
Operadores: Uma lista de entidades, chaves de assinatura pública e uma função que representa os operadores deste serviço.
Regras: Uma lista de regras de quórum para cada comando que deve ser satisfeita para executar um comando em um membro do domínio HSM.
Chaves de domínio criptografadas: Chaves de domínio criptografadas por envelope. As chaves de domínio são criptografadas pelo membro de assinatura para cada um dos membros listados acima, envoltas em sua chave de contrato público.
Assinatura: Uma assinatura no estado do domínio produzida por um HSM, necessariamente um membro do domínio que exportou o estado do domínio.

O token de domínio exportado forma a fonte fundamental de confiança para entidades que operam no domínio.

Gerenciar estados de domínio

O estado do domínio é gerenciado por meio de comandos autenticados por quórum. Essas alterações incluem modificar a lista de participantes confiáveis no domínio, modificar as regras de quórum para executar comandos HSM e alternar periodicamente as chaves de domínio. Esses comandos são autenticados um a um, e não por meio de operações de sessão autenticada, como mostrado na imagem a seguir.

Em seu estado inicializado e operacional, um HSM contém um conjunto de chaves de identidade assimétricas autogeradas, um par de chaves de assinatura e um par de chaves de estabelecimento de chave. Por um processo manual, um operador do AWS KMS pode estabelecer um domínio inicial a ser criado em um primeiro HSM de uma região. Este domínio inicial consiste em um estado de domínio completo, conforme definido anteriormente neste tópico. Ele é instalado por meio de um comando “join” para cada um dos membros do HSM definidos no domínio.

Depois que um HSM ingressou em um domínio inicial, ele fica vinculado às regras definidas nesse domínio. Essas regras regem os comandos que usam chaves criptográficas do cliente ou fazem alterações no estado do host ou do domínio. As operações de API de sessão autenticada que usam suas chaves criptográficas foram definidas anteriormente.

A imagem anterior mostra como um estado de domínio é modificado. O processo consiste em quatro etapas:

Um comando baseado em quórum é enviado para um HSM para modificar o domínio.
Um novo estado de domínio é gerado e exportado como um novo token de domínio exportado. O estado no HSM não é modificado, ou seja, a alteração não é promulgada no HSM.
Um segundo comando é enviado para cada um dos HSMs no token de domínio recém-exportado para atualizar seu estado de domínio com o novo token de domínio.
Os HSMs listados no novo token de domínio exportado podem autenticar o comando e o token de domínio. Eles também podem descompactar as chaves de domínio para atualizar o estado do domínio em todos os HSMs no domínio.

Os HSMs não se comunicam diretamente entre si. Em vez disso, um quórum de operadores solicita uma alteração no estado do domínio que resulta em um novo token de domínio exportado. Um membro de host de serviço do domínio é usado para distribuir o novo estado de domínio para cada HSM no domínio.

A saída e a adesão a um domínio são feitas por meio das funções de gerenciamento do HSM. A modificação do estado do domínio é feita através das funções de gerenciamento de domínio.

Sair do domínio: Faz com que um HSM saia de um domínio, excluindo da memória todos os resquícios e chaves daquele domínio.
Ingressar no domínio: Faz com que um HSM ingresse em um novo domínio ou atualize seu estado de domínio atual para o novo estado de domínio. O domínio existente é usado como fonte do conjunto inicial de regras para autenticar esta mensagem.
Criar um domínio: Faz com que um novo domínio seja criado em um HSM. Retorna um primeiro token de domínio que pode ser distribuído aos HSMs membros do domínio.
Modificar operadores: Adiciona ou remove operadores da lista de operadores autorizados e suas funções no domínio.
Modificar membros: Adiciona ou remove um HSM da lista de HSMs autorizados no domínio.
Modificar regras: Modifica o conjunto de regras de quórum necessárias para executar comandos em um HSM.
Alternar chaves de domínio: Faz com que uma nova chave de domínio seja criada e marcada como a chave de domínio ativa. Isso move a chave ativa existente para uma chave desativada e remove a chave desativada mais antiga do estado do domínio.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Operações internas do AWS KMS

Segurança de comunicação interna