Proteger o material de chave importada

O material de chave importada é protegido em trânsito e em repouso. Antes de importar o material da chave, você criptografa (ou “empacota”) o material da chave com a chave pública de um RSA par de chaves gerado nos módulos de segurança de AWS KMS hardware (HSMs) validados pelo Programa de Validação do Módulo Criptográfico FIPS140-2. Você pode criptografar o material da chave diretamente com a chave pública de empacotamento ou criptografar o material da chave com uma chave AES simétrica e, em seguida, criptografar a chave AES simétrica com a chave pública. RSA

Após o recebimento, AWS KMS descriptografa o material da chave com a chave privada correspondente em a AWS KMS HSM e o recriptografa sob uma chave AES simétrica que existe somente na memória volátil do. HSM Seu material principal nunca sai do HSM texto sem formatação. Ele é descriptografado somente enquanto está em uso e somente dentro dele. AWS KMS HSMs

O uso de sua KMS chave com material de chave importado é determinado exclusivamente pelas políticas de controle de acesso que você define na KMS chave. Além disso, você pode usar aliases e tags para identificar e controlar o acesso à KMS chave. É possível habilitar e desabilitar a chave, visualizar e monitorar a chave usando serviços como o AWS CloudTrail.

No entanto, você mantém a única cópia à prova de falhas do seu material de chave. Em troca dessa medida extra de controle, você é responsável pela durabilidade e disponibilidade geral do material chave importado. AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado.

Essa diferença em durabilidade é importante nos seguintes casos:

Quando você define um prazo de validade para o material de chaves importado, AWS KMS exclui o material de chaves depois que ele expira. AWS KMS não exclui a KMS chave nem seus metadados. Você pode criar um CloudWatch alarme da Amazon que o notifique quando o material de chave importado estiver se aproximando da data de expiração.

Você não pode excluir o material da chave que é AWS KMS gerado para uma KMS chave e não pode definir que o material da AWS KMS chave expire, embora você possa girá-lo.
Quando você exclui manualmente o material da chave importada, AWS KMS exclui o material da chave, mas não exclui a KMS chave ou seus metadados. Por outro lado, programar a exclusão da chave requer um período de espera de 7 a 30 dias, após o qual exclui AWS KMS permanentemente a KMS chave, seus metadados e seu material chave.
No caso improvável de certas falhas regionais que afetem AWS KMS (como perda total de energia), AWS KMS não é possível restaurar automaticamente o material de chave importado. No entanto, AWS KMS pode restaurar a KMS chave e seus metadados.

Você deve reter uma cópia do material de chave importado fora AWS de um sistema que você controla. Recomendamos que você armazene uma cópia exportável do material de chaves importado em um sistema de gerenciamento de chaves, como umHSM. Se o material de chave importado for excluído ou expirar, a KMS chave associada ficará inutilizável até que você reimporte o mesmo material de chave. Se o material da chave importada for perdido permanentemente, qualquer texto cifrado criptografado sob a KMS chave será irrecuperável.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Considerações espeicias para material de chave importado

Chaves do KMS em um repositório de chaves do CloudHSM