As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como um serviço gerenciado, AWS Key Management Service (AWS KMS) é protegido pelos procedimentos AWS globais de segurança de rede descritos em Amazon Web Services: Visão geral dos processos de segurança
Para acessar AWS KMS pela rede, você pode chamar as operações de AWS KMS API descritas na Referência da AWS Key Management Service API. AWS KMS requer o TLS 1.2 e recomenda o TLS 1.3 em todas as regiões. AWS KMS também suporta TLS híbrido pós-quântico para terminais AWS KMS de serviço em todas as regiões, exceto as regiões da China. AWS KMS não suporta TLS híbrido pós-quântico para endpoints FIPS em. AWS GovCloud (US) Para usar os endpoints padrão do AWS KMS ou endpoins do FIPS do AWS KMS, os clientes devem ser compatíveis com TLS 1.2 ou posterior. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos, como o Java 7 e versões posteriores, oferece suporte a esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Você pode chamar essas operações de API de qualquer local de rede, mas AWS KMS suporta condições de política global que permitem controlar o acesso a uma chave KMS com base no endereço IP de origem, na VPC e no VPC endpoint. É possível usar essas chaves de condição em políticas de chaves e em políticas do IAM. No entanto, essas condições podem AWS impedir o uso da chave KMS em seu nome. Para obter detalhes, consulte AWS chaves de condição globais.
Por exemplo, a declaração de política chave a seguir permite que os usuários que podem assumir a KMSTestRole função a usem AWS KMS key para as operações criptográficas especificadas, a menos que o endereço IP de origem seja um dos endereços IP especificados na política.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
} Isolamento de hosts físicos
A segurança da infraestrutura física que AWS KMS usa está sujeita aos controles descritos na seção Segurança física e ambiental do Amazon Web Services: Visão geral dos processos de segurança
AWS KMS é suportado por módulos dedicados de segurança de hardware reforçado (HSMs) projetados com controles específicos para resistir a ataques físicos. HSMs São dispositivos físicos que não têm uma camada de virtualização, como um hipervisor, que compartilha o dispositivo físico entre vários inquilinos lógicos. O material da chave AWS KMS keys é armazenado somente na memória volátil do HSMs, e somente enquanto a chave KMS está em uso. Essa memória é apagada quando o HSM sai do estado operacional, incluindo desligamentos e definições intencionais e não intencionais. Para obter informações detalhadas sobre a operação do AWS KMS HSMs, consulte Detalhes AWS Key Management Service criptográficos.
