As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Repositórios de chaves

Um repositório de chaves é um local seguro para armazenar e usar chaves de criptografia. O armazenamento de chaves padrão AWS KMS também oferece suporte a métodos para gerar e gerenciar as chaves que ele armazena. Por padrão, o material da chave criptográfica AWS KMS keys que você cria AWS KMS é gerado e protegido por módulos de segurança de hardware (HSMs) que são Padrões NIST Federais de Processamento de Informações () Programa de Validação de Módulos Criptográficos 140 (FIPS) Módulos criptográficos validados 140-2 Nível 3. FIPS O material chave para suas KMS chaves nunca sai HSMs sem criptografia.

AWS KMS suporta vários tipos de armazenamentos de chaves para proteger suas chaves. Material usado AWS KMS para criar e gerenciar suas chaves de criptografia. Todas as opções de armazenamento de chaves fornecidas pela AWS KMS são continuamente validadas abaixo de FIPS 140 no nível de segurança 3 e foram projetadas para impedir que qualquer pessoa, incluindo AWS operadores, acesse suas chaves de texto simples ou as use sem sua permissão.

AWS KMS armazenamento de chaves padrão

Por padrão, uma KMS chave é criada usando o padrão AWS KMS HSM. Esse HSM tipo pode ser considerado uma frota multilocatária HSMs que permite o armazenamento de chaves mais escalável, de menor custo e mais fácil de gerenciar do seu ponto de vista. Se você quiser criar uma KMS chave para uso em uma ou mais Serviços da AWS , para que o serviço possa criptografar seus dados em seu nome, você criará uma chave simétrica. Se você estiver usando uma KMS chave para o design do seu próprio aplicativo, poderá optar por criar uma chave de criptografia simétrica, uma chave assimétrica ou uma chave. HMAC

Na opção de armazenamento de chaves padrão, AWS KMS cria sua chave e a criptografa com as chaves que o serviço gerencia internamente. Em seguida, várias cópias de versões criptografadas de suas chaves serão armazenadas em sistemas projetados visando durabilidade. Gerar e proteger seu material de chaves no tipo de armazenamento de chaves padrão permite que você aproveite ao máximo a escalabilidade, a disponibilidade e a durabilidade AWS KMS com a menor carga operacional e o menor custo dos armazenamentos de AWS chaves.

AWS KMS armazenamento de chaves padrão com material de chave importado

Em vez de pedir AWS KMS para gerar e armazenar as únicas cópias de uma determinada chave, você pode optar por importar o material da chave AWS KMS, permitindo gerar sua própria chave de criptografia simétrica de 256 bits, chave de curva elíptica (ECC) RSA ou chave de código de autenticação de mensagem baseado em hash (HMAC) e aplicá-la a um identificador de chave (). KMS keyId Às vezes, isso é chamado de traga sua própria chave (BYOK). O material de chaves importado do seu sistema de gerenciamento de chaves local deve ser protegido usando uma chave pública emitida por AWS KMS, um algoritmo de empacotamento criptográfico compatível e um token de importação baseado em tempo fornecido pela. AWS KMS Esse processo verifica se sua chave criptografada e importada só pode ser descriptografada AWS KMS HSM depois de sair do seu ambiente.

O material de chaves importado pode ser útil se você tiver requisitos específicos no sistema que gera chaves ou se quiser uma cópia externa da chave AWS como backup. Observe que você será responsável pela disponibilidade e durabilidade gerais do material de chave importado. Embora AWS KMS tenha uma cópia de sua chave importada e permaneça altamente disponível enquanto você precisar dela, as chaves importadas oferecem um especial API para exclusão — DeleteImportedKeyMaterial. Isso API excluirá imediatamente todas as cópias do material de chave importado que AWS KMS possui, sem AWS a opção de recuperar a chave. Além disso, você pode definir um prazo de validade em uma chave importada, após o qual a chave ficará inutilizável. Para tornar a chave útil novamente AWS KMS, você precisará reimportar o material da chave e atribuí-lo ao mesmokeyId. Essa ação de exclusão para chaves importadas é diferente das chaves padrão que são AWS KMS geradas e armazenadas para você em seu nome. No caso padrão, o processo de exclusão de chaves tem um período de espera obrigatório durante o qual o uso de uma chave programada para exclusão é bloqueado pela primeira vez. Essa ação permite que você veja erros de acesso negado nos registros de qualquer aplicativo ou AWS serviço que possa precisar dessa chave para acessar os dados. Se você receber essas solicitações de acesso, poderá optar por cancelar a exclusão programada e reativar a chave. Após um período de espera configurável (entre 7 e 30 dias), somente então KMS realmente excluirá o material da chave, o KeyID e todos os metadados associados à chave. Para obter mais informações sobre disponibilidade e durabilidade, consulte Proteção do material de chaves importadas no Guia do AWS KMS desenvolvedor.

É necessário ter ciência de algumas limitações adicionais com o material de chave importado. Como o AWS KMS não é capaz de gerar novo material de chave, não há como configurar a alternância automática de chaves importadas. Você precisará criar uma nova KMS chave com uma nova e, em seguidakeyId, importar um novo material de chave para obter uma rotação efetiva. Além disso, textos cifrados criados AWS KMS sob uma chave simétrica importada não podem ser facilmente descriptografados usando sua cópia local da chave externa. AWS Isso ocorre porque o formato de criptografia autenticado usado pelo AWS KMS acrescenta metadados adicionais ao texto cifrado para fornecer garantias durante a operação de descriptografia de que o texto cifrado foi criado pela chave esperada em uma operação de criptografia anterior. KMS A maioria dos sistemas criptográficos externos não saberá como analisar esses metadados para obter acesso ao texto cifrado bruto e usar sua cópia de uma chave simétrica. Textos cifrados criados sob chaves assimétricas importadas (por exemplo, RSA ouECC) podem ser usados fora da AWS KMS parte correspondente (pública ou privada) da chave porque não há metadados adicionais adicionados ao texto cifrado. AWS KMS

AWS KMS lojas de chaves personalizadas

No entanto, se você precisar de ainda mais controle doHSMs, poderá criar um armazenamento de chaves personalizado.

Um armazenamento de chaves personalizado é um armazenamento de chaves interno AWS KMS que é apoiado por um gerenciador de chaves externo AWS KMS, que você possui e gerencia. Os armazenamentos de chaves personalizados combinam a interface de gerenciamento de chaves conveniente e abrangente AWS KMS com a capacidade de possuir e controlar o material chave e as operações criptográficas. Quando você usa uma KMS chave em um armazenamento de chaves personalizado, as operações criptográficas são executadas pelo seu gerenciador de chaves usando suas chaves criptográficas. Como resultado, você assume mais responsabilidade pela disponibilidade e durabilidade das chaves criptográficas e pela operação doHSMs.

Possuir sua propriedade HSMs pode ser útil para ajudar a atender a certos requisitos regulatórios que ainda não permitem que serviços web multilocatários, como o armazenamento de KMS chaves padrão, mantenham suas chaves criptográficas. Os armazenamentos de chaves personalizados não são mais seguros do que os armazenamentos AWS de KMS chaves gerenciados pelo usuárioHSMs, mas têm implicações de gerenciamento e custo diferentes (e maiores). Como resultado, você assume mais responsabilidade pela disponibilidade e durabilidade das chaves criptográficas e pela operação doHSMs. Independentemente de você usar o armazenamento de chaves padrão com AWS KMS HSMs ou um armazenamento de chaves personalizado, o serviço foi projetado para que ninguém, incluindo AWS funcionários, possa recuperar suas chaves de texto simples ou usá-las sem sua permissão. AWS KMS suporta dois tipos de armazenamento de chaves personalizadas:

Recursos sem suporte

AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizadas.

AWS CloudHSM armazenamento de chaves

Você pode criar uma KMS chave em um AWS CloudHSMarmazenamento de chaves, onde as chaves do usuário raiz são geradas, armazenadas e usadas em um AWS CloudHSM cluster que você possui e gerencia. As solicitações AWS KMS para usar uma chave para alguma operação criptográfica são encaminhadas ao seu AWS CloudHSM cluster para realizar a operação. Embora um AWS CloudHSM cluster seja hospedado por AWS, ele é uma solução de inquilino único gerenciada e operada diretamente por você. Você é o proprietário de grande parte da disponibilidade e do desempenho das KMS chaves em um AWS CloudHSM cluster. Para ver se um armazenamento de chaves AWS CloudHSM personalizadas é adequado às suas necessidades, leia Os armazenamentos de chaves AWS KMS personalizadas são adequados para você? no blog AWS de segurança.

Armazenamento de chaves externas

Você pode configurar AWS KMS para usar um Armazenamento de Chaves Externo (XKS), onde as chaves do usuário raiz são geradas, armazenadas e usadas em um sistema de gerenciamento de chaves fora do Nuvem AWS. As solicitações para o AWS KMS usar uma chave para alguma operação criptográfica são encaminhadas ao seu sistema hospedado externamente realizar a operação. Especificamente, as solicitações são encaminhadas para um XKS proxy em sua rede, que então encaminha a solicitação para qualquer sistema criptográfico usado. O XKS Proxy é uma especificação de código aberto com a qual qualquer pessoa pode se integrar. Muitos fornecedores comerciais de gerenciamento de chaves oferecem suporte à especificação XKS Proxy. Como um repositório de chaves externo é hospedado por você ou por terceiros, você é o proprietário de toda a disponibilidade, durabilidade e desempenho das chaves no sistema. Para ver se um armazenamento externo de chaves é adequado às suas necessidades, leia Anunciando o armazenamento AWS KMS externo de chaves (XKS) no blog de AWS notícias.