As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Um repositório de chaves é um local seguro para armazenar e usar chaves de criptografia. O armazenamento de chaves padrão AWS KMS também oferece suporte a métodos para gerar e gerenciar as chaves que ele armazena. Por padrão, o material da chave criptográfica AWS KMS keys que você cria AWS KMS é gerado e protegido por módulos de segurança de hardware (HSMs) que são o Programa de Validação do Módulo Criptográfico FIPS 140-3
AWS KMS oferece suporte a vários tipos de armazenamentos de chaves para proteger seu material de chaves ao usá-lo AWS KMS para criar e gerenciar suas chaves de criptografia. Todas as opções de armazenamento de chaves fornecidas pela AWS KMS são continuamente validadas de acordo com o FIPS 140-3 no nível de segurança 3 e foram projetadas para impedir que qualquer pessoa, incluindo AWS operadores, acesse suas chaves de texto simples ou as use sem sua permissão.
AWS KMS armazenamento de chaves padrão
Por padrão, uma chave KMS é criada usando o AWS KMS HSM padrão. Esse tipo de HSM pode ser considerado uma frota multilocatária HSMs que permite o armazenamento de chaves mais escalável, de menor custo e mais fácil de gerenciar do seu ponto de vista. Se você estiver criando uma chave KMS para uso em uma ou mais Serviços da AWS , para que o serviço possa criptografar seus dados em seu nome, você criará uma chave simétrica. Se você estiver usando uma chave do KMS para o design de sua própria aplicação, poderá optar por criar uma chave de criptografia simétrica, uma chave assimétrica ou uma chave de HMAC.
Na opção de armazenamento de chaves padrão, AWS KMS cria sua chave e a criptografa com as chaves que o serviço gerencia internamente. Em seguida, várias cópias de versões criptografadas de suas chaves serão armazenadas em sistemas projetados visando durabilidade. Gerar e proteger seu material de chaves no tipo de armazenamento de chaves padrão permite que você aproveite ao máximo a escalabilidade, a disponibilidade e a durabilidade AWS KMS com a menor carga operacional e o menor custo dos armazenamentos de AWS chaves.
AWS KMS armazenamento de chaves padrão com material de chave importado
Em vez de solicitar AWS KMS a geração e o armazenamento das únicas cópias de uma determinada chave, você pode optar por importar o material da chave AWS KMS, permitindo gerar sua própria chave de criptografia simétrica de 256 bits, chave RSA ou curva elíptica (ECC) ou chave de Código de Autenticação de Mensagens Baseadas em Hash (HMAC) e aplicá-la a um identificador de chave KMS (KeyID). Às vezes, isso é chamado de traga sua própria chave (BYOK). O material de chaves importado do seu sistema de gerenciamento de chaves local deve ser protegido usando uma chave pública emitida por AWS KMS, um algoritmo de empacotamento criptográfico compatível e um token de importação baseado em tempo fornecido pela. AWS KMS Esse processo verifica se sua chave criptografada e importada só pode ser descriptografada por um HSM do AWS KMS após ter deixado seu ambiente.
O material de chaves importado pode ser útil se você tiver requisitos específicos no sistema que gera chaves ou se quiser uma cópia externa da chave AWS como backup. Observe que você será responsável pela disponibilidade e durabilidade gerais do material de chave importado. Embora AWS KMS tenha uma cópia de sua chave importada e permaneça altamente disponível enquanto você precisar dela, as chaves importadas oferecem uma API especial para exclusão — DeleteImportedKeyMaterial. Essa API excluirá imediatamente todas as cópias do material de chave importado que AWS KMS possui, sem AWS a opção de recuperar a chave. Além disso, você pode definir um prazo de validade em uma chave importada, após o qual a chave ficará inutilizável. Para tornar a chave útil novamente AWS KMS, você precisará reimportar o material da chave e atribuí-lo ao mesmo KeyID. Essa ação de exclusão para chaves importadas é diferente das chaves padrão que são AWS KMS geradas e armazenadas para você em seu nome. No caso padrão, o processo de exclusão de chaves tem um período de espera obrigatório durante o qual o uso de uma chave programada para exclusão é bloqueado pela primeira vez. Essa ação permite que você veja erros de acesso negado nos registros de qualquer aplicativo ou AWS serviço que possa precisar dessa chave para acessar os dados. Se você receber essas solicitações de acesso, poderá optar por cancelar a exclusão programada e reativar a chave. Depois de um período de espera configurável (entre 7 e 30 dias), somente então o KMS realmente excluirá o material da chave, o KeyID e todos os metadados associados à chave. Para obter mais informações sobre disponibilidade e durabilidade, consulte Proteção do material de chaves importadas no Guia do AWS KMS desenvolvedor.
É necessário ter ciência de algumas limitações adicionais com o material de chave importado. Como o AWS KMS não é capaz de gerar novo material de chave, não há como configurar a alternância automática de chaves importadas. Você precisará criar uma nova chave do KMS com uma nova keyId e, em seguida, importar o novo material de chave para obter uma alternância efetiva. Além disso, textos cifrados criados AWS KMS sob uma chave simétrica importada não podem ser facilmente descriptografados usando sua cópia local da chave externa. AWS Isso ocorre porque o formato de criptografia autenticado usado pelo AWS KMS acrescenta metadados adicionais ao texto cifrado para fornecer garantias durante a operação de descriptografia de que o texto cifrado foi criado pela chave KMS esperada em uma operação de criptografia anterior. A maioria dos sistemas criptográficos externos não saberá como analisar esses metadados para obter acesso ao texto cifrado bruto e usar sua cópia de uma chave simétrica. Textos cifrados criados sob chaves assimétricas importadas (por exemplo, RSA ou ECC) podem ser usados fora da AWS KMS parte correspondente (pública ou privada) da chave porque não há metadados adicionais adicionados ao texto cifrado. AWS KMS
AWS KMS lojas de chaves personalizadas
No entanto, se você precisar de ainda mais controle do HSMs, poderá criar um armazenamento de chaves personalizado.
Um armazenamento de chaves personalizado é um armazenamento de chaves interno AWS KMS que é apoiado por um gerenciador de chaves externo AWS KMS, que você possui e gerencia. Os armazenamentos de chaves personalizados combinam a interface de gerenciamento de chaves conveniente e abrangente AWS KMS com a capacidade de possuir e controlar o material chave e as operações criptográficas. Ao usar uma chave do KMS em um armazenamento de chaves personalizado, as operações de criptografia são executadas pelo gerenciador de chaves usando chaves de criptografia. Como resultado, você assume mais responsabilidade pela disponibilidade e durabilidade das chaves criptográficas e pela operação do HSMs.
Possuir sua propriedade HSMs pode ser útil para ajudar a atender a certos requisitos regulatórios que ainda não permitem que serviços web multilocatários, como o armazenamento de chaves KMS padrão, mantenham suas chaves criptográficas. Os armazenamentos de chaves personalizados não são mais seguros do que os armazenamentos de chaves KMS AWS gerenciados pelo HSMs usuário, mas têm implicações de gerenciamento e custo diferentes (e maiores). Como resultado, você assume mais responsabilidade pela disponibilidade e durabilidade das chaves criptográficas e pela operação do HSMs. Independentemente de você usar o armazenamento de chaves padrão com AWS KMS HSMs ou um armazenamento de chaves personalizado, o serviço foi projetado para que ninguém, incluindo AWS funcionários, possa recuperar suas chaves de texto simples ou usá-las sem sua permissão. AWS KMS suporta dois tipos de armazenamentos de chaves personalizados, armazenamentos de AWS CloudHSM chaves e armazenamentos de chaves externos.
Recursos sem suporte
AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizadas.
AWS CloudHSM armazenamento de chaves
Você pode criar uma chave KMS em um armazenamento de AWS CloudHSM
Armazenamento de chaves externas
Você pode configurar AWS KMS para usar um Armazenamento de Chaves Externo (XKS), onde as chaves do usuário raiz são geradas, armazenadas e usadas em um sistema de gerenciamento de chaves fora do Nuvem AWS. As solicitações para o AWS KMS usar uma chave para alguma operação criptográfica são encaminhadas ao seu sistema hospedado externamente realizar a operação. Mais especificamente, as solicitações são encaminhadas para um XKS Proxy em sua rede, que então encaminha a solicitação para qualquer sistema criptográfico que você usa. O XKS Proxy tem uma especificação de código aberto com a qual qualquer pessoa pode se integrar. Muitos fornecedores comerciais de gerenciamento de chaves são compatíveis com a especificação XKS Proxy. Como um repositório de chaves externo é hospedado por você ou por terceiros, você é o proprietário de toda a disponibilidade, durabilidade e desempenho das chaves no sistema. Para ver se um armazenamento externo de chaves é adequado às suas necessidades, leia Anunciando o armazenamento AWS KMS externo de chaves (XKS) no blog
