As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança do AWS Key Management Service
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de um data center e de uma arquitetura de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como a segurança da nuvem e a segurança na nuvem:
+ **Segurança *da* nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam a AWS Key Management Service (AWS KMS), consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança *na* nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Além de sua configuração e uso de AWS KMS keys, você é responsável por outros fatores, incluindo a sensibilidade de seus dados, os requisitos da sua empresa e as leis e regulamentos aplicáveis. AWS KMS
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS Key Management Service. Ele mostra como configurar para atender AWS KMS aos seus objetivos de segurança e conformidade.
**Topics**
+ [Proteção de dados](data-protection.md)
+ [Gerenciamento de identidade e acesso](security-iam.md)
+ [Registro em log e monitoramento](security-logging-monitoring.md)
+ [Validação de conformidade](kms-compliance.md)
+ [Resiliência](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura](infrastructure-security.md)
# Proteção de dados em AWS Key Management Service
AWS Key Management Service armazena e protege suas chaves de criptografia para torná-las altamente disponíveis e, ao mesmo tempo, fornecer a você um controle de acesso forte e flexível.
**Topics**
+ [Proteger material de chave](#encryption-key-mgmt)
+ [Criptografia de dados](#data-encryption)
+ [Privacidade do tráfego entre redes](#inter-network-privacy)
## Proteger material de chave
Por padrão, AWS KMS gera e protege o material da chave criptográfica para chaves KMS. Além disso, AWS KMS oferece opções para materiais essenciais criados e protegidos externamente AWS KMS.
### Protegendo o material essencial gerado em AWS KMS
Quando você cria uma chave KMS, por padrão, AWS KMS gera e protege o material criptográfico da chave KMS.
Para proteger o material chave das chaves KMS, AWS KMS conta com uma frota distribuída de módulos de segurança de hardware validados pelo [FIPS 140-3 Security Level 3 (](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)). HSMs Cada AWS KMS HSM é um dispositivo de hardware dedicado e autônomo projetado para fornecer funções criptográficas dedicadas para atender aos requisitos de segurança e escalabilidade da. AWS KMS(Os HSMs que são AWS KMS usados nas regiões da China são certificados pela [OSCCA](https://www.oscca.gov.cn/) e estão em conformidade com todas as regulamentações chinesas pertinentes, mas não são validados pelo Programa de Validação do Módulo Criptográfico FIPS 140-3.)
O material de chave de uma chave do KMS é criptografado por padrão quando é gerado no HSM. O material da chave é descriptografado somente na memória volátil do HSM e somente por alguns milissegundos necessários para ser usado em uma operação criptográfica. Sempre que o material chave não está em uso ativo, ele é criptografado no HSM e transferido para um armazenamento persistente [altamente durável](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99,999999999%) e de baixa latência, onde permanece separado e isolado do. HSMs O material de chave em texto nunca deixa o [limite de segurança](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary) de HSM; ele nunca é gravado em disco ou em qualquer mídia de armazenamento persistente. (A única exceção é a chave pública de um par de chaves assimétricas, que não é secreta.)
AWS afirma como princípio fundamental de segurança que não há interação humana com material de chave criptográfica de texto simples de qualquer tipo em nenhum. AWS service (Serviço da AWS) Não há mecanismo para que ninguém, incluindo AWS service (Serviço da AWS) operadores, visualize, acesse ou exporte material chave em texto simples. Esse princípio se aplica mesmo durante falhas catastróficas e eventos de recuperação de desastres. O material de chave do cliente em texto simples AWS KMS é usado para operações criptográficas dentro do AWS KMS FIPS 140-3, validadas HSMs somente em resposta às solicitações autorizadas feitas ao serviço pelo cliente ou seu representante.
Para [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key), Conta da AWS quem cria a chave é o proprietário único e intransferível da chave. A conta proprietária tem controle total e exclusivo sobre as políticas de autorização que controlam o acesso à chave. Pois Chaves gerenciadas pela AWS, Conta da AWS tem controle total sobre as políticas do IAM que autorizam solicitações para o. AWS service (Serviço da AWS)
### Protegendo o material essencial gerado fora do AWS KMS
AWS KMS fornece alternativas aos principais materiais gerados em AWS KMS.
[Armazenamentos de chaves personalizadas](key-store-overview.md#custom-key-store-overview), um AWS KMS recurso opcional, permitem criar chaves KMS apoiadas por material de chaves que é gerado e usado externamente. AWS KMS As chaves KMS nos [armazenamentos de AWS CloudHSM chaves](keystore-cloudhsm.md) são apoiadas por chaves nos módulos AWS CloudHSM de segurança de hardware que você controla. Eles HSMs são certificados no [FIPS 140-2 Security Level 3 ou 140-3 Security Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html). As chaves KMS em [armazenamentos de chaves externos](keystore-external.md) são apoiadas por chaves em um gerenciador de chaves externo que você controla e gerencia externamente AWS, como um HSM físico em seu data center privado.
Outro recurso opcional permite [importar o material de chave](importing-keys.md) para uma chave do KMS. Para proteger o material de chaves importado enquanto ele está em trânsito AWS KMS, você criptografa o material de chaves usando uma chave pública de um par de chaves RSA gerado em um AWS KMS HSM. O material da chave importada é descriptografado em um AWS KMS HSM e recriptografado com uma chave simétrica no HSM. Como todo material de AWS KMS chave, o material de chave importado em texto simples nunca sai da HSMs criptografia. No entanto, o cliente que forneceu o material de chave é responsável pelo uso seguro, a durabilidade e a manutenção do material de chave fora do AWS KMS.
## Criptografia de dados
Os dados AWS KMS contidos consistem no material da chave de criptografia que eles representam. AWS KMS keys Esse material chave existe em texto simples somente nos módulos de segurança de AWS KMS hardware (HSMs) e somente quando está em uso. Caso contrário, o material de chave é criptografado e armazenado em armazenamento persistente durável.
O material de chaves AWS KMS gerado para as chaves KMS nunca sai do limite do AWS KMS HSMs não criptografado. Ele não é exportado ou transmitido em nenhuma operação de AWS KMS API. A exceção é para [chaves multirregionais](multi-region-keys-overview.md), em que AWS KMS usa um mecanismo de replicação entre regiões para copiar o material da chave de uma chave multirregional de um HSM em um Região da AWS para um HSM em outro. Região da AWS Para obter detalhes, consulte [Processo de replicação para chaves multirregionais](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html) em Detalhes AWS Key Management Service criptográficos.
**Topics**
+ [Criptografia em repouso](#encryption-at-rest)
+ [Criptografia em trânsito](#encryption-in-transit)
### Criptografia em repouso
AWS KMS gera material essencial para módulos de segurança AWS KMS keys de hardware compatíveis com [FIPS 140-3 Security Level 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs A única exceção são as regiões da China, onde as HSMs que AWS KMS usam para gerar chaves KMS estão em conformidade com todas as regulamentações chinesas pertinentes, mas não são validadas pelo Programa de Validação de Módulos Criptográficos FIPS 140-3. Quando não estiver em uso, o material de chave é criptografado por uma chave do HSM e gravado em um armazenamento durável e persistente. O material chave das chaves KMS e as chaves de criptografia que protegem o material da chave nunca saem do formato HSMs de texto simples.
A criptografia e o gerenciamento de material de chave para chaves do KMS são tratados inteiramente pelo AWS KMS.
Para obter mais detalhes, consulte [Trabalhando com AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html) detalhes AWS Key Management Service criptográficos.
### Criptografia em trânsito
O material de chaves AWS KMS gerado para chaves KMS nunca é exportado ou transmitido em operações de AWS KMS API. AWS KMS usa [identificadores de chave](concepts.md#key-id) para representar as chaves do KMS nas operações da API. Da mesma forma, o material de chaves KMS em [armazenamentos de chaves AWS KMS personalizadas](key-store-overview.md#custom-key-store-overview) não é exportável e nunca é transmitido em nossas operações AWS KMS de AWS CloudHSM API.
No entanto, algumas operações de AWS KMS API retornam [chaves de dados](data-keys.md). Além disso, os clientes podem usar operações de API para [importar material de chave](importing-keys.md) para chaves do KMS selecionadas.
Todas as chamadas de AWS KMS API devem ser assinadas e transmitidas usando o Transport Layer Security (TLS). AWS KMS requer o TLS 1.2 e recomenda o TLS 1.3 em todas as regiões. AWS KMS também suporta TLS híbrido pós-quântico para terminais AWS KMS de serviço em todas as regiões, exceto nas regiões da China. AWS KMS não suporta TLS híbrido pós-quântico para endpoints FIPS em. AWS GovCloud (US) Chamadas para o AWS KMS também exigem um pacote de codificação moderno que seja compatível com *sigilo de encaminhamento perfeito*, o que significa que o comprometimento de qualquer segredo, como uma chave privada, não compromete também a chave de sessão.
Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para usar AWS KMS endpoints padrão ou terminais AWS KMS FIPS, os clientes devem oferecer suporte ao TLS 1.2 ou posterior. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/). Para obter uma lista de endpoints AWS KMS FIPS, consulte [AWS Key Management Service endpoints e cotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) no. Referência geral da AWS
As comunicações entre os hosts do AWS KMS serviço HSMs são protegidas usando criptografia de curva elíptica (ECC) e padrão avançado de criptografia (AES) em um esquema de criptografia autenticado. Para obter mais detalhes, consulte [Segurança da comunicação interna](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html) em Detalhes AWS Key Management Service criptográficos.
## Privacidade do tráfego entre redes
AWS KMS suporta um Console de gerenciamento da AWS e um conjunto de operações de API que permitem criar, gerenciar AWS KMS keys e usá-las em operações criptográficas.
AWS KMS suporta duas opções de conectividade de rede da sua rede privada para AWS.
+ Uma conexão IPSec VPN pela internet
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/), que conecta sua rede interna a um Direct Connect local por meio de um cabo de fibra óptica Ethernet padrão.
Todas as chamadas de AWS KMS API devem ser assinadas e transmitidas usando o Transport Layer Security (TLS). As chamadas também exigem um conjunto de codificação moderno que seja compatível com o [sigilo de encaminhamento perfeito](https://en.wikipedia.org/wiki/Forward_secrecy). O tráfego para os módulos de segurança de hardware (HSMs) que armazenam material de chaves para chaves KMS é permitido somente de hosts de AWS KMS API conhecidos na rede AWS interna.
Para se conectar AWS KMS diretamente à sua nuvem privada virtual (VPC) sem enviar tráfego pela Internet pública, use VPC endpoints, desenvolvidos por. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Para obter mais informações, consulte [Conecte-se AWS KMS por meio de um VPC endpoint](kms-vpc-endpoint.md).
AWS KMS também oferece suporte a uma opção [híbrida de troca de chaves pós-quântica](pqtls.md) para o protocolo de criptografia de rede Transport Layer Security (TLS). Você pode usar essa opção com o TLS ao se conectar aos endpoints AWS KMS da API.
# Gerenciamento de identidade e acesso para AWS Key Management Service
AWS Identity and Access Management (IAM) ajuda você a controlar com segurança o acesso aos AWS recursos. Os administradores controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS KMS os recursos. Para obter mais informações, consulte [Usando políticas do IAM com AWS KMS](iam-policies.md).
As [políticas de chaves](key-policies.md) são o principal mecanismo para controlar o acesso às chaves KMS em AWS KMS. Cada chave do KMS deve ter uma política de chaves. Você também pode usar [políticas do IAM](iam-policies.md) e [concessões](grants.md), juntamente com políticas de chaves, para controlar o acesso às suas chaves do KMS. Para obter mais informações, consulte [Acesso e permissões de chave do KMS](control-access.md).
Se você estiver usando uma Amazon Virtual Private Cloud (Amazon VPC), você pode [criar uma interface de VPC endpoint](kms-vpc-endpoint.md) baseada na tecnologia Powered by. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Você também pode usar políticas de VPC endpoint para determinar quais diretores podem acessar seu AWS KMS endpoint, quais chamadas de API eles podem fazer e qual chave KMS eles podem acessar.
**Topics**
+ [AWS políticas gerenciadas para AWS Key Management Service](security-iam-awsmanpol.md)
+ [Usando funções vinculadas a serviços para AWS KMS](using-service-linked-roles.md)
# AWS políticas gerenciadas para AWS Key Management Service
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSKey ManagementServicePowerUser
É possível anexar a política `AWSKeyManagementServicePowerUser` às suas identidades do IAM.
É possível usar a política gerenciada pela `AWSKeyManagementServicePowerUser` para conceder às entidades principais do IAM em sua conta as permissões de um usuário avançado. Usuários avançados podem criar chaves do KMS, usar e gerenciar as chaves do KMS que eles criam e visualizar todas as chaves do KMS e identidades do IAM. Entidades principais que têm a política gerenciada `AWSKeyManagementServicePowerUser` também podem obter permissões de outras origens, incluindo políticas de chave, outras políticas do IAM e concessões.
`AWSKeyManagementServicePowerUser`é uma política AWS gerenciada do IAM. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**nota**
Permissões nesta política específicas para uma chave do KMS, como `kms:TagResource` e `kms:GetKeyRotationStatus`, só entram em vigor quando a política de chaves para essa chave do KMS [permite explicitamente que a Conta da AWS use as políticas do IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) para controlar o acesso à chave. Para determinar se uma permissão é específica para uma chave do KMS, consulte [AWS KMS permissões](kms-api-permissions-reference.md) e procure um valor de **KMS key** (Chave do KMS) na coluna **Resources** (Recursos).
Essa política concede a um usuário avançado permissões sobre qualquer chave do KMS com uma política de chave que permita a operação. Para permissões entre contas, como `kms:DescribeKey` e `kms:ListGrants`, isso pode incluir chaves do KMS em Contas da AWS não confiáveis. Para obter mais detalhes, consulte [Práticas recomendadas para políticas do IAM](iam-policies-best-practices.md) e [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md). Para determinar se uma permissão é válida em chaves do KMS em outras contas, consulte [AWS KMS permissões](kms-api-permissions-reference.md) e procure por um valor **Yes** (Sim) na coluna **Cross-account use** (Uso entre contas).
Para permitir que os diretores visualizem o AWS KMS console sem erros, o diretor precisa da [tag: GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) permission, que não está incluída na `AWSKeyManagementServicePowerUser` política. Você pode permitir essa permissão em uma política do IAM separada.
A política do IAM gerenciada [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) deve incluir as permissões a seguir.
+ Permite que as entidades principais criem chaves do KMS. Como esse processo inclui a definição da política de chaves, os usuários avançados podem conceder a si mesmos e a outros permissão para usar e gerenciar as chaves do KMS criadas por eles.
+ Permite que as entidades principais criem e excluam [aliases](kms-alias.md) e [tags](tagging-keys.md) em todas as chaves do KMS. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão para usar e gerenciar a chave do KMS. Para obter detalhes, consulte [ABAC para AWS KMS](abac.md).
+ Permite que as entidades principais obtenham informações detalhadas sobre todas as chaves do KMS, incluindo seu ARN de chave, configuração criptográfica, política de chaves, aliases, tags e [status de alternância](rotate-keys.md).
+ Permite que as entidades principais listem usuários, grupos e funções do IAM.
+ Essa política não permite que as entidades principais usem nem gerenciem chaves do KMS não criadas por eles. No entanto, eles podem alterar aliases e tags em todas as chaves do KMS, o que pode permitir ou negar permissão para usar ou gerenciar uma chave do KMS.
Para ver as permissões dessa política, consulte [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)na Referência de política AWS gerenciada.
## AWS política gerenciada: AWSService RoleForKeyManagementServiceCustomKeyStores
Não é possível anexar a `AWSServiceRoleForKeyManagementServiceCustomKeyStores` às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que dá AWS KMS permissão para visualizar os AWS CloudHSM clusters associados ao seu armazenamento de AWS CloudHSM chaves e criar a rede para oferecer suporte a uma conexão entre seu armazenamento de chaves personalizado e seu AWS CloudHSM cluster. Para obter mais informações, consulte [Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2](authorize-kms.md).
## AWS política gerenciada: AWSService RoleForKeyManagementServiceMultiRegionKeys
Não é possível anexar a `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que concede ao AWS KMS permissão para sincronizar todas as alterações no material de chave de uma chave primária multirregional com suas chaves-réplicas. Para obter mais informações, consulte [Autorizando a sincronização AWS KMS de chaves multirregionais](multi-region-auth-slr.md).
## AWS KMS atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS KMS desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página AWS KMS [Histórico do documento](dochistory.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md): atualizar para uma política existente. | AWS KMS adicionou um campo ID de declaração (`Sid`) à política gerenciada na versão v2 da política. | 21 de novembro de 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md): atualizar para uma política existente. | AWS KMS adicionou as `ec2:DescribeNetworkInterfaces` permissões `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`,, e para monitorar as alterações na VPC que contém seu AWS CloudHSM cluster para que AWS KMS possa fornecer mensagens de erro claras em caso de falhas. | 10 de novembro de 2023 |
| AWS KMS começou a rastrear as alterações | AWS KMS começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 10 de novembro de 2023 |
# Usando funções vinculadas a serviços para AWS KMS
AWS Key Management Service usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS KMS As funções vinculadas ao serviço são definidas AWS KMS e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS KMS porque você não precisa adicionar manualmente as permissões necessárias. AWS KMS define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS KMS pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus AWS KMS recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
Para ver detalhes sobre as atualizações de perfis vinculados ao serviço discutido neste tópico, consulte [AWS KMS atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2](authorize-kms.md)
+ [Autorizando a sincronização AWS KMS de chaves multirregionais](multi-region-auth-slr.md)
# Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2
Para oferecer suporte aos seus AWS CloudHSM principais armazenamentos, AWS KMS precisa de permissão para obter informações sobre seus AWS CloudHSM clusters. Ele também precisa de permissão para criar a infraestrutura de rede que conecta seu armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster. Para obter essas permissões, AWS KMS crie a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço em seu. Conta da AWS Os usuários que criam armazenamentos de AWS CloudHSM chaves devem ter a `iam:CreateServiceLinkedRole` permissão que lhes permita criar funções vinculadas a serviços.
Para ver detalhes sobre atualizações na política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gerenciada, consulte[AWS KMS atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Sobre a função AWS KMS vinculada ao serviço](#about-key-store-slr)
+ [Criar a função vinculada ao serviço](#create-key-store-slr)
+ [Editar a descrição de uma função vinculada ao serviço](#edit-key-store-slr)
+ [Excluir a função vinculada ao serviço](#delete-key-store-slr)
## Sobre a função AWS KMS vinculada ao serviço
Uma [função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) é uma função do IAM que dá permissão a um AWS serviço para chamar outros AWS serviços em seu nome. Ele foi projetado para facilitar o uso dos recursos de vários AWS serviços integrados sem precisar criar e manter políticas complexas de IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS KMS](using-service-linked-roles.md).
Para armazenamentos de AWS CloudHSM chaves, AWS KMS cria a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço com a política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gerenciada. Essa política concede as seguintes permissões à função:
+ [cloudHSM:describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — detecta alterações no AWS CloudHSM cluster que está anexado ao seu armazenamento de chaves personalizadas.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para criar o grupo de segurança que permite o fluxo de tráfego de rede entre AWS KMS e seu AWS CloudHSM cluster.
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para permitir o acesso à rede AWS KMS a partir da VPC que contém AWS CloudHSM seu cluster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para criar a interface de rede usada para comunicação entre AWS KMS e o AWS CloudHSM cluster.
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para remover todas as regras de saída do grupo de segurança criado. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — usado quando você [desconecta um armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) para excluir grupos de segurança que foram criados quando você conectou o armazenamento de AWS CloudHSM chaves.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — usado para monitorar alterações no grupo de segurança AWS KMS criado na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — usado para monitorar alterações na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — usado para monitorar alterações na rede da VPC que contém AWS CloudHSM seu cluster ACLs para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — usado para monitorar alterações nas interfaces de rede AWS KMS criadas na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Como a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço é confiável somente`cks.kms.amazonaws.com`, somente AWS KMS pode assumir essa função vinculada ao serviço. Essa função é limitada às operações que AWS KMS precisam visualizar seus AWS CloudHSM clusters e conectar um armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado. Ele não fornece AWS KMS nenhuma permissão adicional. Por exemplo, AWS KMS não tem permissão para criar, gerenciar ou excluir seus AWS CloudHSM clusters ou backups. HSMs
**Regiões**
Assim como o recurso de lojas AWS CloudHSM principais, a **AWSServiceRoleForKeyManagementServiceCustomKeyStores**função é suportada em todos os Regiões da AWS lugares AWS KMS e AWS CloudHSM está disponível. Para obter uma lista do Regiões da AWS que cada serviço suporta, consulte [AWS Key Management Service Endpoints e cotas e [AWS CloudHSM endpoints e cotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)](https://docs.aws.amazon.com/general/latest/gr/kms.html) no. *Referência geral da Amazon Web Services*
Para obter mais informações sobre como AWS os serviços usam funções vinculadas a serviços, consulte Como [usar funções vinculadas a serviços no Guia do usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) do IAM.
## Criar a função vinculada ao serviço
AWS KMS cria automaticamente a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço em sua Conta da AWS quando você cria um armazenamento de AWS CloudHSM chaves, se a função ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente.
## Editar a descrição de uma função vinculada ao serviço
Você não pode editar o nome da função ou as declarações da política na função vinculada ao serviço **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, mas você pode editar a descrição da função. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role), no *Guia do usuário do IAM*.
## Excluir a função vinculada ao serviço
AWS KMS não exclui a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço de sua, Conta da AWS mesmo que você tenha [excluído todos os seus armazenamentos de AWS CloudHSM chaves](delete-keystore.md). Embora atualmente não haja nenhum procedimento para excluir a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço, não assume essa função AWS KMS nem usa suas permissões, a menos que você tenha armazenamentos de chaves ativos AWS CloudHSM .
# Autorizando a sincronização AWS KMS de chaves multirregionais
Para oferecer suporte a [chaves multirregionais](multi-region-keys-auth.md), AWS KMS precisa de permissão para sincronizar as [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) de uma chave primária multirregional com suas chaves de réplica. Para obter essas permissões, AWS KMS crie a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço em seu. Conta da AWS Usuários que criam chaves multirregionias devem ter a permissão `iam:CreateServiceLinkedRole` para criar perfis vinculados a serviços.
Você pode ver o [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento que registra a AWS KMS sincronização de propriedades compartilhadas em seus AWS CloudTrail registros.
Para ver detalhes sobre atualizações na política **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gerenciada, consulte[AWS KMS atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Sobre a função vinculada ao serviço para chaves de várias regiões](#about-multi-region-slr)
+ [Criar a função vinculada ao serviço](#create-mrk-slr)
+ [Editar a descrição de uma função vinculada ao serviço](#edit-mrk-slr)
+ [Excluir a função vinculada ao serviço](#delete-mrk-slr)
## Sobre a função vinculada ao serviço para chaves de várias regiões
Uma [função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) é uma função do IAM que dá permissão a um AWS serviço para chamar outros AWS serviços em seu nome. Ele foi projetado para facilitar o uso dos recursos de vários AWS serviços integrados sem precisar criar e manter políticas complexas de IAM.
Para chaves multirregionais, AWS KMS cria a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço com a **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**política gerenciada. Essa política concede à função a permissão `kms:SynchronizeMultiRegionKey`, que permite sincronizar as propriedades compartilhadas de chaves de várias regiões.
Como a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço é confiável somente`mrk.kms.amazonaws.com`, somente AWS KMS pode assumir essa função vinculada ao serviço. Essa função é limitada às operações que AWS KMS precisam sincronizar propriedades compartilhadas de várias regiões. Ele não fornece AWS KMS nenhuma permissão adicional. Por exemplo, AWS KMS não tem permissão para criar, replicar ou excluir nenhuma chave KMS.
Para obter mais informações sobre como AWS os serviços usam funções vinculadas ao serviço, consulte Como [usar funções vinculadas ao serviço no Guia do usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Criar a função vinculada ao serviço
AWS KMS cria automaticamente a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço em sua Conta da AWS quando você cria uma chave multirregional, se a função ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente.
## Editar a descrição de uma função vinculada ao serviço
Você não pode editar o nome da função ou as declarações de política na função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço, mas você pode editar a descrição da função. Para obter mais informações, consulte [Editar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role), no *Manual do usuário do IAM*.
## Excluir a função vinculada ao serviço
AWS KMS não exclui a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço da sua Conta da AWS e você não pode excluí-la. No entanto, AWS KMS não assume a **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**função nem usa nenhuma de suas permissões, a menos que você tenha chaves multirregionais em sua Conta da AWS região.
# Registro e monitoramento em AWS Key Management Service
O monitoramento é uma parte importante para entender a disponibilidade, o estado e o uso das suas AWS KMS keys no AWS KMS. O monitoramento ajuda a manter a segurança, a confiabilidade, a disponibilidade e o desempenho de suas AWS soluções. AWS fornece várias ferramentas para monitorar suas chaves KMS.
**AWS CloudTrail Registros**
Cada chamada para uma operação de AWS KMS API é capturada como um evento em um AWS CloudTrail registro. Esses registros registram todas as chamadas de API do AWS KMS console e as chamadas feitas por AWS KMS outros AWS serviços. As chamadas de API entre contas, como uma chamada para usar uma chave KMS em outra Conta da AWS, são registradas nos CloudTrail registros de ambas as contas.
Ao solucionar problemas ou fazer auditorias, você pode usar o log para reconstruir o ciclo de vida de uma chave do KMS. Também é possível visualizar seu gerenciamento e uso da chave do KMS em operações de criptografia. Para obter mais informações, consulte [Registrando chamadas de AWS KMS API com AWS CloudTrail](logging-using-cloudtrail.md).
** CloudWatch Registros da Amazon**
Monitore, armazene e acesse seus arquivos de AWS CloudTrail log de outras fontes. Para obter mais informações, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
For AWS KMS, CloudWatch armazena informações úteis que ajudam você a evitar problemas com suas chaves KMS e os recursos que elas protegem. Para obter mais informações, consulte [Monitore as chaves KMS com a Amazon CloudWatch](monitoring-cloudwatch.md).
**Amazon EventBridge**
AWS KMS gera EventBridge eventos quando sua chave KMS é [girada](rotate-keys.md) ou [excluída](deleting-keys.md) ou o [material da chave importada em sua chave](importing-keys.md) KMS expira. Pesquise AWS KMS eventos (operações de API) e encaminhe-os para uma ou mais funções ou fluxos de destino para capturar informações de estado. Para obter mais informações, consulte [Monitore as chaves KMS com a Amazon EventBridge](kms-events.md) o [Guia do EventBridge usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
** CloudWatch Métricas da Amazon**
Você pode monitorar suas chaves KMS usando CloudWatch métricas, que coletam e processam dados brutos AWS KMS em métricas de desempenho. Os dados são registrados em intervalos de duas semanas para que você possa visualizar tendências de informações atuais e históricas. Isso ajuda você a entender como as suas chaves do KMS são usadas e como seu uso muda ao longo do tempo. Para obter informações sobre o uso de CloudWatch métricas para monitorar chaves KMS, consulte[AWS KMS métricas e dimensões](monitoring-cloudwatch.md#kms-metrics).
** CloudWatch Alarmes da Amazon**
Observe uma única métrica mudar ao longo de um período que você especificar. Depois, execute uma ou mais ações com base no valor da métrica relativa a um limite por um número de períodos. Por exemplo, você pode criar um CloudWatch alarme que é acionado quando alguém tenta usar uma chave KMS programada para ser excluída em uma operação criptográfica. Isso indica que a chave do KMS ainda está sendo usada e provavelmente não deve ser excluída. Para obter mais informações, consulte [Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente](deleting-keys-creating-cloudwatch-alarm.md).
**AWS Security Hub CSPM**
Você pode monitorar seu AWS KMS uso dos padrões do setor de segurança e da conformidade com as melhores práticas usando AWS Security Hub CSPM. O CSPM do Security Hub usa controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a atender a vários frameworks de conformidade. Para obter mais informações, consulte [Controles do AWS Key Management Service](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) no *Manual do usuário do AWS Security Hub *.
# Validação de conformidade para AWS Key Management Service
Auditores terceirizados avaliam a segurança e a conformidade AWS Key Management Service como parte de vários programas de AWS conformidade. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.
**Topics**
+ [Documentos de conformidade e segurança](#compliance-documents)
+ [Saiba mais](#compliance-more)
## Documentos de conformidade e segurança
Os seguintes documentos de conformidade e segurança abrangem AWS KMS. Para visualizá-los, use [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
+ Cloud Computing Compliance Controls Catalogue (C5)
+ ISO 27001:2013 Statement of Applicability (SoA)
+ Certificado ISO 27001:2013
+ ISO 27017:2015 Statement of Applicability (SoA)
+ Certificado ISO 27017:2015
+ ISO 27018:2015 Statement of Applicability (SoA)
+ Certificado ISO 27018:2014
+ Certificado ISO 9001:2015
+ Certificado de Conformidade do PCI DSS (AOC) e Resumo de Responsabilidade
+ Relatório Service Organization Controls (SOC) 1
+ Relatório Service Organization Controls (SOC) 2
+ Relatório de Confidencialidade Service Organization Controls (SOC) 2
+ FedRAMP-High
Para obter ajuda sobre AWS Artifact como usar, consulte [Como baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
## Saiba mais
Sua responsabilidade de conformidade ao usar AWS KMS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Se seu uso de AWS KMS estiver sujeito à conformidade com um padrão publicado, AWS fornece recursos para ajudar a:
+ [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/) — Esta página lista AWS os serviços que estão no escopo de programas de conformidade específicos. Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
+ [Guias de início rápido sobre segurança e conformidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — Esses guias de implantação discutem considerações arquitetônicas e fornecem etapas para a implantação de ambientes básicos focados em segurança e conformidade em. AWS
+ [AWS Recursos de conformidade](https://aws.amazon.com/compliance/resources/) — Essa coleção de pastas de trabalho e guias pode ser aplicada ao seu setor e local.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Esse AWS serviço avalia se suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes e os regulamentos do setor.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Este AWS serviço fornece uma visão abrangente do seu estado de segurança interno AWS. O Security Hub CSPM usa controles de segurança para avaliar seus AWS recursos e verificar sua conformidade com os padrões e as melhores práticas do setor de segurança. Para acessar uma lista dos serviços e controles aceitos, consulte a [Referência de controles do Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
# Resiliência em AWS Key Management Service
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Além da infraestrutura AWS global, AWS KMS oferece vários recursos para ajudar a suportar suas necessidades de resiliência e backup de dados. Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
## Isolamento regional
AWS Key Management Service (AWS KMS) é um serviço regional autossustentável que está disponível em todos. Regiões da AWS O design isolado regionalmente AWS KMS garante que um problema de disponibilidade em uma Região da AWS não afete a AWS KMS operação em nenhuma outra região. AWS KMS foi projetado para garantir *zero tempo de inatividade planejado*, com todas as atualizações de software e operações de escalonamento realizadas de forma perfeita e imperceptível.
O [Acordo AWS KMS de Nível de Serviço](https://aws.amazon.com/kms/sla/) (SLA) inclui um compromisso de serviço de 99,999% para todo o KMS. APIs Para cumprir esse compromisso, o AWS KMS garante que todos os dados e informações de autorização necessários para executar uma solicitação de API estejam disponíveis em todos os hosts regionais que recebem a solicitação.
A AWS KMS infraestrutura é replicada em pelo menos três zonas de disponibilidade (AZs) em cada região. Para garantir que várias falhas de host não afetem o AWS KMS desempenho, foi AWS KMS projetado para atender o AZs tráfego de clientes de qualquer região.
As alterações feitas nas propriedades ou permissões de uma chave do KMS são replicadas para todos os hosts na região a fim de garantir que a solicitação subsequente possa ser processada corretamente por qualquer host na região. As solicitações de [operações criptográficas](kms-cryptography.md#cryptographic-operations) usando sua chave KMS são encaminhadas para uma frota de módulos de segurança de AWS KMS hardware (HSMs), qualquer um dos quais pode realizar a operação com a chave KMS.
## Design de vários locatários
O design multilocatário AWS KMS permite que ele cumpra o SLA de disponibilidade de 99,999% e mantenha altas taxas de solicitação, ao mesmo tempo em que protege a confidencialidade de suas chaves e dados.
Há vários mecanismos de imposição de integridade implantados para garantir que a chave do KMS especificada para a operação criptográfica sempre seja a chave usada.
O material da chave em texto não criptografado para suas chaves do KMS é extensivamente protegido. Assim que é criado, o material da chave é criptografado no HSM e o material de chave criptografado é imediatamente movido para armazenamento seguro e de baixa latência. A chave criptografada é recuperada e descriptografada no HSM no momento do uso. A chave em texto não criptografado permanece na memória do HSM apenas pelo tempo necessário para a conclusão da operação criptográfica. Em seguida, ela é criptografada novamente no HSM e a chave criptografada é devolvida para o armazenamento. O material chave em texto simples nunca sai do HSMs; nunca é gravado no armazenamento persistente.
## Melhores práticas de resiliência em AWS KMS
Para otimizar a resiliência de seus AWS KMS recursos, considere as estratégias a seguir.
+ Para apoiar sua estratégia de backup e recuperação de desastres, considere o uso de *chaves de várias regiões*, que são chaves do KMS criadas em uma Região da AWS e replicadas somente para regiões que você especifica. Com chaves multirregionais, você pode mover recursos criptografados entre Regiões da AWS (dentro da mesma partição) sem nunca expor o texto simples e descriptografar o recurso, quando necessário, em qualquer uma das regiões de destino. As chaves de várias regiões relacionadas são interoperáveis porque compartilham o mesmo material de chave e ID de chave, mas têm políticas independentes de chave para controle de acesso em alta resolução. Para obter detalhes, consulte [Chaves de várias regiões em AWS KMS](multi-region-keys-overview.md).
+ Para proteger suas chaves em um serviço multilocatário AWS KMS, como, certifique-se de usar controles de acesso, incluindo políticas de [chaves e políticas](key-policies.md) de [IAM](iam-policies.md). Além disso, você pode enviar suas solicitações para AWS KMS usar um *endpoint de interface VPC desenvolvido* por. AWS PrivateLink Quando você faz isso, toda a comunicação entre sua Amazon VPC AWS KMS é conduzida inteiramente dentro da AWS rede usando um AWS KMS endpoint dedicado restrito à sua VPC. É possível proteger adicionalmente essas solicitações criando uma camada adicional de autorização usando [políticas de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy). Para obter mais detalhes, consulte [Conectar-se ao AWS KMS por meio de um endpoint da VPC](kms-vpc-endpoint.md).
# Segurança da infraestrutura em AWS Key Management Service
Como um serviço gerenciado, AWS Key Management Service (AWS KMS) é protegido pelos procedimentos AWS globais de segurança de rede descritos em [Amazon Web Services: Visão geral dos processos de segurança](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Para acessar AWS KMS pela rede, você pode chamar as operações de AWS KMS API descritas na [Referência da AWS Key Management Service API](https://docs.aws.amazon.com/kms/latest/APIReference/). AWS KMS requer o TLS 1.2 e recomenda o TLS 1.3 em todas as regiões. AWS KMS também suporta TLS híbrido pós-quântico para terminais AWS KMS de serviço em todas as regiões, exceto as regiões da China. AWS KMS não suporta TLS híbrido pós-quântico para endpoints FIPS em. AWS GovCloud (US) Para usar os [endpoints padrão do AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html) ou [endpoins do FIPS do AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html), os clientes devem ser compatíveis com TLS 1.2 ou posterior. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos, como o Java 7 e versões posteriores, oferece suporte a esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Você pode chamar essas operações de API de qualquer local de rede, mas AWS KMS suporta condições de política global que permitem controlar o acesso a uma chave KMS com base no endereço IP de origem, na VPC e no VPC endpoint. É possível usar essas chaves de condição em políticas de chaves e em políticas do IAM. No entanto, essas condições podem AWS impedir o uso da chave KMS em seu nome. Para obter detalhes, consulte [AWS chaves de condição globais](conditions-aws.md).
Por exemplo, a declaração de política chave a seguir permite que os usuários que podem assumir a `KMSTestRole` função a usem AWS KMS key para as [operações criptográficas](kms-cryptography.md#cryptographic-operations) especificadas, a menos que o endereço IP de origem seja um dos endereços IP especificados na política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## Isolamento de hosts físicos
A segurança da infraestrutura física que AWS KMS usa está sujeita aos controles descritos na seção **Segurança física e ambiental** do [Amazon Web Services: Visão geral dos processos de segurança](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf). É possível encontrar mais detalhes em relatórios de conformidade e em descobertas de auditoria de terceiros listados na seção anterior.
AWS KMS é suportado por módulos dedicados de segurança de hardware reforçado (HSMs) projetados com controles específicos para resistir a ataques físicos. HSMs São dispositivos físicos que *não* têm uma camada de virtualização, como um hipervisor, que compartilha o dispositivo físico entre vários inquilinos lógicos. O material da chave AWS KMS keys é armazenado somente na memória volátil do HSMs, e somente enquanto a chave KMS está em uso. Essa memória é apagada quando o HSM sai do estado operacional, incluindo desligamentos e definições intencionais e não intencionais. Para obter informações detalhadas sobre a operação do AWS KMS HSMs, consulte [Detalhes AWS Key Management Service criptográficos](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).