域和域状态 - AWS Key Management Service
域密钥导出的域令牌管理域状态

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

域和域状态

AWS 区域 内受信任的 AWS KMS 实体的协作集合称为域。域包括一组受信任的实体、一组规则和一组机密密钥(称为域密钥)。域密钥在作为域成员的 HSM 之间共享。域状态包括以下字段。

名称

用于标识此域的域名。

成员

作为域成员的 HSM 列表,包括其公有签名密钥和公有协议密钥。

运算符

实体、公有签名密钥和代表此服务运营商的角色(AWS KMS 运营商或服务主机)的列表。

规则

在 HSM 上运行的每条命令必须满足的仲裁规则列表。

域密钥

域中当前正在使用的域密钥(对称密钥)列表。

完整域状态仅在 HSM 上可用。域状态作为导出的域令牌在 HSM 域成员之间同步。

域密钥

域中的所有 HSM 均共享一组域密钥 {DKr }。这些密钥通过域状态导出例程共享。导出的域状态可以导入作为域成员的任何 HSM 中。

域密钥 {DKr } 组始终包含一个活动域密钥和多个停用的域密钥。域密钥每天轮换,以确保 AWS 符合 Recommendation for Key Management - Part 1 的要求。域密钥轮换期间,在传出域密钥下加密的所有现有 KMS 密钥将在新的活动域密钥下重新加密。活动域密钥用于加密任何新 EKT。过期的域密钥只能用于解密以前加密的 EKT,其天数相当于最近轮换的域密钥的数量。

导出的域令牌

我们经常需要在域参与者之间同步状态。这可以通过在对域进行更改时导出域状态来实现。域状态将导出为导出的域令牌。

名称

用于标识此域的域名。

成员

作为域成员的 HSM 列表,包括其签名和协议公有密钥。

运算符

实体、公有签名密钥和代表此服务运营商的角色的列表。

规则

在 HSM 域成员上运行的每条命令必须满足的仲裁规则列表。

加密的域密钥

信封加密的域密钥。域密钥通过上面列出的每个成员的签名成员进行加密,然后封装到其公有协议密钥中。

签名

由 HSM 生成的域状态签名,必须是导出域状态的域成员。

导出的域令牌构成域内运行的实体的基本信任源。

管理域状态

域状态通过经仲裁身份验证的命令进行管理。这些更改包括修改域中受信任参与者的列表、修改用于运行 HSM 命令的仲裁规则以及定期轮换域密钥。这些命令将按每条命令进行身份验证,而不是经过身份验证的会话操作,如下面的图像所示。

处于初始化和运行状态的 HSM 包含一组自行生成的非对称身份密钥、一个签名密钥对和一个密钥建立密钥对。通过手动过程,AWS KMS 运营商可以建立要在区域中第一个 HSM 上创建的初始域。此初始域包含完整的域状态,如本主题中之前所定义。它通过连接命令安装到域中定义的每个 HSM 成员。

HSM 加入初始域后,它将绑定到该域中定义的规则。这些规则管理使用客户加密密钥或者更改主机或域状态的命令。使用加密密钥的经过身份验证的会话 API 操作在之前已定义。

域管理。

上图描述了如何修改域状态。该过程包括四个步骤:

  1. 向 HSM 发送基于仲裁的命令以修改域。

  2. 将生成新的域状态,并将其导出为新的导出域令牌。HSM 上的状态未修改,这意味着更改未在 HSM 上实施。

  3. 向新导出的域令牌中的每个 HSM 发送第二条命令,以使用新的域令牌更新其域状态。

  4. 新导出的域令牌中列出的 HSM 可以对命令和域令牌进行身份验证。它们还可以解压缩域密钥,以更新域中所有 HSM 上的域状态。

HSM 彼此之间不直接通信。相反,一定数量的运营商会请求更改域状态,从而生成新的导出域令牌。域的服务主机成员用于将新的域状态分发给域中的每个 HSM。

域的离开和加入通过 HSM 管理功能完成。域状态的修改通过域管理功能完成。

离开域

使 HSM 离开域,从内存中删除该域的所有剩余部分和密钥。

加入域

使 HSM 加入新域或将其当前域状态更新为新域状态。现有域用作对此消息进行身份验证的初始规则集的来源。

创建域

导致在 HSM 上创建新域。返回可分发给域的成员 HSM 的第一个域令牌。

修改运营商

从域中授权运营商及其角色的列表中添加或删除运营商。

修改成员

从域中授权 HSM 的列表中添加或删除 HSM。

修改规则

修改在 HSM 上运行命令所需的仲裁规则集。

轮换域密钥

导致创建新的域密钥并将其标记为活动域密钥。这会将现有活动密钥移动到已停用的密钥,并从域状态中删除最旧的已停用密钥。