中的資料保護 AWS Key Management Service - AWS Key Management Service
保護金鑰資料資料加密網際網路隱私權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的資料保護 AWS Key Management Service

AWS Key Management Service 會儲存和保護您的加密金鑰,使其高度可用,同時為您提供強大且靈活的存取控制。

保護金鑰資料

根據預設, AWS KMS 會產生並保護KMS金鑰的密碼編譯金鑰材料。此外,為在 之外建立和保護的金鑰材料 AWS KMS 提供選項 AWS KMS。

保護 中產生的金鑰材料 AWS KMS

當您建立KMS金鑰時,預設會產生 AWS KMS 並保護KMS金鑰的密碼編譯材料。

為了保護KMS金鑰的金鑰材料, AWS KMS 仰賴 FIPS 140-2 安全層級 3 驗證硬體安全模組的分散式機群 (HSMs)。每個 AWS KMS HSM 都是專用、獨立的硬體設備,旨在提供專用密碼編譯函數,以滿足 的安全性和可擴展性要求 AWS KMS。(在中國區域中HSMs AWS KMS 使用的 經過 認證,OSCCA並符合所有相關中國法規,但未經 FIPS 140-2 密碼編譯模組驗證計畫驗證。)

KMS 金鑰的金鑰材料在 中產生時,預設會加密HSM。金鑰材料只會在HSM揮發性記憶體內解密,而且只會在密碼編譯操作中使用它所需的幾毫秒內解密。每當金鑰材料不在使用中時,都會在 內加密,HSM並傳輸到高度耐用 (99.999999999%)、低延遲持久性儲存體,在此儲存體中,它與 保持分離。 HSMs純文字金鑰材料永遠不會離開HSM安全界限;它永遠不會寫入磁碟或保留在任何儲存媒體中。(唯一例外是非對稱金鑰對的公有金鑰,其非秘密。)

AWS 宣告為基本安全原則,在任何 中,與任何類型的純文字密碼編譯金鑰材料沒有人工互動 AWS 服務。任何人,包括 AWS 服務 運算子,都沒有檢視、存取或匯出純文字金鑰資料的機制。即使在災難性故障及災難復原事件,此政策也適用。中的純文字客戶金鑰材料 AWS KMS 僅用於驗證中的 AWS KMS FIPS密碼編譯操作,HSMs以回應客戶或其委派對服務提出的授權請求。

對於客戶受管金鑰 ,建立金鑰 AWS 帳戶 的 是金鑰的唯一且不可轉讓的擁有者。擁有帳戶對控制金鑰存取權的授權政策具完整且獨佔控制權。對於 AWS 受管金鑰, AWS 帳戶 可完全控制授權請求給 IAM的政策 AWS 服務。

保護 AWS KMS外部產生的金鑰資料

AWS KMS 提供在 中產生之金鑰材料的替代方案 AWS KMS。

自訂金鑰存放區 是選用 AWS KMS 功能,可讓您建立金鑰,並以在 之外產生和使用的金鑰材料作為KMS後盾 AWS KMS。KMS AWS CloudHSM 金鑰存放區中的金鑰會受到您控制之 AWS CloudHSM 硬體安全模組的金鑰支援。這些HSMs經過 FIPS 140-2 安全層級 3 認證。KMS 外部金鑰存放區中的金鑰由外部金鑰管理器中的金鑰提供支援,您可以在 之外控制和管理 AWS,例如私有資料中心HSM中的實體。

另一個選用功能可讓您匯入金鑰的金鑰材料。 KMS若要保護傳輸到 時匯入的金鑰材料 AWS KMS,您可以使用 中產生的金鑰對中的公有金鑰來加密RSA金鑰材料 AWS KMS HSM。匯入的金鑰材料會在 AWS KMS HSM中解密,並在 中的對稱金鑰下重新加密HSM。如同所有 AWS KMS 金鑰材料,純文字匯入的金鑰材料永遠不會讓 HSMs保持未加密。然而,提供金鑰資料的客戶需負責安全使用、持久性及 AWS KMS外部的金鑰資料維護。

資料加密

中的資料 AWS KMS 包含 AWS KMS keys 及其代表的加密金鑰材料。此金鑰材料僅以純文字存在於 AWS KMS 硬體安全模組 (HSMs) 內,且僅在使用時存在。否則,金鑰材料會加密並存放在耐久的持久性儲存裝置中。

為金鑰 AWS KMS 產生的KMS金鑰材料永遠不會離開HSMs未加密的 AWS KMS 界限。它不會在任何 AWS KMS API操作中匯出或傳輸。多區域金鑰 例外狀況為 ,其中 AWS KMS 使用跨區域複寫機制,將多區域金鑰的金鑰材料從 HSM中的 複製到不同 AWS 區域 HSM 中的 AWS 區域。如需詳細資訊,請參閱 AWS Key Management Service 密碼編譯詳細資訊中多區域金鑰的複寫程序

靜態加密

AWS KMS 在 FIPS140-2 安全層級 3 相容硬體安全模組 () AWS KMS keys 中產生 的金鑰材料HSMs。唯一的例外是中國區域,其中 AWS KMS 用於產生KMS金鑰HSMs的 符合所有相關中國法規,但未經 FIPS 140-2 密碼編譯模組驗證計畫驗證。不使用時,金鑰材料會由HSM金鑰加密,並寫入持久持久的持久性儲存體。KMS 金鑰的金鑰材料和保護金鑰材料的加密金鑰永遠不會HSMs以純文字形式保留 。

金鑰金鑰資料的加密和管理KMS完全由 處理 AWS KMS。

如需詳細資訊,請參閱在 AWS Key Management Service 密碼編譯詳細資訊AWS KMS keys中使用 。

傳輸中加密

為金鑰 AWS KMS 產生的KMS金鑰材料絕不會在 AWS KMS API operations 中匯出或傳輸。 AWS KMS 會使用金鑰識別符來表示API操作中的KMS金鑰。同樣地, AWS KMS 自訂金鑰存放區中KMS金鑰的金鑰材料不可匯出,且絕不會在 AWS KMS 或 AWS CloudHSM API 操作中傳輸。

不過,某些 AWS KMS API操作會傳回資料金鑰 。此外,客戶可以使用 API 操作來匯入所選金鑰的金鑰材料。 KMS

所有 AWS KMS API呼叫都必須使用 Transport Layer Security (TLS) 簽署和傳輸。在所有 區域中 AWS KMS 需要 TLS 1.2 和 建議 TLS 1.3。 AWS KMS 也支援在所有 區域中 AWS KMS 服務端點TLS的混合後量,中國 區域除外。 AWS KMS 不支援 中FIPS端點TLS的混合後量 AWS GovCloud (US)。呼叫 AWS KMS 還需要支援完整轉寄密碼的現代加密套件,這表示任何機密 (例如私有金鑰) 的洩露也不會影響工作階段金鑰。

如果您在 AWS 透過命令列介面或 FIPS 存取 時需要 140-2 個經過驗證的密碼編譯模組API,請使用 FIPS端點。若要使用標準 AWS KMS 端點或 AWS KMS FIPS端點,用戶端必須支援 TLS 1.2 或更新版本。如需可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2。如需端點的 AWS KMS FIPS清單,請參閱中的AWS Key Management Service 端點和配額 AWS 一般參考。

在已驗證的加密方案中, AWS KMS 服務主機與 之間的通訊HSMs會使用橢圓曲線密碼編譯 (ECC) 和進階加密標準 (AES) 受到保護。如需詳細資訊,請參閱 AWS Key Management Service 密碼編譯詳細資訊中的內部通訊安全

網際網路流量隱私權

AWS KMS 支援 AWS Management Console 和一組API操作,可讓您在密碼編譯操作中建立和管理 AWS KMS keys 和使用它們。

AWS KMS 支援從私有網路到 的兩個網路連線選項 AWS。

  • 透過網際網路IPSecVPN連線

  • AWS Direct Connect,透過標準乙太網路光纖纜線將內部網路連結至 AWS Direct Connect 位置。

所有 AWS KMS API呼叫都必須使用 Transport Layer Security () 簽署和傳輸TLS。這些呼叫還需要支援完整轉寄密碼的現代加密套件。KMS 只能透過 AWS 內部網路從已知 AWS KMS API主機傳輸到存放金鑰金鑰材料的硬體安全模組 (HSMs)。

若要 AWS KMS 直接從虛擬私有雲端 (VPC) 連線至 ,而不透過公有網際網路傳送流量,請使用由 支援的VPC端點AWS PrivateLink。如需詳細資訊,請參閱AWS KMS 透過VPC端點連線至

AWS KMS 也支援 Transport Layer Security (TLS) 網路加密通訊協定的混合後量化金鑰交換選項。您可以在連線至 AWS KMS API端點TLS時,將此選項與 搭配使用。