本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
金鑰存放區
金鑰存放區是存放和使用密碼編譯金鑰的安全位置。中的預設金鑰存放區 AWS KMS 也支援產生和管理其存放之金鑰的方法。在預設情況下,您在 中建立 AWS KMS keys 的 的密碼編譯金鑰材料 AWS KMS 會在 中產生,並由屬於聯邦資訊處理標準 (HSMs) 140 密碼編譯模組驗證計畫 () 140-2 層級 3 驗證密碼編譯模組的硬體安全模組 () 保護。 NIST FIPSFIPS
AWS KMS 支援多種類型的金鑰存放區,以保護您的金鑰。 使用 AWS KMS 建立和管理加密金鑰時, 材料。提供的所有金鑰存放區選項 AWS KMS 都會在安全層級 3 的 FIPS 140 下持續驗證,旨在防止任何人存取您的純文字金鑰或未經您的許可使用它們,包括 AWS 運算子。
AWS KMS 標準金鑰存放區
根據預設, KMS金鑰是使用 標準建立 AWS KMS HSM。此HSM類型可視為 的多租戶機群HSMs,可讓您從角度管理最具可擴展性、最低成本且最簡單的金鑰存放區。如果您在意建立KMS金鑰以供在一或多個 內使用, AWS 服務 以便服務可以代表您加密資料,則您將建立對稱金鑰。如果您使用KMS金鑰進行自己的應用程式設計,您可以選擇建立對稱加密金鑰、非對稱金鑰或HMAC金鑰。
在標準金鑰存放區選項中, 會 AWS KMS 建立您的金鑰,然後在服務內部管理的金鑰下對其進行加密。然後,多個加密版本的金鑰會存放在專為耐用性設計的系統中。在標準金鑰存放區類型中產生和保護您的金鑰材料,可讓您充分利用 的可擴展性、可用性和耐久性, AWS KMS 並降低金鑰存放區的營運負擔和成本 AWS 。
AWS KMS 具有匯入金鑰材料的標準金鑰存放區
您可以選擇將金鑰材料匯入 AWS KMS,讓您產生自己的 256 位元對稱加密金鑰RSA、橢圓曲線 (ECC) 金鑰或雜湊訊息驗證碼 (HMAC) 金鑰,並將其套用至KMS金鑰識別符 (),而不是同時要求 AWS KMS 產生和存放特定金鑰的唯一副本keyId。這有時稱為自帶金鑰 (BYOK)。從本機金鑰管理系統匯入的金鑰材料必須使用 發行的公有金鑰 AWS KMS、支援的密碼編譯包裝演算法,以及 提供的以時間為基礎的匯入權杖來保護 AWS KMS。此程序會驗證您的加密匯入金鑰只有在離開環境HSM後,才能由 AWS KMS 解密。
如果您在產生金鑰的系統中有特定需求,或想要在 外部複製金鑰 AWS 做為備份,匯入的金鑰材料可能很有用。請注意,您必須負責匯入金鑰材料的整體可用性和耐久性。雖然 AWS KMS 擁有匯入金鑰的副本,並在需要時保持高度可用,但匯入的金鑰提供特殊API的刪除功能 – DeleteImportedKeyMaterial。這API將立即刪除 AWS KMS 具有 的匯入金鑰材料的所有副本,沒有 AWS 復原金鑰的選項。此外,您可以在匯入的金鑰上設定過期時間,之後該金鑰將無法使用。若要讓金鑰在 中再次有用 AWS KMS,您必須重新匯入金鑰材料,並將其指派給相同的 keyId。此匯入金鑰的刪除動作與代表您 AWS KMS 產生和儲存的標準金鑰不同。在標準案例中,金鑰刪除程序具有強制等待期,其中排定刪除的金鑰會先被封鎖,使其無法使用。此動作可讓您從任何可能需要該金鑰來存取資料的應用程式 AWS 或服務,查看日誌中遭到拒絕的存取錯誤。如果您看到這類存取請求,您可以選擇取消排定的刪除,並重新啟用金鑰。在可設定的等待期 (介於 7 到 30 天之間) 之後, 才會KMS實際刪除金鑰材料、keyID 以及與金鑰相關聯的所有中繼資料。如需可用性和耐用性的詳細資訊,請參閱《 AWS KMS 開發人員指南》中的保護匯入的金鑰材料。
匯入的金鑰材料有一些其他限制需要注意。由於 AWS KMS 無法產生新的金鑰材料,因此無法設定匯入金鑰的自動輪換。您需要使用新的 建立新的KMS金鑰keyId,然後匯入新的金鑰材料,以實現有效的輪換。此外,使用 外部金鑰的本機副本,在匯入對稱金鑰 AWS KMS 下在 中建立的密碼文字無法輕鬆解密 AWS。這是因為 使用的已驗證加密格式會將其他中繼資料 AWS KMS 附加到加密文字,以在解密操作期間保證加密文字是由先前加密操作下的預期KMS金鑰所建立。大多數外部密碼編譯系統都不會了解如何剖析此中繼資料,以取得原始密碼文字的存取權,以便能夠使用其對稱金鑰的副本。在匯入的非對稱金鑰 (例如 RSA或 ECC) 下建立的加密文字,可以在 外部 AWS KMS 與金鑰的相符 (公有或私有) 部分搭配使用,因為 沒有將其他中繼資料新增至 AWS KMS 加密文字。
AWS KMS 自訂金鑰存放區
不過,如果您需要對 進行更多控制HSMs,您可以建立自訂金鑰存放區。
自訂金鑰存放區是 中的金鑰存放區 AWS KMS,由您擁有和管理的外部金鑰管理員 AWS KMS 提供支援。自訂金鑰存放區結合 的便利且全面的金鑰管理界面, AWS KMS 以及擁有和控制金鑰材料和密碼編譯操作的能力。當您在自訂KMS金鑰存放區中使用金鑰時,金鑰管理員會使用密碼編譯金鑰執行密碼編譯操作。因此,您對密碼編譯金鑰的可用性和耐久性,以及 的操作,承擔更多責任HSMs。
擁有您的 HSMs可能有助於滿足尚未允許標準KMS金鑰存放區等多租戶 Web 服務保存密碼編譯金鑰的特定法規要求。自訂金鑰存放區不比使用受管 AWS的KMS金鑰存放區更安全HSMs,但它們具有不同的 (和更高的) 管理和成本影響。因此,您對密碼編譯金鑰的可用性和耐用性以及 的操作承擔更多責任HSMs。無論您是否搭配 AWS KMS HSMs 或自訂金鑰存放區使用標準金鑰存放區,服務的設計都可讓包括 AWS 員工在內的任何人在沒有您的許可的情況下擷取或使用這些純文字金鑰。 AWS KMS 支援兩種類型的自訂金鑰存放區、 AWS CloudHSM 金鑰存放區和外部金鑰存放區。
不支援的功能
AWS KMS 不支援自訂金鑰存放區中的下列功能。
AWS CloudHSM 金鑰存放區
您可以在AWS CloudHSM
外部金鑰存放區
您可以設定 AWS KMS 以使用外部金鑰存放區 (XKS),其中會產生根使用者金鑰,並存放和用於 外部的金鑰管理系統 AWS 雲端。 AWS KMS 對 提出使用金鑰進行某些密碼編譯操作的請求,會轉送至外部託管系統來執行操作。具體而言,請求會轉送到您網路中的XKS代理,然後將請求轉送到您使用的任何密碼編譯系統。XKS Proxy 是一種開放原始碼規格,任何人都可以與之整合。許多商業金鑰管理供應商支援 XKS Proxy 規格。由於外部金鑰存放區由您或某些第三方託管,因此您擁有系統中金鑰的所有可用性、耐用性和效能。若要查看外部金鑰存放區是否適合您的需求,請參閱AWS 新聞部落格上的公告 AWS KMS 外部金鑰存放區 (XKS)
