AWS KMS Ziele des Entwurfs - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS Ziele des Entwurfs

AWS KMS wurde entwickelt, um die folgenden Anforderungen zu erfüllen.

Haltbarkeit

Die Haltbarkeit kryptografischer Schlüssel ist so konzipiert, dass sie der Lebensdauer von Diensten mit der höchsten Haltbarkeit entspricht. AWS Ein einzelner kryptografischer Schlüssel kann große Datenmengen verschlüsseln, die sich über eine lange Zeit angesammelt haben.

Vertrauenswürdig

Die Verwendung von Schlüsseln ist durch Zugriffssteuerungsrichtlinien geschützt, die Sie definieren und verwalten. Es gibt keinen Mechanismus, um Klartext-KMS-Schlüssel zu exportieren. Die Vertraulichkeit Ihrer kryptografischen Schlüssel ist von entscheidender Bedeutung. Für die Durchführung administrativer Aktionen am sind mehrere Amazon-Mitarbeiter mit rollenspezifischem Zugriff auf quorumbasierte Zugriffskontrollen erforderlich. HSMs

Niedrige Latenz und hoher Durchsatz

AWS KMS bietet kryptografische Operationen mit Latenz- und Durchsatzniveaus, die für die Verwendung durch andere Dienste in geeignet sind. AWS

Unabhängige Regionen

AWS bietet unabhängige Regionen für Kunden, die den Datenzugriff in verschiedenen Regionen einschränken müssen. Die Schlüsselverwendung kann innerhalb eines AWS-Region isoliert werden.

Sichere Quelle von Zufallszahlen

Da starke Kryptographie von einer wirklich unvorhersehbaren Zufallszahlengenerierung abhängt, bietet AWS KMS eine qualitativ hochwertige und validierte Quelle für Zufallszahlen.

Audit

AWS KMS zeichnet die Verwendung und Verwaltung kryptografischer Schlüssel in AWS CloudTrail Protokollen auf. Mithilfe von AWS CloudTrail Protokollen können Sie die Verwendung Ihrer kryptografischen Schlüssel überprüfen, einschließlich der Verwendung von Schlüsseln durch AWS Dienste in Ihrem Namen.

Um diese Ziele zu erreichen, umfasst das AWS KMS System eine Reihe von AWS KMS Operatoren und Service-Host-Betreibern (zusammen „Betreiber“), die „Domains“ verwalten. Eine Domain ist eine regional definierte Gruppe von AWS KMS Servern und HSMs Operatoren. Jeder AWS KMS Operator verfügt über ein Hardware-Token, das ein privates und ein öffentliches key pair enthält, das zur Authentifizierung seiner Aktionen verwendet wird. HSMsSie verfügen über ein zusätzliches privates und öffentliches key pair, um Verschlüsselungsschlüssel einzurichten, die die HSM-Statussynchronisierung schützen.

In diesem paper wird veranschaulicht, wie Ihre Schlüssel und andere Daten, die Sie verschlüsseln möchten, AWS KMS geschützt werden. In diesem Dokument werden Verschlüsselungsschlüssel oder Daten, die Sie verschlüsseln möchten, als „Geheimnisse“ oder „Geheimmaterial“ bezeichnet.