Einen KMS Schlüssel erstellen - AWS Key Management Service
Berechtigungen für die Erstellung von KMS SchlüsselnAuswahl des zu erstellenden KMS Schlüsseltyps

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen KMS Schlüssel erstellen

Sie können AWS KMS keys in oder mithilfe der AWS Management ConsoleCreateKeyOperation oder der AWS CloudFormation RessourceAWS::KMS: :Key erstellen. Während dieses Vorgangs legen Sie die Schlüsselrichtlinie für den KMS Schlüssel fest, die Sie jederzeit ändern können. Sie wählen auch die folgenden Werte aus, die den Typ des KMS Schlüssels definieren, den Sie erstellen. Sie können diese Eigenschaften nicht ändern, nachdem der KMS Schlüssel erstellt wurde.

KMSArt des Schlüssels

Der Schlüsseltyp ist eine Eigenschaft, die bestimmt, welcher Typ von kryptografischem Schlüssel erstellt wird. AWS KMS bietet drei Schlüsseltypen zum Schutz von Daten:

  • Symmetrische Schlüssel nach Advanced Encryption Standard (AES)

    256-Bit-Schlüssel, die im Modus Galois Counter Mode (GCM) zur authentifizierten Verschlüsselung/Entschlüsselung von Daten mit einer AES Größe von weniger als 4 KB verwendet werden. Dies ist der gängigste Schlüsseltyp und wird verwendet, um andere Datenverschlüsselungsschlüssel zu schützen, die in Ihren Anwendungen verwendet werden, und damit Ihre Daten in Ihrem Namen zu verschlüsseln. AWS-Services

  • RSA, elliptische Kurve oder SM2 (nur Regionen Chinas) asymmetrische Schlüssel

    Diese Schlüssel sind in verschiedenen Größen erhältlich und unterstützen viele Algorithmen. Sie können je nach ausgewähltem Algorithmus zur Ver- und Entschlüsselung, zum Signieren und Überprüfen oder zum Ableiten von Operationen mit gemeinsamen Geheimnissen verwendet werden.

  • Symmetrische Schlüssel für die Durchführung von Hash-basierten Operationen zur Nachrichtenauthentifizierung () HMAC

    Bei diesen Schlüsseln handelt es sich um 256-Bit-Schlüssel, die für Signier- und Überprüfungsvorgänge verwendet werden.

    KMSSchlüssel können nicht im Klartext aus dem Dienst exportiert werden. Sie werden von den vom Dienst verwendeten Hardware-Sicherheitsmodulen (HSMs) generiert und können nur innerhalb dieser verwendet werden. Dies ist die grundlegende Sicherheitseigenschaft, mit der sichergestellt werden AWS KMS soll, dass Schlüssel nicht kompromittiert werden.

Verwendung von Schlüsseln

Die Schlüsselnutzung ist eine Eigenschaft, die bestimmt, welche kryptografischen Vorgänge der Schlüssel unterstützt. KMSSchlüssel können eine Schlüsselverwendung vonENCRYPT_DECRYPT, SIGN_VERIFYGENERATE_VERIFY_MAC, oder habenKEY_AGREEMENT. Jeder KMS Schlüssel kann nur einmal verwendet werden. Die Verwendung eines KMS Schlüssels für mehr als eine Art von Operation macht das Produkt beider Operationen anfälliger für Angriffe.

Wichtige Spezifikation

Die Schlüsselspezifikation ist eine Eigenschaft, die die kryptografische Konfiguration des KMS-Schlüssels repräsentiert. Die Bedeutung der Schlüsselspezifikation unterscheidet sich vom Schlüsseltyp.

Bei KMS Schlüsseln bestimmt die Tastenspezifikation, ob der KMS Schlüssel symmetrisch oder asymmetrisch ist. Sie bestimmt auch die Art des Schlüsselmaterials und die unterstützten Algorithmen.

Die Standard-Schlüsselspezifikation SYMMETRIC_ steht für einen symmetrischen DEFAULT 256-Bit-Verschlüsselungsschlüssel. Eine ausführliche Beschreibung aller unterstützten Schlüsselspezifikationen finden Sie unter. Referenz zu wichtigen Spezifikationen

Herkunft der wichtigsten Materialien

Die Herkunft des Schlüsselmaterials ist eine KMS Schlüsseleigenschaft, die die Quelle des Schlüsselmaterials im KMS Schlüssel identifiziert. Sie wählen den Ursprung des Schlüsselmaterials, wenn Sie den KMS Schlüssel erstellen, und Sie können ihn nicht ändern. Die Quelle des Schlüsselmaterials beeinflusst die Eigenschaften Sicherheit, Haltbarkeit, Verfügbarkeit, Latenz und Durchsatz des KMS Schlüssels.

Jeder KMS Schlüssel enthält in seinen Metadaten einen Verweis auf sein Schlüsselmaterial. Die Herkunft symmetrischer KMS Verschlüsselungsschlüssel kann unterschiedlich sein. Sie können Schlüsselmaterial verwenden, das AWS KMS generiert wird, Schlüsselmaterial, das in einem benutzerdefinierten Schlüsselspeicher generiert wurde, oder Ihr eigenes Schlüsselmaterial importieren.

Standardmäßig hat jeder KMS Schlüssel ein eindeutiges Schlüsselmaterial. Sie können jedoch eine Reihe von multiregionalen Schlüsseln mit demselben Schlüsselmaterial erstellen.

KMSSchlüssel können einen der folgenden wesentlichen Materialursprungswerte haben:AWS_KMS, EXTERNAL (importiertes Schlüsselmaterial), AWS_CLOUDHSM (KMSSchlüssel in einem AWS CloudHSM Schlüsselspeicher) oder EXTERNAL_KEY_STORE (KMSSchlüssel in einem externen Schlüsselspeicher).

Themen

Berechtigungen für die Erstellung von KMS Schlüsseln

Um einen KMS Schlüssel in der Konsole oder mithilfe von zu erstellenAPIs, benötigen Sie die folgenden Berechtigungen in einer IAM Richtlinie. Wenn möglich, verwenden Sie Bedingungsschlüssel, um die Berechtigungen einzuschränken. Sie können beispielsweise den KeySpec Bedingungsschlüssel kms: in einer IAM Richtlinie verwenden, um es Prinzipalen zu ermöglichen, nur symmetrische Verschlüsselungsschlüssel zu erstellen.

Ein Beispiel für eine IAM Richtlinie für Prinzipale, die Schlüssel erstellen, finden Sie unter. Erlauben Sie einem Benutzer, KMS Schlüssel zu erstellen

Anmerkung

Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung zum Verwalten von Tags und Aliasen erteilen. Wenn Sie einen Tag oder einen Alias ändern, wird dadurch die Berechtigung für den kundenverwalteten Schlüssel erteilt oder verweigert. Details hierzu finden Sie unter ABACfür AWS KMS.

Die kms: PutKeyPolicy -Berechtigung ist nicht erforderlich, um den Schlüssel zu erstellen. KMS Die kms:CreateKey-Berechtigung enthält die Berechtigung zum Festlegen der ursprünglichen Schlüsselrichtlinie. Sie müssen diese Berechtigung jedoch bei der Erstellung des Schlüssels zur KMS Schlüsselrichtlinie hinzufügen, um sicherzustellen, dass Sie den Zugriff auf den KMS Schlüssel kontrollieren können. Die Alternative besteht darin, den BypassLockoutSafetyCheckParameter zu verwenden, was nicht empfohlen wird.

KMSSchlüssel gehören zu dem AWS Konto, in dem sie erstellt wurden. Der IAM Benutzer, der einen KMS Schlüssel erstellt, gilt nicht als Eigentümer des Schlüssels und er ist nicht automatisch berechtigt, den von ihm erstellten KMS Schlüssel zu verwenden oder zu verwalten. Wie jeder andere Auftraggeber muss auch der Ersteller des Schlüssels die entsprechende Genehmigung im Rahmen einer IAM Schlüsselrichtlinie, einer Richtlinie oder eines Zugriffs einholen. Prinzipale, die die kms:CreateKey-Berechtigung haben, können jedoch die ursprüngliche Schlüsselrichtlinie festlegen und sich selbst die Berechtigung zur Verwendung oder Verwaltung des Schlüssels erteilen.

Auswahl des zu erstellenden KMS Schlüsseltyps

Die Art des KMS Schlüssels, den Sie erstellen, hängt weitgehend davon ab, wie Sie den KMS Schlüssel verwenden möchten, von Ihren Sicherheitsanforderungen und Ihren Autorisierungsanforderungen. Der Schlüsseltyp und die Schlüsselverwendung eines KMS Schlüssels bestimmen, welche kryptografischen Operationen der Schlüssel ausführen kann. Jeder KMS Schlüssel hat nur eine Schlüsselverwendung. Die Verwendung eines KMS Schlüssels für mehr als eine Art von Operation macht das Produkt aller Operationen anfälliger für Angriffe.

Um es Prinzipalen zu ermöglichen, KMS Schlüssel nur für eine bestimmte Schlüsselverwendung zu erstellen, verwenden Sie den KeyUsage Bedingungsschlüssel kms:. Sie können den kms:KeyUsage Bedingungsschlüssel auch verwenden, um es Prinzipalen zu ermöglichen, API Operationen für einen KMS Schlüssel auf der Grundlage seiner Schlüsselverwendung aufzurufen. Sie können beispielsweise die Berechtigung zum Deaktivieren eines KMS Schlüssels nur dann gewähren, wenn die Schlüsselverwendung SIGN _ VERIFY lautet.

Verwenden Sie die folgenden Anleitungen, um anhand Ihres Anwendungsfalls zu ermitteln, welchen KMS Schlüsseltyp Sie benötigen.

Verschlüsseln und Entschlüsseln von Daten

Verwenden Sie für die meisten Anwendungsfälle, in denen Daten ver- und entschlüsselt werden müssen, einen symmetrischen KMS Schlüssel. Der symmetrische Verschlüsselungsalgorithmus, den AWS KMS verwendet, ist schnell, effizient und gewährleistet die Vertraulichkeit und Authentizität von Daten. Er unterstützt die authentifizierte Verschlüsselung mit zusätzlichen authentifizierten Daten (AAD), die als Verschlüsselungskontext definiert sind. Für diesen KMS Schlüsseltyp müssen sowohl der Absender als auch der Empfänger verschlüsselter Daten über gültige AWS Anmeldeinformationen für den Anruf verfügen. AWS KMS

Wenn Ihr Anwendungsfall eine Verschlüsselung außerhalb AWS von Benutzern erfordert, die nicht anrufen können AWS KMS, sind asymmetrische KMS Schlüssel eine gute Wahl. Sie können den öffentlichen Schlüssel des asymmetrischen KMS Schlüssels verteilen, damit diese Benutzer Daten verschlüsseln können. Und Ihre Anwendungen, die diese Daten entschlüsseln müssen, können den privaten Schlüssel des darin enthaltenen asymmetrischen KMS Schlüssels verwenden. AWS KMS

Signieren von Nachrichten und Verifizieren von Signaturen

Um Nachrichten zu signieren und Signaturen zu überprüfen, müssen Sie einen asymmetrischen KMS Schlüssel verwenden. Sie können einen KMS Schlüssel mit einer Schlüsselspezifikation verwenden, die ein RSA key pair, ein key pair mit elliptischer Kurve (ECC) oder ein SM2 key pair (nur Regionen Chinas) darstellt. Die ausgewählte Schlüsselspezifikation wird durch den Signaturalgorithmus bestimmt, den Sie verwenden möchten. Die von ECC Schlüsselpaaren unterstützten ECDSA Signaturalgorithmen werden den RSA Signaturalgorithmen vorgezogen. Möglicherweise müssen Sie jedoch eine bestimmte Schlüsselspezifikation und einen bestimmten Signaturalgorithmus verwenden, um Benutzer zu unterstützen, die Signaturen außerhalb von AWS verifizieren.

Verschlüsseln Sie mit asymmetrischen Schlüsselpaaren

Um Daten mit einem asymmetrischen key pair zu verschlüsseln, müssen Sie einen asymmetrischen KMS Schlüssel mit einer Schlüsselspezifikation oder einer RSASM2Schlüsselspezifikation verwenden (nur Regionen Chinas). Verwenden Sie den Vorgang Encrypt, um Daten AWS KMS mit dem öffentlichen KMS Schlüssel eines Schlüsselpaars zu verschlüsseln. Sie können den öffentlichen Schlüssel auch herunterladen und ihn mit den Parteien teilen, die Daten außerhalb von verschlüsseln müssen. AWS KMS

Wenn Sie den öffentlichen Schlüssel eines asymmetrischen KMS Schlüssels herunterladen, können Sie ihn außerhalb von verwenden. AWS KMS Er unterliegt jedoch nicht mehr den Sicherheitskontrollen, die den KMS Schlüssel schützen. AWS KMS Sie können beispielsweise keine AWS KMS wichtigen Richtlinien oder Zuschüsse verwenden, um die Verwendung des öffentlichen Schlüssels zu kontrollieren. Sie können auch nicht kontrollieren, ob der Schlüssel nur für die Verschlüsselung und Entschlüsselung verwendet wird, indem Sie die Verschlüsselungsalgorithmen verwenden, die ihn AWS KMS unterstützen. Weitere Informationen finden Sie unter Besondere Überlegungen zum Herunterladen öffentlicher Schlüssel.

Um Daten zu entschlüsseln, die mit dem öffentlichen Schlüssel außerhalb von verschlüsselt wurden AWS KMS, rufen Sie den Vorgang Decrypt auf. Der Decrypt Vorgang schlägt fehl, wenn die Daten unter einem öffentlichen Schlüssel aus einem Schlüssel mit der KMS Schlüsselverwendung von verschlüsselt wurden. SIGN_VERIFY Der Vorgang schlägt auch fehl, wenn die Daten mit einem Algorithmus verschlüsselt wurden, der die von Ihnen gewählte Schlüsselspezifikation AWS KMS nicht unterstützt. Weitere Informationen zu wichtigen Spezifikationen und unterstützten Algorithmen finden Sie unterReferenz zu wichtigen Spezifikationen.

Um diese Fehler zu vermeiden, AWS KMS muss jeder, der einen öffentlichen Schlüssel außerhalb von verwendet, die Schlüsselkonfiguration speichern. Die AWS KMS Konsole und die GetPublicKeyAntwort enthalten die Informationen, die Sie angeben müssen, wenn Sie den öffentlichen Schlüssel teilen.

Leitet gemeinsame Geheimnisse ab

Um gemeinsame geheime Schlüssel abzuleiten, verwenden Sie einen KMS Schlüssel mit einer NIST-empfohlenen elliptischen Kurve oder SM2(nur für Regionen Chinas) Schlüsselmaterial. AWS KMS verwendet den Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive (ECDH), um eine wichtige Vereinbarung zwischen zwei Peers herzustellen, indem ein gemeinsames Geheimnis aus ihren öffentlich-privaten Schlüsselpaaren mit elliptischer Kurve abgeleitet wird. Sie können den unverarbeiteten gemeinsamen geheimen Schlüssel, den der DeriveSharedSecretVorgang zurückgibt, verwenden, um einen symmetrischen Schlüssel abzuleiten, mit dem Daten, die zwischen zwei Parteien gesendet werden, ver- und entschlüsselt oder generiert und verifiziert werden können. HMACs AWS KMS empfiehlt, dass Sie die NISTEmpfehlungen zur Schlüsselableitung befolgen, wenn Sie einen symmetrischen Schlüssel aus dem unformatierten gemeinsamen geheimen Schlüssel ableiten.

Generieren und verifizieren Sie Codes HMAC

Verwenden Sie einen HMAC KMS Schlüssel, um Hash-basierte Nachrichtenauthentifizierungscodes zu generieren und zu verifizieren. Wenn Sie einen HMAC Schlüssel erstellen AWS KMS, AWS KMS erstellt und schützt er Ihr Schlüsselmaterial und stellt sicher, dass Sie die richtigen MAC Algorithmen für Ihren Schlüssel verwenden. HMACCodes können auch als Pseudozufallszahlen und in bestimmten Szenarien für symmetrisches Signieren und Tokenisieren verwendet werden.

HMACKMSSchlüssel sind symmetrische Schlüssel. Wählen Sie beim Erstellen eines HMAC KMS Schlüssels in der AWS KMS Konsole den Symmetric Schlüsseltyp aus.

Mit AWS Diensten verwenden

Informationen zum Erstellen eines KMS Schlüssels für die Verwendung mit einem AWS Dienst, der in integriert ist AWS KMS, finden Sie in der Dokumentation für den Dienst. AWS Dienste, die Ihre Daten verschlüsseln, benötigen einen symmetrischen KMS Verschlüsselungsschlüssel.

Zusätzlich zu diesen Überlegungen haben kryptografische Operationen mit KMS Schlüsseln mit unterschiedlichen Schlüsselspezifikationen unterschiedliche Preise und unterschiedliche Anforderungsquoten. Informationen zu AWS KMS -Preisen erhalten Sie unter AWS Key Management Service Pricing (Preise für WAF). Weitere Informationen zu Anforderungskontingenten finden Sie unter Anforderungskontingente.