Benutzerdefinierte Schlüsselspeicher - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefinierte Schlüsselspeicher

Ein Schlüsselspeicher ist ein sicherer Ort zum Speichern kryptographischer Schlüssel. Der Standard-Schlüsselspeicher in AWS KMS unterstützt auch Methoden zum Generieren und Verwalten der Schlüssel, die er speichert. Standardmäßig wird das kryptografische Schlüsselmaterial für die AWS KMS keys, die Sie in AWS KMS erstellen, in Hardware-Sicherheitsmodulen (HSMs) generiert und geschützt, bei denen es sich um FIPS-140-2-validierte kryptografische Module handelt. Schlüsselmaterial für Ihre KMS-Schlüssel verlässt zu keiner Zeit Ihr HSMs unverschlüsselt.

Wenn Sie jedoch noch mehr Kontrolle über die HSMs benötigen, können Sie einen benutzerdefinierten Schlüsselspeicher erstellen.

Ein benutzerdefinierter Schlüsselspeicher ist ein logischer Schlüsselspeicher innerhalb von AWS KMS, der von einem Schlüsselmanager außerhalb von AWS KMS gestützt wird und Ihnen gehört und von Ihnen verwaltet wird. Benutzerdefinierte Schlüsselspeicher verbinden die benutzerfreundliche und umfassende Schlüsselverwaltungs-Oberfläche von AWS KMS mit der Fähigkeit, das Schlüsselmaterial und die kryptografischen Vorgänge zu besitzen und zu kontrollieren. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptografischen Vorgänge tatsächlich von Ihrem Schlüsselmanager unter Verwendung Ihrer kryptografischen Schlüssel durchgeführt. Dadurch übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit kryptografischer Schlüssel sowie für den Betrieb der HSMs.

AWS KMS unterstützt zwei Arten von benutzerdefinierten Schlüsselspeichern.

  • Bei einem AWS CloudHSM-Schlüsselspeicher handelt es sich um einen benutzerdefinierten AWS KMS-Schlüsselspeicher, der von einem AWS CloudHSM-Cluster unterstützt wird. Wenn Sie einen KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher speichern, generiert AWS KMS einen persistenten und nicht exportierbaren 256-Bit-Schlüssel nach Advanced Encryption Standard (AES) in dem zugeordneten AWS CloudHSM-Cluster. Dieses Schlüsselmaterial verlässt zu keiner Zeit Ihre AWS CloudHSM-Cluster unverschlüsselt. Wenn Sie einen KMS-Schlüssel im AWS CloudHSM-Schlüsselspeicher verwenden, werden die kryptografischen Vorgänge in den HSMs im Cluster ausgeführt. AWS CloudHSM-Cluster werden von Hardware-Sicherheitsmodulen (HSMs) gestützt, die nach FIPS 140-2 Level 3 zertifiziert sind.

  • Ein externer Schlüsselspeicher ist ein benutzerdefinierter AWS KMS-Schlüsselspeicher, der von einem externen Schlüsselmanager außerhalb von AWS unterstützt wird, den Sie besitzen und kontrollieren. Wenn Sie einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, werden die Ver- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung Ihrer kryptographischen Schlüssel durchgeführt. Externe Schlüsselspeicher sind so konzipiert, dass sie eine Vielzahl von externen Schlüsselmanagern verschiedener Anbieter unterstützen.

    AWS KMS zeigt Ihren externen Schlüsselmanager oder Ihre kryptografischen Schlüssel niemals direkt an, greift direkt auf sie zu oder interagiert direkt mit ihnen. Wenn Sie mit einem KMS-Schlüssel in Ihrem externen Schlüsselspeicher verschlüsseln oder entschlüsseln, wird der Vorgang von Ihrem externen Schlüsselmanager unter Verwendung Ihrer externen Schlüssel durchgeführt. Sie behalten die volle Kontrolle über Ihre kryptografischen Schlüssel, einschließlich der Möglichkeit, einen kryptografischen Vorgang abzulehnen oder zu stoppen, ohne mit AWS zu interagieren. Aufgrund der Entfernung und der zusätzlichen Verarbeitung weisen KMS-Schlüssel in einem externen Schlüsselspeicher jedoch möglicherweise eine schlechtere Latenz und Leistung sowie andere Verfügbarkeitsmerkmale als KMS-Schlüssel mit Schlüsselmaterial in AWS KMS auf. Weitere Informationen zu Schlüsselmanagern, die mit dem externen Schlüsselspeicher-Feature AWS KMS kompatibel sind, finden Sie unter Welche externen Anbieter unterstützen die XKS-Proxy-Spezifikation? in den AWS Key Management Service-FAQs.

Diese beiden Arten von benutzerdefinierten Schlüsselspeichern unterscheiden sich erheblich vom Standardschlüsselspeicher AWS KMS und voneinander. Ihre Sicherheitsmodelle, ihr Verantwortungsbereich, ihre Leistung, ihr Preis und die Anwendungsfälle unterscheiden sich ebenfalls erheblich. Bevor Sie sich für einen benutzerdefinierten Schlüsselspeicher entscheiden, lesen Sie die zugehörige Dokumentation und vergewissern Sie sich, dass die zusätzliche Verantwortung für Konfiguration und Wartung ein sinnvoller Kompromiss für die zusätzliche Kontrolle ist. Wenn die Regeln und Vorschriften, nach denen Sie arbeiten, jedoch eine direkte Kontrolle über das Schlüsselmaterial vorschreiben, ist ein benutzerdefinierter Schlüsselspeicher möglicherweise sinnvoll für Sie.

Nicht unterstützte Funktionen

AWS KMS unterstützt die folgenden Funktionen in benutzerdefinierten Schlüsselspeichern nicht.

Themen