Über AWS KMS keys - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Über AWS KMS keys

AWS Key Management Service (AWS KMS) ermöglicht es Ihnen, kryptografische Schlüssel zu erstellen, die für Daten verwendet werden können, die Sie an den Dienst weitergeben. Der primäre Ressourcentyp ist der KMS-Schlüssel, von dem es drei Typen gibt:

  • Symmetrische AES-Schlüssel (Advanced Encryption Standard) — Dies sind 256-Bit-Schlüssel, die im Galois Counter Mode (GCM) -Modus von AES verwendet werden. Diese Schlüssel ermöglichen die authentifizierte Verschlüsselung und Entschlüsselung von Daten mit einer Größe von weniger als 4 KB. Dies ist der gebräuchlichste Schlüsseltyp. Er wird verwendet, um andere Datenschlüssel zu schützen, z. B. solche, die in Ihren Anwendungen verwendet werden AWS-Services , oder um Daten in Ihrem Namen zu verschlüsseln.

  • Asymmetrische RSA-Schlüssel oder Schlüssel mit elliptischer Kurve — Diese Schlüssel sind in verschiedenen Größen erhältlich und unterstützen viele Algorithmen. Je nach Algorithmus können sie zur Verschlüsselung und Entschlüsselung sowie zum Signieren und Überprüfen verwendet werden.

  • Symmetrische Schlüssel für die Durchführung von HMAC-Vorgängen (Hash-Based Message Authentication Code) — Bei diesen Schlüsseln handelt es sich um 256-Bit-Schlüssel, die für Signier- und Überprüfungsvorgänge verwendet werden.

KMS-Schlüssel können nicht im Klartext aus dem Dienst exportiert werden. Sie werden von den vom Dienst verwendeten Hardware-Sicherheitsmodulen (HSMs) generiert und können nur innerhalb dieser verwendet werden. Dies ist eine grundlegende Sicherheitseigenschaft, um wichtige AWS KMS Sicherheitsbedrohungen zu verhindern. In den Regionen China (Peking) und China (Ningxia) HSMs sind diese von OSCCA zertifiziert. In allen anderen Regionen HSMs werden die verwendeten im AWS KMS Rahmen des FIPS 140-Programms innerhalb von NIST auf Sicherheitsstufe 3 validiert. Weitere Informationen zu Design und Kontrollen zum Schutz Ihrer Schlüssel finden Sie unter AWS Key Management Service Kryptografische Details. AWS KMS

Sie können Daten an senden, AWS KMS indem Sie verschiedene kryptografische APIs Daten verwenden, um Vorgänge mit KMS-Schlüsseln zu verschlüsseln, zu entschlüsseln, zu signieren oder zu verifizieren. Sie können sich auch dafür entscheiden, dass ein KMS-Schlüssel wie ein Schlüsselverschlüsselungsschlüssel funktioniert, der einen Schlüsseltyp schützt, der als Datenschlüssel bezeichnet wird. Ein Datenschlüssel kann AWS KMS für die Verwendung in Ihrer lokalen Anwendung oder in einer Anwendung AWS-Service , die Daten in Ihrem Namen schützt, exportiert werden. Die Verwendung von Datenschlüsseln ist in allen Schlüsselverwaltungssystemen üblich und wird häufig als Envelope-Verschlüsselung bezeichnet. Durch die Umschlagverschlüsselung kann ein Datenschlüssel auf dem Remotesystem verwendet werden, das Ihre vertraulichen Daten verarbeitet, anstatt Ihre vertraulichen Daten direkt mit einem KMS-Schlüssel AWS KMS zur Verschlüsselung an dieses senden zu müssen.

Weitere Informationen finden Sie AWS KMS keysin der AWS KMS Dokumentation unter Grundlagen der AWS KMS Kryptografie.