Bewährte Methoden für die Schlüsselverwaltung für AWS KMS - AWS Präskriptive Leitlinien
Wahl eines ManagementmodellsAuswahl der SchlüsseltypenAuswahl eines SchlüsselspeichersLöschen und Deaktivieren von KMS-Schlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Schlüsselverwaltung für AWS KMS

Wenn Sie AWS Key Management Service (AWS KMS) verwenden, müssen Sie einige grundlegende Entwurfsentscheidungen treffen. Dazu gehören, ob ein zentrales oder dezentrales Modell für die Schlüsselverwaltung und den Zugriff verwendet werden soll, die Art der zu verwendenden Schlüssel und die Art des zu verwendenden Schlüsselspeichers. Die folgenden Abschnitte helfen Ihnen dabei, die richtigen Entscheidungen für Ihr Unternehmen und Ihre Anwendungsfälle zu treffen. Dieser Abschnitt schließt mit wichtigen Überlegungen zum Deaktivieren und Löschen von KMS-Schlüsseln, einschließlich Maßnahmen, die Sie zum Schutz Ihrer Daten und Schlüssel ergreifen sollten.

Wählen Sie ein zentralisiertes oder dezentrales Modell

AWS empfiehlt, mehrere Konten zu verwenden AWS-Konten und diese als eine einzige Organisation in zu verwalten AWS Organizations. Für die Verwaltung AWS KMS keys in Umgebungen mit mehreren Konten gibt es zwei allgemeine Ansätze.

Der erste Ansatz ist ein dezentraler Ansatz, bei dem Sie Schlüssel für jedes Konto erstellen, das diese Schlüssel verwendet. Wenn Sie die KMS-Schlüssel in denselben Konten speichern wie die Ressourcen, die sie schützen, ist es einfacher, Berechtigungen an lokale Administratoren zu delegieren, die die Zugriffsanforderungen für ihre AWS Prinzipale und Schlüssel kennen. Sie können die Schlüsselverwendung autorisieren, indem Sie nur eine Schlüsselrichtlinie verwenden, oder Sie können eine Schlüsselrichtlinie und identitätsbasierte Richtlinien in (IAM) kombinieren. AWS Identity and Access Management

Bei der zweiten Methode handelt es sich um einen zentralisierten Ansatz, bei dem Sie KMS-Schlüssel in einem oder mehreren bestimmten Kategorien verwalten. AWS-Konten Sie erlauben anderen Konten, die Schlüssel nur für kryptografische Operationen zu verwenden. Sie verwalten Schlüssel, ihren Lebenszyklus und ihre Berechtigungen von einem zentralen Konto aus. Sie gestatten anderen AWS-Konten die Verwendung des Schlüssels, gewähren jedoch keine anderen Berechtigungen. Die externen Konten können nichts über den Lebenszyklus oder die Zugriffsberechtigungen des Schlüssels verwalten. Dieses zentralisierte Modell kann dazu beitragen, das Risiko einer unbeabsichtigten Löschung von Schlüsseln oder einer Rechteerweiterung durch delegierte Administratoren oder Benutzer zu minimieren.

Welche Option Sie wählen, hängt von mehreren Faktoren ab. Beachten Sie bei der Auswahl eines Ansatzes Folgendes:

  1. Verfügen Sie über einen automatisierten oder manuellen Prozess für die Bereitstellung von Schlüssel- und Ressourcenzugriffen? Dazu gehören Ressourcen wie Bereitstellungspipelines und IaC-Vorlagen (Infrastructure as Code). Diese Tools können Ihnen helfen, Ressourcen (wie KMS-Schlüssel, wichtige Richtlinien, IAM-Rollen und IAM-Richtlinien) in vielen Bereichen bereitzustellen und zu verwalten. AWS-Konten Wenn Sie nicht über diese Bereitstellungstools verfügen, ist ein zentralisierter Ansatz für die Schlüsselverwaltung für Ihr Unternehmen möglicherweise einfacher zu handhaben.

  2. Haben Sie die administrative Kontrolle über alle Ressourcen AWS-Konten , die KMS-Schlüssel verwenden? Falls ja, kann ein zentralisiertes Modell die Verwaltung vereinfachen und den Wechsel AWS-Konten zur Schlüsselverwaltung überflüssig machen. Beachten Sie jedoch, dass IAM-Rollen und Benutzerberechtigungen zur Verwendung von Schlüsseln weiterhin pro Konto verwaltet werden müssen.

  3. Müssen Sie Kunden oder Partnern, die über eigene AWS-Konten Ressourcen verfügen, Zugriff auf Ihre KMS-Schlüssel gewähren? Bei diesen Schlüsseln kann ein zentralisierter Ansatz den Verwaltungsaufwand für Ihre Kunden und Partner reduzieren.

  4. Haben Sie Autorisierungsanforderungen für den Zugriff auf AWS Ressourcen, die besser durch einen zentralen oder lokalen Zugriffsansatz gelöst werden können? Wenn beispielsweise verschiedene Anwendungen oder Geschäftsbereiche für die Verwaltung der Sicherheit ihrer eigenen Daten verantwortlich sind, ist ein dezentraler Ansatz für die Schlüsselverwaltung besser.

  5. Überschreiten Sie die Kontingente für Serviceressourcen AWS KMS? Da diese Kontingente pro Person festgelegt sind AWS-Konto, verteilt ein dezentrales Modell die Last auf die Konten, wodurch die Servicekontingente effektiv vervielfacht werden.

    Anmerkung

    Das Verwaltungsmodell für Schlüssel ist irrelevant, wenn es um Anforderungskontingente geht, da diese Kontingente für den Hauptbenutzer gelten, der eine Anfrage für den Schlüssel stellt, und nicht für das Konto, das den Schlüssel besitzt oder verwaltet.

Im Allgemeinen empfehlen wir, mit einem dezentralen Ansatz zu beginnen, es sei denn, Sie können die Notwendigkeit eines zentralisierten KMS-Schlüsselmodells artikulieren.

Auswahl von kundenverwalteten Schlüsseln, AWS verwalteten Schlüsseln oder AWS eigenen Schlüsseln

Die KMS-Schlüssel, die Sie für die Verwendung in Ihren eigenen kryptografischen Anwendungen erstellen und verwalten, werden als vom Kunden verwaltete Schlüssel bezeichnet. AWS-Services kann vom Kunden verwaltete Schlüssel verwenden, um die Daten zu verschlüsseln, die der Dienst in Ihrem Namen speichert. Vom Kunden verwaltete Schlüssel werden empfohlen, wenn Sie die volle Kontrolle über den Lebenszyklus und die Verwendung Ihrer Schlüssel haben möchten. Es fallen monatliche Kosten an, wenn Sie einen vom Kunden verwalteten Schlüssel in Ihrem Konto haben. Darüber hinaus fallen bei Anfragen zur Verwendung oder Verwaltung des Schlüssels Nutzungskosten an. Weitere Informationen finden Sie unter AWS KMS Preise.

Wenn Sie Ihre Daten verschlüsseln AWS-Service möchten, aber nicht den Aufwand oder die Kosten für die Schlüsselverwaltung in Anspruch nehmen möchten, können Sie einen AWS verwalteten Schlüssel verwenden. Diese Art von Schlüssel ist in Ihrem Konto vorhanden, kann jedoch nur unter bestimmten Umständen verwendet werden. Er kann nur in dem Kontext verwendet werden AWS-Service , in dem Sie tätig sind, und er kann nur von Prinzipalen innerhalb des Kontos verwendet werden, das den Schlüssel enthält. Sie können nichts über den Lebenszyklus oder die Berechtigungen dieser Schlüssel verwalten. Manche AWS-Services verwenden AWS verwaltete Schlüssel. Das Format eines Alias für AWS verwaltete Schlüssel istaws/<service code>. Ein aws/ebs Schlüssel kann beispielsweise nur zur Verschlüsselung von Amazon Elastic Block Store (Amazon EBS) -Volumes verwendet werden, die sich in demselben Konto wie der Schlüssel befinden, und kann nur von IAM-Prinzipalen in diesem Konto verwendet werden. Ein AWS verwalteter Schlüssel kann nur von Benutzern in diesem Konto und für Ressourcen in diesem Konto verwendet werden. Sie können Ressourcen, die unter einem AWS verwalteten Schlüssel verschlüsselt wurden, nicht mit anderen Konten teilen. Wenn dies eine Einschränkung für Ihren Anwendungsfall darstellt, empfehlen wir, stattdessen einen vom Kunden verwalteten Schlüssel zu verwenden. Sie können diesen Schlüssel mit jedem anderen Konto teilen. Das Vorhandensein eines AWS verwalteten Schlüssels in Ihrem Konto wird Ihnen nicht in Rechnung gestellt, aber die Nutzung dieses Schlüsseltyps durch die Person AWS-Service , die dem Schlüssel zugewiesen ist, wird Ihnen in Rechnung gestellt.

Ein AWS verwalteter Schlüssel ist ein veralteter Schlüsseltyp, der ab 2021 nicht mehr für neue AWS-Services Schlüssel erstellt wird. Stattdessen verwenden neue (und ältere) AWS-Services standardmäßig einen AWS eigenen Schlüssel, um Ihre Daten zu verschlüsseln. AWS Eigene Schlüssel sind eine Sammlung von KMS-Schlüsseln, die ein AWS-Service Unternehmen besitzt und verwaltet, sodass sie in mehreren AWS-Konten Fällen verwendet werden können. Diese Schlüssel befinden sich zwar nicht in Ihrem AWS-Konto, aber Sie AWS-Service können einen verwenden, um die Ressourcen in Ihrem Konto zu schützen.

Wir empfehlen Ihnen, vom Kunden verwaltete Schlüssel zu verwenden, wenn eine detaillierte Kontrolle am wichtigsten ist, und AWS eigene Schlüssel zu verwenden, wenn der Komfort am wichtigsten ist.

In der folgenden Tabelle werden die wichtigsten Richtlinien-, Protokollierungs-, Verwaltungs- und Preisunterschiede zwischen den einzelnen Schlüsseltypen beschrieben. Weitere Informationen zu Schlüsseltypen finden Sie unter AWS KMS Konzepte.

Überlegungen Kundenverwaltete Schlüssel AWS verwaltete Schlüssel AWS eigene Schlüssel
Schlüsselrichtlinie Ausschließlich vom Kunden kontrolliert Wird vom Service gesteuert; vom Kunden einsehbar Ausschließlich kontrolliert und nur sichtbar von AWS-Service demjenigen, der Ihre Daten verschlüsselt
Protokollierung AWS CloudTrail Speicherung von Kundendaten oder Veranstaltungsdaten CloudTrail Datenspeicher für Kundendaten oder Ereignisse Für den Kunden nicht sichtbar
Lebenszyklusmanagement Der Kunde verwaltet Rotation, Löschung und AWS-Region AWS-Service verwaltet Rotation (jährlich), Löschung und Region AWS-Service verwaltet Rotation (jährlich), Löschung und Region
Preise Monatliche Gebühr für die Existenz des Schlüssels (anteilig pro Stunde); die API-Nutzung wird dem Anrufer in Rechnung gestellt Keine Gebühr für die Existenz des Schlüssels; dem Anrufer wird die API-Nutzung in Rechnung gestellt Keine Gebühren für den Kunden

Auswahl eines AWS KMS Schlüsselgeschäfts

Ein Schlüsselspeicher ist ein sicherer Ort für die Speicherung und Verwendung von kryptografischem Schlüsselmaterial. Die branchenweit bewährte Methode für Schlüsselspeicher besteht darin, ein als Hardware-Sicherheitsmodul (HSM) bezeichnetes Gerät zu verwenden, das gemäß dem NIST Federal Information Processing Standards (FIPS) 140 zur Validierung kryptografischer Module auf Sicherheitsstufe 3 validiert wurde. Es gibt andere Programme zur Unterstützung von Schlüsselspeichern, die zur Zahlungsabwicklung verwendet werden. AWS Payment Cryptographyist ein Dienst, mit dem Sie Daten im Zusammenhang mit Ihren Zahlungsaufgaben schützen können.

AWS KMS unterstützt mehrere Schlüsselspeichertypen, um Ihr Schlüsselmaterial bei der Erstellung und Verwaltung Ihrer Verschlüsselungsschlüssel AWS KMS zu schützen. Alle von bereitgestellten Schlüsselspeicheroptionen AWS KMS werden kontinuierlich gemäß FIPS 140 auf Sicherheitsstufe 3 validiert. Sie sind so konzipiert, dass niemand, auch keine AWS Bediener, auf Ihre Klartext-Schlüssel zugreifen oder sie ohne Ihre Zustimmung verwenden kann. Weitere Informationen zu den verfügbaren Typen von Schlüsselspeichern finden Sie in der AWS KMS Dokumentation unter Schlüsselspeicher.

Der AWS KMS Standard-Schlüsselspeicher ist für die meisten Workloads die beste Wahl. Wenn Sie sich für eine andere Art von Schlüsselspeicher entscheiden müssen, sollten Sie sorgfältig abwägen, ob gesetzliche oder andere Anforderungen (z. B. interne) diese Wahl erfordern, und wägen Sie die Kosten und Vorteile sorgfältig ab.

Löschen und Deaktivieren von KMS-Schlüsseln

Das Löschen eines KMS-Schlüssels kann erhebliche Auswirkungen haben. Bevor Sie einen KMS-Schlüssel löschen, den Sie nicht mehr verwenden möchten, sollten Sie überlegen, ob es ausreichend ist, den Schlüsselstatus auf Deaktiviert zu setzen. Solange ein Schlüssel deaktiviert ist, kann er nicht für kryptografische Operationen verwendet werden. Es ist immer noch vorhanden und Sie können es bei Bedarf in future wieder aktivieren. AWS Für deaktivierte Schlüssel fallen weiterhin Speichergebühren an. Wir empfehlen, Schlüssel zu deaktivieren, anstatt sie zu löschen, bis Sie sicher sind, dass der Schlüssel keine Daten oder Datenschlüssel schützt.

Wichtig

Das Löschen eines Schlüssels muss sorgfältig geplant werden. Daten können nicht entschlüsselt werden, wenn der entsprechende Schlüssel gelöscht wurde. AWS hat keine Möglichkeit, einen gelöschten Schlüssel wiederherzustellen, nachdem er gelöscht wurde. Wie bei anderen wichtigen Vorgängen in sollten Sie eine Richtlinie anwenden AWS, die einschränkt, wer Schlüssel für das Löschen planen kann und für das Löschen von Schlüsseln eine Multi-Faktor-Authentifizierung (MFA) vorschreibt.

Um ein versehentliches Löschen von Schlüsseln zu verhindern AWS KMS , wird eine standardmäßige Mindestwartezeit von sieben Tagen nach der Ausführung eines DeleteKey Anrufs eingeführt, bevor der Schlüssel gelöscht wird. Sie können die Wartezeit auf einen Höchstwert von 30 Tagen festlegen. Während der Wartezeit befindet sich der Schlüssel weiterhin AWS KMS im Status Ausstehende Löschung. Er kann nicht für Ver- oder Entschlüsselungsvorgänge verwendet werden. Jeder Versuch, einen Schlüssel, der sich im Status „Ausstehende Löschung“ befindet, für die Verschlüsselung oder Entschlüsselung zu verwenden, wird protokolliert. AWS CloudTrail Sie können in Ihren CloudTrail Protokollen einen CloudWatch Amazon-Alarm für diese Ereignisse einrichten. Wenn Sie bei diesen Ereignissen Alarme erhalten, können Sie den Löschvorgang bei Bedarf abbrechen. Bis zum Ablauf der Wartezeit können Sie den Schlüssel aus dem Status Ausstehende Löschung wiederherstellen und ihn entweder in den Status Deaktiviert oder Aktiviert zurückversetzen.

Um einen Schlüssel für mehrere Regionen zu löschen, müssen Sie die Replikate vor der ursprünglichen Kopie löschen. Weitere Informationen finden Sie unter Schlüssel für mehrere Regionen löschen.

Wenn Sie einen Schlüssel mit importiertem Schlüsselmaterial verwenden, können Sie das importierte Schlüsselmaterial sofort löschen. Dies unterscheidet sich in mehrfacher Hinsicht vom Löschen eines KMS-Schlüssels. Wenn Sie die DeleteImportedKeyMaterial Aktion ausführen, AWS KMS wird das Schlüsselmaterial gelöscht, und der Schlüsselstatus wird auf Ausstehender Import geändert. Nachdem Sie das Schlüsselmaterial gelöscht haben, ist der Schlüssel sofort unbrauchbar. Es gibt keine Wartezeit. Um die Verwendung des Schlüssels wieder zu ermöglichen, müssen Sie dasselbe Schlüsselmaterial erneut importieren. Die Wartezeit für das Löschen von KMS-Schlüsseln gilt auch für KMS-Schlüssel mit importiertem Schlüsselmaterial.

Wenn Datenschlüssel durch einen KMS-Schlüssel geschützt sind und von diesem aktiv verwendet werden AWS-Services, wirkt sich dies nicht unmittelbar darauf aus, wenn der zugehörige KMS-Schlüssel deaktiviert oder das importierte Schlüsselmaterial gelöscht wird. Nehmen wir beispielsweise an, dass ein Schlüssel mit importiertem Material verwendet wurde, um ein Objekt mit SSE-KMS zu verschlüsseln. Sie laden das Objekt in einen Amazon Simple Storage Service (Amazon S3) -Bucket hoch. Bevor Sie das Objekt in den Bucket hochladen, importieren Sie das Material in Ihren Schlüssel. Nachdem das Objekt hochgeladen wurde, löschen Sie das importierte Schlüsselmaterial aus diesem Schlüssel. Das Objekt verbleibt in verschlüsseltem Zustand im Bucket, aber niemand kann auf das Objekt zugreifen, bis das gelöschte Schlüsselmaterial erneut in den Schlüssel importiert wurde. Dieser Ablauf erfordert zwar eine präzise Automatisierung für den Import und das Löschen von Schlüsselmaterial aus einem Schlüssel, kann aber ein zusätzliches Maß an Kontrolle innerhalb einer Umgebung bieten.

AWS bietet ausführliche Anleitungen, die Sie dabei unterstützen, das geplante Löschen von KMS-Schlüsseln zu überwachen und (falls erforderlich) zu korrigieren. Weitere Informationen finden Sie unter Überwachen und Korrigieren des geplanten Löschens von Schlüsseln. AWS KMS