Implementierung - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierung

In dieser Strategie bezieht sich Architektur auf die technische Umsetzung Ihrer Verschlüsselungsstandards. Dieser Abschnitt enthält Informationen darüberAWS-Services, wie AWS Key Management Service(AWS KMS) und AWS CloudHSMSie bei der Implementierung Ihrer data-at-rest Verschlüsselungsstrategie gemäß Ihren Richtlinien und Standards unterstützen können.

AWS KMSist ein verwalteter Dienst, mit dem Sie die kryptografischen Schlüssel erstellen und kontrollieren können, die zum Schutz Ihrer Daten verwendet werden. KMS-Schlüssel verlassen den Dienst niemals unverschlüsselt. Um Ihre KMS-Schlüssel zu verwenden oder zu verwalten, interagieren Sie mit ihnenAWS KMS, und viele davonAWS-Services sind integriertAWS KMS.

AWS CloudHSMist ein kryptografischer Dienst zur Erstellung und Wartung von Hardware-Sicherheitsmodulen (HSMs) in IhrerAWS Umgebung. HSMs sind Computergeräte, die kryptografische Operationen verarbeiten und einen sicheren Speicher für kryptografische Schlüssel bereitstellen. Wenn Ihre Standards vorschreiben, dass Sie FIPS 140-2 Level 3-validierte Hardware verwenden müssen oder wenn Ihre Standards die Verwendung von branchenüblichen APIs wie PKCS #11, Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG) vorschreiben, sollten Sie erwägen, dies zu verwendenAWS CloudHSM.

Sie könnenAWS CloudHSM es als benutzerdefinierten Schlüsselspeicher für konfigurierenAWS KMS. Diese Lösung kombiniert den Komfort und die Serviceintegration vonAWS KMS mit den zusätzlichen Kontroll- und Compliance-Vorteilen der Verwendung einesAWS CloudHSM Clusters in IhremAWS-Konto. Weitere Informationen finden Sie unter Benutzerdefinierte Schlüsselspeicher (AWS KMSDokumentation).

In diesem Dokument werdenAWS KMS Funktionen auf hoher Ebene erörtert und erläutert, wie Sie Ihre Richtlinien und Standards berücksichtigenAWS KMS können.

Kosten, Komfort und Kontrolle

AWS KMSbietet verschiedene Arten von Schlüsseln. Einige gehören oder werden von Kunden verwaltetAWS, und andere werden von Kunden erstellt und verwaltet. Sie können je nach dem Grad der Kontrolle, den Sie über die Schlüssel- und Kostenüberlegungen haben möchten, zwischen diesen Optionen wählen:

  • AWSeigene Schlüssel —AWS besitzt und verwaltet diese Schlüssel, und sie werden mehrfach verwendetAWS-Konten. EinigeAWS-Services unterstützenAWS eigene Schlüssel. Sie können diese Schlüssel kostenlos verwenden. Dieser Schlüsseltyp entlastet Sie von den Kosten und dem Verwaltungsaufwand für die Verwaltung des Schlüssellebenszyklus und des Zugriffs darauf. Weitere Informationen zu diesem Schlüsseltyp finden Sie unter AWSEigene Schlüssel (AWS KMSDokumentation).

  • AWSverwaltete Schlüssel — Wenn ein in integriertAWS-Service istAWS KMS, kann er diese Art von Schlüsseln in Ihrem Namen erstellen, verwalten und verwenden, um Ihre Ressourcen in diesem Dienst zu schützen. Diese Schlüssel werden in IhremAWS-Konto erstellt undAWS-Services können nur verwendet werden. Für einenAWS verwalteten Schlüssel fällt keine monatliche Gebühr an. Für die Nutzung, die über den kostenlosen Bereich hinausgeht, können Gebühren anfallen, aber einigeAWS-Services übernehmen diese Kosten für Sie. Sie können Identitätsrichtlinien verwenden, um den Zugriff auf diese Schlüssel zu kontrollieren und zu überprüfen, aber SieAWS verwalten den Schlüssellebenszyklus. Weitere Informationen zu diesem Schlüsseltyp finden Sie unter AWSVerwaltete Schlüssel (AWS KMSDokumentation). Eine umfassende Liste derAWS-Services Integrationsmöglichkeiten finden Sie unter AWS-ServiceIntegration (AWSMarketing).AWS KMS

  • Vom Kunden verwaltete Schlüssel — Sie erstellen, besitzen und verwalten diesen Schlüsseltyp, und Sie haben die volle Kontrolle über den Schlüssellebenszyklus. Zur Aufgabentrennung können Sie identitäts- und ressourcenbasierte Richtlinien verwenden, um den Zugriff auf den Schlüssel zu steuern. Sie können auch eine automatische Schlüsselrotation einrichten. Für kundenverwaltete Schlüssel fällt eine monatliche Gebühr an, und wenn Sie das kostenlose Kontingent überschreiten, fällt auch eine Nutzungsgebühr für die Nutzung an. Weitere Informationen zu diesem Schlüsseltyp finden Sie unter Kundenverwaltete Schlüssel (AWS KMSDokumentation).

Weitere Informationen zur Speicherung und Verwendung von Schlüsseln finden Sie unter AWS Key Management ServicePreise (AWSMarketing).

Leistungs- und Verschlüsselungsarten

Basierend auf dem in den Standards ausgewählten Verschlüsselungstyp können Sie zwei Arten von KMS-Schlüsseln verwenden.

  • Symmetrisch — AlleAWS KMS key Typen unterstützen symmetrische Verschlüsselung. Bei der Verschlüsselung von kundenverwalteten Schlüsseln können Sie einen Schlüssel mit einer einzigen Stärke für die Ver- und Entschlüsselung mit AES-256-GCM verwenden.

  • Asymmetrisch — Kundenverwaltete Schlüssel unterstützen asymmetrische Verschlüsselung. Sie können je nach Verwendungszweck zwischen verschiedenen Schlüsselstärken und Algorithmen wählen. Asymmetrische Schlüssel können mit RSA ver- und entschlüsselt werden und Vorgänge mit RSA oder ECC signieren und verifizieren. Asymmetrische Schlüsselalgorithmen sorgen von Natur aus für eine Rollentrennung und vereinfachen die Schlüsselverwaltung. Wenn Sie asymmetrische Verschlüsselung mit verwendenAWS KMS, werden einige Operationen nicht unterstützt, z. B. das Rotieren von Schlüsseln und das Importieren von externem Schlüsselmaterial.

Weitere Informationen zu denAWS KMS Operationen, die symmetrische und asymmetrische Schlüssel unterstützen, finden Sie in der Schlüsseltypenreferenz (AWS KMSDokumentation).

Envelope-Verschlüsselung

Die Briefumschlagverschlüsselung ist integriertAWS KMS. InAWS KMS generieren Sie Datenschlüssel entweder im Klartext- oder im verschlüsselten Format. Verschlüsselte Datenschlüssel werden mit einem KMS-Schlüssel verschlüsselt. Sie können den KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher in einemAWS CloudHSM Cluster speichern. Weitere Informationen zu den Vorteilen der Umschlagverschlüsselung finden Sie unterÜber Envelope-Verschlüsselung.

Wichtiger Lagerort

Sie verwenden Richtlinien, um den Zugriff aufAWS KMS Ressourcen zu verwalten. Richtlinien beschreiben, wer auf welche Ressourcen zugreifen kann. Richtlinien, die einemAWS Identity and Access Management (IAM-) Principal zugeordnet sind, werden als identitätsbasierte Richtlinien oder IAM-Richtlinien bezeichnet. Richtlinien, die anderen Arten von Ressourcen zugeordnet sind, werden als Ressourcenrichtlinien bezeichnet. AWS KMSRessourcenrichtlinien fürAWS KMS keys werden als Schlüsselrichtlinien bezeichnet. Jeder KMS-Schlüssel besitzt eine Schlüsselrichtlinie.

Wichtige Richtlinien bieten die Flexibilität, den Verschlüsselungsschlüssel an einem zentralen Ort zu speichern oder ihn näher an den Daten auf verteilte Weise zu speichern. Berücksichtigen Sie die folgendenAWS KMS Funktionen, wenn Sie entscheiden, wo KMS-Schlüssel in Ihrem gespeichert werden sollenAWS-Konto:

  • Infrastrukturunterstützung für eine einzelne Region — Standardmäßig sind KMS-Schlüssel regionsspezifisch und werden niemalsAWS KMS unverschlüsselt gespeichert. Wenn Ihre Standards strenge Anforderungen für die Steuerung von Schlüsseln an einem bestimmten geografischen Standort enthalten, sollten Sie die Verwendung von Einzelregionsschlüsseln ausprobieren.

  • Infrastrukturunterstützung für mehrere Regionen — unterstütztAWS KMS auch spezielle Schlüsseltypen, sogenannte Mehrregionsschlüssel. Das Speichern von Daten in mehrerenAWS-Regionen Dateien ist eine gängige Konfiguration für die Notfallwiederherstellung. Durch die Verwendung von Schlüsseln für mehrere Regionen können Sie Daten zwischen Regionen übertragen, ohne sie erneut zu verschlüsseln, und Sie können die Daten so verwalten, als ob Sie in jeder Region denselben Schlüssel gehabt hätten. Diese Funktion ist sehr nützlich, wenn Ihre Standards erfordern, dass Ihre Verschlüsselungsinfrastruktur mehrere Regionen in einer aktiven Konfiguration umfasst. Weitere Informationen finden Sie unter Multiregionale Schlüssel (AWS KMSDokumentation).

  • Zentrales Management — Wenn Ihre Standards erfordern, dass Sie Schlüssel an einem zentralen Ort speichern, können SieAWS KMS damit alle Ihre Verschlüsselungsschlüssel an einem einzigen Ort speichernAWS-Konto. Sie verwenden wichtige Richtlinien, um Zugriff auf andere Anwendungen zu gewähren, die sich auf verschiedenen Konten in derselben Region befinden können. Durch eine zentrale Schlüsselverwaltung kann der Verwaltungsaufwand für die Verwaltung des Schlüssellebenszyklus und der Schlüsselzugriffskontrolle reduziert werden.

  • Externes Schlüsselmaterial — Sie können extern generiertes Schlüsselmaterial importierenAWS KMS. Support für diese Funktionalität ist für symmetrische Schlüssel mit einem und mehreren Regionen verfügbar. Da das Material des symmetrischen Schlüssels extern generiert wird, sind Sie für den Schutz der generierten Schlüsselmaterialien verantwortlich. Weitere Informationen finden Sie unter Importiertes Schlüsselmaterial (AWS KMSDokumentation).

Zugriffskontrolle

InAWS KMS können Sie die Zugriffskontrolle auf granularer Ebene implementieren, indem Sie die folgenden Richtlinienmechanismen verwenden: Schlüsselrichtlinien, IAM-Richtlinien und Zuschüsse. Mithilfe dieser Steuerelemente können Sie Ihre Aufgabentrennung auf der Grundlage von Rollen einrichten, z. B. Administratoren, Schlüsselbenutzer, die die Daten verschlüsseln können, Schlüsselbenutzer, die die Daten entschlüsseln können, und Schlüsselbenutzern, die die Daten sowohl verschlüsseln als auch entschlüsseln können. Weitere Informationen finden Sie unter Authentifizierung und Zugriffskontrolle (AWS KMSDokumentation).

Prüfung und Protokollierung

AWS KMSlässt sich zuAWS CloudTrail Protokollierungs- und Überwachungszwecken in Amazon EventBridge integrieren. AlleAWS KMS API-Operationen werden aufgezeichnet und können in CloudTrail Protokollen überprüft werden. Sie können Amazon verwenden CloudWatch EventBridge,AWS Lambda um benutzerdefinierte Überwachungslösungen einzurichten, um Benachrichtigungen und automatische Problembehebungen zu konfigurieren. Weitere Informationen finden Sie unter Protokollierung und Überwachung (AWS KMSDokumentation).