Implementierung - AWS Präskriptive Leitlinien
Kosten, Komfort und KontrolleLeistungs- und VerschlüsselungstypenSpeicherort des SchlüsselsZugriffskontrollePrüfung und Protokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierung

In dieser Strategie bezieht sich Architektur auf die technische Implementierung Ihrer Verschlüsselungsstandards. Dieser Abschnitt enthält Informationen darüber AWS-Services, wie AWS Key Management Service (AWS KMS) und Ihnen helfen können AWS CloudHSM, Ihre data-at-rest Verschlüsselungsstrategie gemäß Ihren Richtlinien und Standards zu implementieren.

AWS KMS ist ein verwalteter Dienst, der Sie bei der Erstellung und Kontrolle der kryptografischen Schlüssel unterstützt, die zum Schutz Ihrer Daten verwendet werden. KMS-Schlüssel verlassen den Dienst niemals unverschlüsselt. Um Ihre KMS-Schlüssel zu verwenden oder zu verwalten, interagieren Sie mit AWS KMS, und viele AWS-Services davon sind integriert. AWS KMS

AWS CloudHSM ist ein kryptografischer Dienst zum Erstellen und Verwalten von Hardware-Sicherheitsmodulen (HSMs) in Ihrer AWS Umgebung. HSMs sind Computergeräte, die kryptografische Operationen verarbeiten und einen sicheren Speicher für kryptografische Schlüssel bereitstellen. Wenn Ihre Standards die Verwendung von FIPS 140-2 Level 3-validierter Hardware erfordern oder wenn Ihre Standards die Verwendung von Industriestandards wie PKCS #11 APIs, Java Cryptography Extensions (JCE) und Microsoft CryptoG (CNG) vorschreiben, sollten Sie die Verwendung von Hardware in Betracht ziehen. AWS CloudHSM

AWS CloudHSM Sie AWS KMS können es als benutzerdefinierten Schlüsselspeicher für konfigurieren. Diese Lösung kombiniert den Komfort und die Serviceintegration von AWS KMS mit den zusätzlichen Kontroll- und Compliance-Vorteilen der Verwendung eines AWS CloudHSM Clusters in Ihrem AWS-Konto. Weitere Informationen finden Sie unter Benutzerdefinierte Schlüsselspeicher (AWS KMS Dokumentation).

In diesem Dokument werden AWS KMS Funktionen auf allgemeiner Ebene behandelt und es wird erklärt, wie Sie Ihren Richtlinien und Standards gerecht werden AWS KMS können.

Kosten, Komfort und Kontrolle

AWS KMS bietet verschiedene Arten von Schlüsseln. Einige gehören oder werden von Kunden verwaltet AWS, andere werden von Kunden erstellt und verwaltet. Je nachdem, wie viel Kontrolle Sie über wichtige Aspekte und Kosten haben möchten, können Sie zwischen diesen Optionen wählen:

  • AWS eigene Schlüssel — AWS besitzt und verwaltet diese Schlüssel, und sie werden in mehreren Fällen verwendet AWS-Konten. Einige AWS-Services unterstützen AWS eigene Schlüssel. Sie können diese Schlüssel kostenlos verwenden. Dieser Schlüsseltyp entlastet Sie von den Kosten und dem Verwaltungsaufwand für die Verwaltung des Schlüssellebenszyklus und den Zugriff darauf. Weitere Informationen zu diesem Schlüsseltyp finden Sie unter AWS Eigene Schlüssel (AWS KMS Dokumentation).

  • AWS verwaltete Schlüssel — Wenn ein integriert AWS-Service ist AWS KMS, kann es diese Art von Schlüsseln in Ihrem Namen erstellen, verwalten und verwenden, um Ihre Ressourcen in diesem Dienst zu schützen. Diese Schlüssel werden in Ihrem AWS-Konto erstellt und AWS-Services können nur verwendet werden. Für einen AWS verwalteten Schlüssel fällt keine monatliche Gebühr an. Für eine Nutzung, die über das kostenlose Kontingent hinausgeht, können Gebühren anfallen, aber einige AWS-Services übernehmen diese Kosten für Sie. Sie können Identitätsrichtlinien verwenden, um die Anzeige und Prüfung des Zugriffs auf diese Schlüssel zu kontrollieren, AWS verwalten aber den Schlüssellebenszyklus. Weitere Informationen zu diesem Schlüsseltyp finden Sie unter AWS Verwaltete Schlüssel (AWS KMS Dokumentation). Eine umfassende Liste der Funktionen AWS-Services , die integriert werden können AWS KMS, finden Sie unter AWS-Service Integration (AWS Marketing).

  • Vom Kunden verwaltete Schlüssel — Sie erstellen, besitzen und verwalten diese Art von Schlüsseln und haben die volle Kontrolle über den Schlüssellebenszyklus. Für die Aufgabentrennung können Sie sowohl identitäts- als auch ressourcenbasierte Richtlinien verwenden, um den Zugriff auf den Schlüssel zu kontrollieren. Sie können auch eine automatische Schlüsselrotation einrichten. Für vom Kunden verwaltete Schlüssel fällt eine monatliche Gebühr an. Wenn Sie das kostenlose Kontingent überschreiten, fällt auch eine Nutzungsgebühr an. Weitere Informationen zu diesem Schlüsseltyp finden Sie unter Vom Kunden verwaltete Schlüssel (AWS KMS Dokumentation).

Weitere Informationen zur Speicherung und Nutzung von Schlüsseln finden Sie unter AWS Key Management Service Preisgestaltung (AWS Marketing).

Leistungs- und Verschlüsselungstypen

Je nach ausgewähltem Verschlüsselungstyp in den Standards können Sie zwei Arten von KMS-Schlüsseln verwenden.

  • Symmetrisch — Alle AWS KMS key Typen unterstützen symmetrische Verschlüsselung. Bei der Verschlüsselung von vom Kunden verwalteten Schlüsseln können Sie mit AES-256-GCM einen Schlüssel mit nur einer Stärke für die Verschlüsselung und Entschlüsselung verwenden.

  • Asymmetrisch — Vom Kunden verwaltete Schlüssel unterstützen asymmetrische Verschlüsselung. Sie können je nach Verwendungszweck zwischen verschiedenen Schlüsselstärken und Algorithmen wählen. Asymmetrische Schlüssel können mit RSA ver- und entschlüsselt und Operationen mit RSA oder ECC signiert und verifiziert werden. Asymmetrische Schlüsselalgorithmen sorgen von Natur aus für eine Trennung von Rollen und vereinfachen die Schlüsselverwaltung. Wenn Sie die asymmetrische Verschlüsselung mit verwenden AWS KMS, werden einige Operationen nicht unterstützt, z. B. das Rotieren von Schlüsseln und das Importieren von externem Schlüsselmaterial.

Weitere Informationen zu den AWS KMS Operationen, die von symmetrischen und asymmetrischen Schlüsseln unterstützt werden, finden Sie in der Schlüsseltyp-Referenz (Dokumentation)AWS KMS .

Umschlagverschlüsselung

Die Umschlagverschlüsselung ist integriert. AWS KMS In AWS KMS generieren Sie Datenschlüssel entweder im Klartext- oder im verschlüsselten Format. Verschlüsselte Datenschlüssel werden mit einem KMS-Schlüssel verschlüsselt. Sie können den KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher in einem AWS CloudHSM Cluster speichern. Weitere Informationen zu den Vorteilen der Umschlagverschlüsselung finden Sie unterÜber die Verschlüsselung von Umschlägen.

Speicherort des Schlüssels

Sie verwenden Richtlinien, um den Zugriff auf AWS KMS Ressourcen zu verwalten. Richtlinien beschreiben, wer auf welche Ressourcen zugreifen kann. Richtlinien, die einem AWS Identity and Access Management (IAM-) Prinzipal zugeordnet sind, werden als identitätsbasierte Richtlinien oder IAM-Richtlinien bezeichnet. Richtlinien, die mit anderen Arten von Ressourcen verknüpft sind, werden als Ressourcenrichtlinien bezeichnet. AWS KMS Ressourcenrichtlinien für AWS KMS keys werden als Schlüsselrichtlinien bezeichnet. Jeder KMS-Schlüssel hat eine Schlüsselrichtlinie.

Schlüsselrichtlinien bieten die Flexibilität, den Verschlüsselungsschlüssel an einem zentralen Ort oder in der Nähe der Daten auf verteilte Weise zu speichern. Berücksichtigen Sie die folgenden AWS KMS Funktionen, wenn Sie entscheiden, wo Sie Ihre KMS-Schlüssel speichern möchten AWS-Konto:

  • Infrastrukturunterstützung für einzelne Regionen — Standardmäßig sind KMS-Schlüssel regionsspezifisch und werden niemals unverschlüsselt gespeichert. AWS KMS Wenn Ihre Standards strenge Anforderungen an die Steuerung von Schlüsseln an einem bestimmten geografischen Standort vorsehen, sollten Sie die Verwendung von Schlüsseln für einzelne Regionen ausprobieren.

  • Unterstützung für Infrastrukturen mehrerer Regionen — unterstützt AWS KMS auch spezielle Schlüsseltypen, sogenannte Schlüssel für mehrere Regionen. Das Speichern von Daten in mehreren AWS-Regionen ist eine gängige Konfiguration für die Notfallwiederherstellung. Durch die Verwendung von Schlüsseln für mehrere Regionen können Sie Daten zwischen Regionen übertragen, ohne sie erneut zu verschlüsseln, und Sie können die Daten so verwalten, als ob Sie in jeder Region denselben Schlüssel hätten. Diese Funktionalität ist äußerst nützlich, wenn Ihre Standards vorschreiben, dass sich Ihre Verschlüsselungsinfrastruktur in einer Active-Active-Konfiguration über mehrere Regionen erstreckt. Weitere Informationen finden Sie unter Schlüssel für mehrere Regionen (Dokumentation).AWS KMS

  • Zentralisierte Verwaltung — Wenn Ihre Standards vorschreiben, dass Sie Schlüssel an einem zentralen Ort speichern, können Sie all Ihre Verschlüsselungsschlüssel AWS KMS an einem einzigen AWS-Konto Ort speichern. Sie verwenden wichtige Richtlinien, um Zugriff auf andere Anwendungen zu gewähren, die sich in unterschiedlichen Konten in derselben Region befinden können. Durch die zentrale Schlüsselverwaltung kann der Verwaltungsaufwand für die Verwaltung des Schlüssellebenszyklus und die Schlüsselzugriffskontrolle reduziert werden.

  • Externes Schlüsselmaterial — Sie können extern generiertes Schlüsselmaterial in importieren AWS KMS. Support für diese Funktionalität ist für symmetrische Schlüssel mit einer oder mehreren Regionen verfügbar. Da das Material des symmetrischen Schlüssels extern generiert wird, sind Sie für den Schutz der generierten Schlüsselmaterialien verantwortlich. Weitere Informationen finden Sie unter Importiertes Schlüsselmaterial (AWS KMS Dokumentation).

Zugriffskontrolle

In AWS KMS können Sie die Zugriffskontrolle auf granularer Ebene mithilfe der folgenden Richtlinienmechanismen implementieren: Schlüsselrichtlinien, IAM-Richtlinien und Zuschüsse. Mithilfe dieser Kontrollen können Sie die Aufgabentrennung auf der Grundlage von Rollen wie Administratoren, Schlüsselbenutzern, die die Daten verschlüsseln können, Schlüsselbenutzern, die die Daten entschlüsseln können, und Schlüsselbenutzern, die die Daten sowohl verschlüsseln als auch entschlüsseln können, einrichten. Weitere Informationen finden Sie unter Authentifizierung und Zugriffskontrolle (Dokumentation).AWS KMS

Prüfung und Protokollierung

AWS KMS lässt sich zu AWS CloudTrail Protokollierungs- und Überwachungszwecken in Amazon EventBridge integrieren. Alle AWS KMS API-Operationen werden in CloudTrail Protokollen aufgezeichnet und können überprüft werden. Sie können Amazon CloudWatch, und verwenden EventBridge, AWS Lambda um benutzerdefinierte Überwachungslösungen einzurichten, um Benachrichtigungen und automatische Problembehebungen zu konfigurieren. Weitere Informationen finden Sie unter Protokollierung und Überwachung (AWS KMS Dokumentation).