AWS KMS objetivos de diseño - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS KMS objetivos de diseño

AWS KMS está diseñado para cumplir los siguientes requisitos.

Durabilidad

La durabilidad de las claves criptográficas está diseñada para ser igual a la de los servicios de mayor durabilidad. AWS Una única clave criptográfica puede cifrar grandes volúmenes de datos acumulados durante mucho tiempo.

Confiabilidad

El uso de las claves está protegido por las políticas de control de acceso que usted define y administra. No existe ningún mecanismo para exportar claves de KMS de texto no cifrado. La confidencialidad de las claves criptográficas es crucial. Se requieren varios empleados de Amazon con acceso específico a los controles de acceso basados en quórums para realizar acciones administrativas en el. HSMs

Baja latencia y alto rendimiento

AWS KMS proporciona operaciones criptográficas con niveles de latencia y rendimiento adecuados para su uso en otros servicios en. AWS

Regiones independientes

AWS proporciona regiones independientes para los clientes que necesitan restringir el acceso a los datos en diferentes regiones. El uso de claves se puede aislar dentro de una Región de AWS.

Fuente segura de números aleatorios

Debido a que la criptografía rigurosa depende de la generación de números aleatorios verdaderamente impredecibles, AWS KMS proporciona una fuente de alta calidad y con validación de números aleatorios.

Auditoría

AWS KMS registra el uso y la administración de las claves criptográficas en AWS CloudTrail los registros. Puede utilizar AWS CloudTrail los registros para inspeccionar el uso de sus claves criptográficas, incluido el uso de las claves por parte de los AWS servicios que actúan en su nombre.

Para lograr estos objetivos, el AWS KMS sistema incluye un conjunto de AWS KMS operadores y operadores de hospedaje de servicios (denominados colectivamente «operadores») que administran los «dominios». Un dominio es un conjunto de AWS KMS servidores y operadores definido regionalmente. HSMs Cada AWS KMS operador tiene un token de hardware que contiene un key pair de claves pública y privada que se utiliza para autenticar sus acciones. HSMsTienen un par de claves públicas y privadas adicionales para establecer claves de cifrado que protegen la sincronización de estados del HSM.

Este paper ilustra cómo AWS KMS protege sus claves y otros datos que desee cifrar. A lo largo de este documento, las claves de cifrado o los datos que desea cifrar se denominan “secretos” o “material secreto”.