AWS KMS conceptos

Conozca los términos y conceptos básicos que se utilizan en AWS Key Management Service (AWS KMS) y cómo funcionan juntos para ayudar a proteger sus datos.

Introducción a AWS KMS

AWS Key Management Service (AWS KMS) proporciona una interfaz web para generar y administrar claves criptográficas y funciona como proveedor de servicios criptográficos para proteger los datos. AWS KMS ofrece servicios de administración de claves tradicionales integrados con otros AWS servicios para proporcionar una visión uniforme de las claves de los clientes en todas sus áreas AWS, con administración y auditoría centralizadas.

AWS KMS incluye una interfaz web a través de la AWS Management Console interfaz de línea de comandos y las operaciones de RESTful API para solicitar operaciones criptográficas de una flota distribuida de módulos de seguridad de hardware validados por el FIPS 140-3 (). HSMs El AWS KMS HSM es un dispositivo criptográfico de hardware independiente y multichip diseñado para proporcionar funciones criptográficas dedicadas a cumplir con los requisitos de seguridad y escalabilidad de. AWS KMS Puede establecer su propia jerarquía criptográfica basada en el HSM con claves que administra como AWS KMS keys. Estas claves están disponibles únicamente en la memoria HSMs y solo en ella durante el tiempo necesario para procesar su solicitud criptográfica. Puede crear varias claves de KMS, cada una representada por su ID de clave. Solo en las funciones y cuentas de AWS IAM administradas por cada cliente se pueden crear, eliminar o utilizar las claves de KMS administradas por el cliente para cifrar, descifrar, firmar o verificar datos. Puede definir los controles de acceso sobre quién puede administrar el and/or uso de las claves de KMS mediante la creación de una política adjunta a la clave. Estas políticas permiten definir usos específicos de la aplicación para las claves en cada operación de la API.

Además, la mayoría de AWS los servicios admiten el cifrado de datos en reposo mediante claves KMS. Esta capacidad permite a los clientes controlar cómo y cuándo los AWS servicios pueden acceder a los datos cifrados, controlando cómo y cuándo se puede acceder a las claves KMS.

AWS KMS es un servicio por niveles que consta de AWS KMS hosts orientados a la web y un nivel de. HSMs La agrupación de estos hosts en niveles forma la pila. AWS KMS Todas las solicitudes AWS KMS deben realizarse a través del protocolo de seguridad de la capa de transporte (TLS) y terminar en un host. AWS KMS AWS KMS los hosts solo permiten el TLS con un conjunto de cifrado que proporciona un secreto directo perfecto. AWS KMS autentica y autoriza sus solicitudes utilizando los mismos mecanismos de credenciales y políticas AWS Identity and Access Management (IAM) que están disponibles para todas las demás operaciones de la API. AWS

AWS KMS objetivos de diseño

AWS KMS está diseñado para cumplir los siguientes requisitos.

Durabilidad: La durabilidad de las claves criptográficas está diseñada para ser igual a la de los servicios de mayor durabilidad de los que disponen. AWS Una única clave criptográfica puede cifrar grandes volúmenes de datos acumulados durante mucho tiempo.
Confiabilidad: El uso de las claves está protegido por las políticas de control de acceso que usted define y administra. No existe ningún mecanismo para exportar claves de KMS de texto no cifrado. La confidencialidad de las claves criptográficas es crucial. Se requieren varios empleados de Amazon con acceso específico a los controles de acceso basados en quórums para realizar acciones administrativas en el. HSMs
Baja latencia y alto rendimiento: AWS KMS proporciona operaciones criptográficas con niveles de latencia y rendimiento adecuados para su uso en otros servicios en. AWS
Regiones independientes: AWS proporciona regiones independientes para los clientes que necesitan restringir el acceso a los datos en diferentes regiones. El uso de claves se puede aislar dentro de una Región de AWS.
Fuente segura de números aleatorios: Dado que una criptografía sólida depende de una generación de números aleatorios realmente impredecible, AWS KMS proporciona una fuente de números aleatorios validada y de alta calidad.
Auditoría: AWS KMS registra el uso y la administración de las claves criptográficas en AWS CloudTrail los registros. Puede utilizar AWS CloudTrail los registros para inspeccionar el uso de sus claves criptográficas, incluido el uso de las claves por parte de los AWS servicios que actúan en su nombre.

Para lograr estos objetivos, el AWS KMS sistema incluye un conjunto de AWS KMS operadores y operadores de hospedaje de servicios (denominados colectivamente «operadores») que administran los «dominios». Un dominio es un conjunto de AWS KMS servidores y operadores definido a nivel regional. HSMs Cada AWS KMS operador tiene un token de hardware que contiene un key pair de claves pública y privada que se utiliza para autenticar sus acciones. HSMs Tienen un par de claves públicas y privadas adicionales para establecer claves de cifrado que protegen la sincronización de estados del HSM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Puntos de enlace de doble pila

AWS KMS keys