AWS KMS tujuan desain - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS KMS tujuan desain

AWS KMS dirancang untuk memenuhi persyaratan berikut.

Daya tahan

Daya tahan kunci kriptografi dirancang untuk menyamai layanan dengan daya tahan tertinggi di AWS. Kunci kriptografi tunggal dapat mengenkripsi volume besar data Anda yang telah terakumulasi dalam waktu lama.

Dapat Dipercaya

Penggunaan kunci dilindungi oleh kebijakan kontrol akses yang Anda tetapkan dan kelola. Tidak ada mekanisme untuk mengekspor kunci KMS plaintext. Kerahasiaan kunci kriptografi Anda sangat penting. Beberapa karyawan Amazon dengan akses khusus peran ke kontrol akses berbasis kuorum diperlukan untuk melakukan tindakan administratif pada. HSMs

Latensi rendah dan throughput yang tinggi

AWS KMS menyediakan operasi kriptografi pada tingkat latensi dan throughput yang cocok untuk digunakan oleh layanan lain di. AWS

Daerah Independen

AWS menyediakan Wilayah independen untuk pelanggan yang perlu membatasi akses data di Wilayah yang berbeda. Penggunaan kunci dapat diisolasi dalam file Wilayah AWS.

Sumber nomor acak yang aman

Karena kriptografi yang kuat bergantung pada generasi angka acak yang benar-benar tidak dapat diprediksi, AWS KMS menyediakan sumber angka acak berkualitas tinggi dan tervalidasi.

Audit

AWS KMS mencatat penggunaan dan pengelolaan kunci kriptografi dalam AWS CloudTrail log. Anda dapat menggunakan AWS CloudTrail log untuk memeriksa penggunaan kunci kriptografi Anda, termasuk penggunaan kunci oleh AWS layanan atas nama Anda.

Untuk mencapai tujuan ini, AWS KMS sistem mencakup seperangkat AWS KMS operator dan operator host layanan (secara kolektif, “operator”) yang mengelola “domain.” Domain adalah seperangkat AWS KMS server,, HSMs dan operator yang ditentukan secara regional. Setiap AWS KMS operator memiliki token perangkat keras yang berisi key pair pribadi dan publik yang digunakan untuk mengotentikasi tindakannya. Mereka HSMs memiliki tambahan private dan public key pair untuk membangun kunci enkripsi yang melindungi sinkronisasi status HSM.

Paper ini menggambarkan bagaimana AWS KMS melindungi kunci Anda dan data lain yang ingin Anda enkripsi. Dalam seluruh dokumen ini, kunci enkripsi atau data yang ingin Anda enkripsi disebut sebagai “rahasia” atau “materi rahasia”.