Tentang AWS KMS keys - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tentang AWS KMS keys

AWS Key Management Service (AWS KMS) memungkinkan Anda untuk membuat kunci kriptografi yang dapat digunakan pada data yang Anda berikan ke layanan. Jenis sumber daya utama adalah kunci KMS, yang ada tiga jenis:

  • Kunci simetris Advanced Encryption Standard (AES) — Ini adalah kunci 256-bit yang digunakan di bawah mode Galois Counter Mode (GCM) AES. Kunci ini menyediakan enkripsi dan dekripsi data yang diautentikasi yang berukuran kurang dari 4 KB. Ini adalah jenis kunci yang paling umum. Ini digunakan untuk melindungi kunci data lainnya, seperti yang digunakan dalam aplikasi Anda atau dengan Layanan AWS mengenkripsi data atas nama Anda.

  • Kunci asimetris kurva RSA atau elips - Tombol ini tersedia dalam berbagai ukuran dan mendukung banyak algoritma. Tergantung pada algoritma, mereka dapat digunakan untuk enkripsi dan dekripsi dan untuk menandatangani dan memverifikasi operasi.

  • Kunci simetris untuk melakukan operasi kode otentikasi pesan berbasis hash (HMAC) — Kunci ini adalah kunci 256-bit yang digunakan untuk menandatangani dan memverifikasi operasi.

Kunci KMS tidak dapat diekspor dari layanan dalam teks biasa. Mereka dihasilkan oleh dan hanya dapat digunakan dalam modul keamanan perangkat keras (HSMs) yang digunakan oleh layanan. Ini adalah properti keamanan dasar AWS KMS untuk mencegah kompromi kunci. Di Wilayah Tiongkok (Beijing) dan Tiongkok (Ningxia), HSMs ini disertifikasi oleh OSCCA. Di semua Wilayah lain, yang HSMs digunakan di AWS KMS divalidasi di bawah program FIPS 140 dalam NIST di Security Level 3. Untuk informasi selengkapnya tentang desain dan kontrol AWS KMS yang membantu melindungi kunci Anda, lihat Detail AWS Key Management Service Kriptografi.

Anda dapat mengirimkan data AWS KMS dengan menggunakan berbagai kriptografi APIs untuk melakukan enkripsi, mendekripsi, menandatangani, atau memverifikasi operasi dengan kunci KMS. Anda juga dapat memilih untuk memiliki kunci KMS bertindak seperti kunci enkripsi kunci, yang melindungi tipe kunci yang disebut kunci data. Kunci data dapat diekspor dari AWS KMS untuk digunakan dalam aplikasi lokal Anda atau Layanan AWS yang melindungi data atas nama Anda. Penggunaan kunci data umum di semua sistem manajemen kunci dan sering disebut sebagai enkripsi amplop. Enkripsi amplop memungkinkan kunci data untuk digunakan pada sistem jarak jauh yang menangani data sensitif Anda, daripada harus mengirim data sensitif Anda AWS KMS untuk enkripsi langsung di bawah kunci KMS.

Untuk informasi lebih lanjut, lihat AWS KMS keysdan AWS KMS kriptografi penting dalam dokumentasi. AWS KMS