Implementasi - AWS Panduan Preskriptif
Biaya, kenyamanan, dan kontrolJenis kinerja dan enkripsiLokasi penyimpanan kunciKontrol aksesAudit dan pencatatan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Implementasi

Dalam strategi ini, arsitektur mengacu pada implementasi teknis standar enkripsi Anda. Bagian ini mencakup informasi tentang bagaimana Layanan AWS, seperti AWS Key Management Service (AWS KMS) dan AWS CloudHSM, dapat membantu Anda menerapkan strategi data-at-rest enkripsi sesuai dengan kebijakan dan standar Anda.

AWS KMS adalah layanan terkelola yang membantu Anda membuat dan mengontrol kunci kriptografi yang digunakan untuk melindungi data Anda. Kunci KMS tidak pernah meninggalkan layanan tidak terenkripsi. Untuk menggunakan atau mengelola kunci KMS Anda, Anda berinteraksi dengan AWS KMS, dan banyak Layanan AWS yang terintegrasi dengannya AWS KMS.

AWS CloudHSM adalah layanan kriptografi untuk membuat dan memelihara modul keamanan perangkat keras (HSMs) di AWS lingkungan Anda. HSMs adalah perangkat komputasi yang memproses operasi kriptografi dan menyediakan penyimpanan yang aman untuk kunci kriptografi. Jika standar Anda mengharuskan Anda untuk menggunakan perangkat keras yang divalidasi FIPS 140-2 Level 3, atau jika standar Anda menentukan penggunaan standar industri, seperti PKCS #11 APIs, Java Cryptography Extensions (JCE), dan Microsoft CryptOong (CNG), maka Anda dapat mempertimbangkan untuk menggunakannya. AWS CloudHSM

Anda dapat mengonfigurasi AWS CloudHSM sebagai toko kunci khusus untuk AWS KMS. Solusi ini menggabungkan kenyamanan dan integrasi layanan AWS KMS dengan kontrol tambahan dan manfaat kepatuhan menggunakan AWS CloudHSM cluster di Anda Akun AWS. Untuk informasi selengkapnya, lihat Toko kunci khusus (AWS KMS dokumentasi).

Dokumen ini membahas AWS KMS fitur pada tingkat tinggi dan menjelaskan bagaimana AWS KMS dapat mengatasi kebijakan dan standar Anda.

Biaya, kenyamanan, dan kontrol

AWS KMS menawarkan berbagai jenis kunci. Beberapa dimiliki atau dikelola oleh AWS, dan yang lainnya dibuat dan dikelola oleh pelanggan. Anda dapat memilih di antara opsi-opsi ini berdasarkan tingkat kontrol yang ingin Anda miliki atas pertimbangan kunci dan biaya:

  • AWS kunci yang AWS dimiliki — memiliki dan mengelola kunci ini, dan mereka digunakan dalam beberapa Akun AWS. Beberapa kunci Layanan AWS dukungan AWS yang dimiliki. Anda dapat menggunakan kunci ini tanpa biaya. Jenis kunci ini membebaskan Anda dari biaya dan overhead administratif untuk mengelola siklus hidup kunci dan akses ke sana. Untuk informasi selengkapnya tentang jenis kunci ini, lihat kunci yang AWS dimiliki (AWS KMS dokumentasi).

  • AWS kunci terkelola — Jika terintegrasi Layanan AWS dengan AWS KMS, ia dapat membuat, mengelola, dan menggunakan jenis kunci ini atas nama Anda, untuk melindungi sumber daya Anda dalam layanan itu. Kunci ini dibuat di Anda Akun AWS, dan hanya Layanan AWS dapat menggunakannya. Tidak ada biaya bulanan untuk kunci yang AWS dikelola. Mereka dapat dikenakan biaya untuk penggunaan melebihi tingkat gratis, tetapi beberapa Layanan AWS menutupi biaya ini untuk Anda. Anda dapat menggunakan kebijakan identitas untuk mengontrol tampilan dan mengaudit akses untuk kunci ini, tetapi AWS mengelola siklus hidup kunci. Untuk informasi selengkapnya tentang jenis kunci ini, lihat kunci AWS terkelola (AWS KMS dokumentasi). Untuk daftar lengkap Layanan AWS yang terintegrasi dengan AWS KMS, lihat Layanan AWS integrasi (AWS pemasaran).

  • Kunci terkelola pelanggan — Anda membuat, memiliki, dan mengelola jenis kunci ini, dan Anda memiliki kontrol penuh atas siklus hidup kunci. Untuk pemisahan tugas, Anda dapat menggunakan kebijakan berbasis identitas dan sumber daya untuk mengontrol akses ke kunci. Anda juga dapat mengatur rotasi kunci otomatis. Kunci yang dikelola pelanggan dikenakan biaya bulanan, dan jika Anda melebihi tingkat gratis, mereka juga dikenakan biaya untuk digunakan. Untuk informasi selengkapnya tentang jenis kunci ini, lihat Kunci terkelola pelanggan (AWS KMS dokumentasi).

Untuk informasi selengkapnya tentang penyimpanan dan penggunaan kunci, lihat AWS Key Management Service harga (AWS pemasaran).

Jenis kinerja dan enkripsi

Berdasarkan jenis enkripsi yang dipilih dalam standar, Anda dapat menggunakan dua jenis kunci KMS.

  • Simetris — Semua AWS KMS key jenis mendukung enkripsi simetris. Saat mengenkripsi kunci yang dikelola pelanggan, Anda dapat menggunakan kunci kekuatan tunggal untuk enkripsi dan dekripsi dengan AES-256-GCM.

  • Asimetris - Kunci yang dikelola pelanggan mendukung enkripsi asimetris. Anda dapat memilih antara kekuatan kunci dan algoritma yang berbeda, berdasarkan tujuan penggunaan Anda. Kunci asimetris dapat mengenkripsi dan mendekripsi dengan RSA dan dapat menandatangani dan memverifikasi operasi dengan RSA atau ECC. Algoritma kunci asimetris secara inheren memberikan pemisahan peran dan menyederhanakan manajemen kunci. Saat menggunakan enkripsi asimetris dengan AWS KMS, beberapa operasi tidak didukung, seperti memutar kunci dan mengimpor materi kunci eksternal.

Untuk informasi selengkapnya tentang AWS KMS operasi yang didukung kunci simetris dan asimetris, lihat Referensi tipe kunci (AWS KMS dokumentasi).

Enkripsi amplop

Enkripsi amplop dibangun ke dalam AWS KMS. Di AWS KMS, Anda menghasilkan kunci data dalam format teks biasa atau terenkripsi. Kunci data terenkripsi dienkripsi dengan kunci KMS. Anda dapat menyimpan kunci KMS di toko kunci khusus dalam sebuah AWS CloudHSM cluster. Untuk informasi lebih lanjut tentang manfaat enkripsi amplop, lihatTentang enkripsi amplop.

Lokasi penyimpanan kunci

Anda menggunakan kebijakan untuk mengelola akses ke AWS KMS sumber daya. Kebijakan menggambarkan siapa yang dapat mengakses sumber daya mana. Kebijakan yang dilampirkan pada prinsipal AWS Identity and Access Management (IAM) disebut kebijakan berbasis identitas atau kebijakan IAM. Kebijakan yang melekat pada jenis sumber daya lain disebut kebijakan sumber daya. AWS KMS kebijakan sumber daya untuk AWS KMS keys disebut kebijakan kunci. Setiap kunci KMS memiliki kebijakan kunci.

Kebijakan utama memberikan fleksibilitas untuk menyimpan kunci enkripsi di lokasi pusat atau menyimpannya lebih dekat ke data, secara terdistribusi. Pertimbangkan AWS KMS fitur-fitur berikut saat Anda memutuskan tempat menyimpan kunci KMS di: Akun AWS

  • Dukungan infrastruktur Single-Region - Secara default, kunci KMS bersifat spesifik Wilayah, dan tidak pernah dibiarkan tidak terenkripsi. AWS KMS Jika standar Anda memiliki persyaratan ketat untuk mengontrol kunci di lokasi geografis tertentu, jelajahi menggunakan kunci Wilayah tunggal.

  • Dukungan infrastruktur Multi-Region — AWS KMS juga mendukung tipe kunci tujuan khusus yang disebut Multi-region keys. Menyimpan data dalam beberapa Wilayah AWS adalah konfigurasi umum untuk pemulihan bencana. Dengan menggunakan kunci Multi-region, Anda dapat mentransfer data antar Wilayah tanpa mengenkripsi ulang, dan Anda dapat mengelola data seolah-olah Anda memiliki kunci yang sama di setiap Wilayah. Fungsionalitas ini sangat berguna jika standar Anda mengharuskan infrastruktur enkripsi Anda mencakup beberapa Wilayah dalam konfigurasi aktif-aktif. Untuk informasi selengkapnya, lihat Kunci Multi-Wilayah (AWS KMS dokumentasi).

  • Manajemen terpusat — Jika standar Anda mengharuskan Anda menyimpan kunci di lokasi terpusat, Anda dapat menggunakannya AWS KMS untuk menyimpan semua kunci enkripsi Anda dalam satu. Akun AWS Anda menggunakan kebijakan utama untuk memberikan akses ke aplikasi lain, yang dapat berada di akun berbeda di Wilayah yang sama. Manajemen kunci terpusat dapat mengurangi overhead administratif untuk mengelola siklus hidup kunci dan kontrol akses kunci.

  • Materi kunci eksternal - Anda dapat mengimpor materi kunci yang dihasilkan secara eksternal ke dalam. AWS KMS Support untuk fungsi ini tersedia untuk kunci simetris tunggal dan Multi-wilayah. Karena bahan kunci simetris dihasilkan secara eksternal, Anda bertanggung jawab untuk melindungi bahan kunci yang dihasilkan. Untuk informasi selengkapnya, lihat Materi kunci yang diimpor (AWS KMS dokumentasi).

Kontrol akses

Di AWS KMS, Anda dapat menerapkan kontrol akses tingkat terperinci dengan menggunakan mekanisme kebijakan berikut: kebijakan utama, kebijakanIAM, dan hibah. Dengan menggunakan kontrol ini, Anda dapat mengatur pemisahan tugas berdasarkan peran, seperti administrator, pengguna kunci yang dapat mengenkripsi data, pengguna kunci yang dapat mendekripsi data, dan pengguna kunci yang dapat mengenkripsi dan mendekripsi data. Untuk informasi selengkapnya, lihat Otentikasi dan kontrol akses (AWS KMS dokumentasi).

Audit dan pencatatan

AWS KMS terintegrasi dengan AWS CloudTrail dan Amazon EventBridge untuk tujuan pencatatan dan pemantauan. Semua operasi AWS KMS API dicatat dan dapat diaudit dalam CloudTrail log. Anda dapat menggunakan Amazon CloudWatch, EventBridge, dan AWS Lambda menyiapkan solusi pemantauan khusus untuk mengonfigurasi notifikasi dan remediasi otomatis. Untuk informasi selengkapnya, lihat Pencatatan dan pemantauan (AWS KMS dokumentasi).