Concetti di base - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concetti di base

Imparare alcuni termini e concetti di base aiuterà a sfruttare al meglio AWS Key Management Service.

AWS KMS key
Nota

AWS KMS sta sostituendo il termine chiave master del cliente (CMK) con AWS KMS key e chiave KMS. Il concetto non è cambiato. Per evitare cambiamenti sostanziali, AWS KMS sta mantenendo alcune varianti di questo termine.

Una chiave logica che rappresenta la parte alta della gerarchia delle chiavi. A una chiave KMS viene assegnato un Amazon Resource Name (ARN) che include un identificatore della chiave univoco, o ID chiave. AWS KMS keys ha tre tipi di chiave:

  • Chiave gestita dal cliente: i clienti creano e controllano il ciclo di vita e le policy di chiavi delle chiavi gestite dai clienti. Tutte le richieste effettuate con queste chiavi vengono registrate come CloudTrail eventi.

  • Chiavi gestite da AWS: AWS crea e controlla il ciclo di vita e le policy di chiavi di Chiavi gestite da AWS, che sono le risorse in un Account AWS di un cliente. I clienti possono visualizzare le politiche di accesso e CloudTrail gli eventi perChiavi gestite da AWS, ma non possono gestire alcun aspetto di queste chiavi. Tutte le richieste effettuate con queste chiavi vengono registrate come CloudTrail eventi.

  • Chiavi di proprietà di AWS: queste chiavi sono create e utilizzate esclusivamente da AWS per le operazioni di crittografia interne su diversi servizi AWS. I clienti non hanno visibilità sulle politiche chiave o Chiave di proprietà di AWS sull'utilizzo di CloudTrail.

Alias

Un nome intuitivo associato a una chiave KMS. L'alias può essere utilizzato in modo intercambiabile con l'ID chiave in molte delle operazioni API AWS KMS.

Autorizzazioni

Una policy associata a una chiave KMS che definisce le autorizzazioni per la chiave. La policy predefinita consente qualsiasi principale definito, oltre a consentire a Account AWS di aggiungere policy IAM che fanno riferimento alla chiave.

Concessioni

L'autorizzazione delegata per l'utilizzo di una chiave KMS quando i principal IAM previsti o la durata di utilizzo non sono noti all'inizio e pertanto non possono essere aggiunti a una chiave o a una policy IAM. Un uso delle concessioni è quello di definire le autorizzazioni di ambito per il modo in cui un servizio AWS può utilizzare una chiave KMS. Il servizio potrebbe essere necessario per utilizzare la chiave per eseguire lavori asincroni per conto dell'utente su dati crittografati in assenza di una chiamata API firmata diretta da parte dell'utente.

Chiavi di dati

Le chiavi di crittografia generate su moduli di protezione hardware (HSM), protette da una chiave KMS. AWS KMS consente alle entità autorizzate di ottenere chiavi dati protette da una chiave KMS. Possono essere restituite sia come chiavi dati in chiaro (non crittografate) che come chiavi dati crittografate. Le chiavi dati possono essere simmetriche o asimmetriche (con le parti pubbliche e private restituite).

Testo cifrato

L'output crittografato di AWS KMS, a volte indicato come testo cifrato del cliente per eliminare la confusione. Il testo cifrato contiene dati crittografati con informazioni aggiuntive che identificano la chiave KMS da utilizzare nel processo di decrittografia. Le chiavi di dati crittografate sono un esempio comune di testo cifrato prodotto quando si utilizza una chiave KMS, ma tutti i dati di dimensioni inferiori a 4 KB possono essere crittografati con una chiave KMS per produrre un testo cifrato.

Contesto di crittografia

Una mappa di coppia chiave-valore di informazioni aggiuntive associate a informazioni protette da AWS KMS. AWS KMSutilizza la crittografia autenticata per proteggere le chiavi di dati. Il contesto di crittografia è incorporato nell'AAD della crittografia autenticata nei testi cifrati crittografati da AWS KMS. Queste informazioni di contesto sono facoltative e non vengono restituite quando si richiede una chiave (o un'operazione di crittografia). Ma se utilizzato, questo valore di contesto è necessario per completare correttamente un'operazione di decrittografia. Il contesto di crittografia offre informazioni autenticate supplementari. Queste informazioni possono aiutarti a far rispettare le politiche e possono essere incluse nei AWS CloudTrail registri. Ad esempio, è possibile utilizzare una coppia chiave-valore di {"key name":"satellite uplink key"} per assegnare un nome alla chiave di dati. L'uso successivo della chiave crea una voce AWS CloudTrail include “key name”: “satellite uplink key”. Queste informazioni aggiuntive possono fornire un contesto utile per comprendere il motivo per cui è stata utilizzata una determinata chiave KMS.

Chiavi pubbliche

Quando si utilizzano cifrature asimmetriche (RSA o curva ellittica), la chiave pubblica è il "componente pubblico" di una coppia di chiavi pubblica-privata. La chiave pubblica può essere condivisa e distribuita alle entità che devono crittografare i dati per il proprietario della coppia di chiavi pubblica-privata. Per le operazioni di firma digitale, la chiave pubblica viene utilizzata per verificare la firma.

Chiave privata

Quando si utilizzano cifrature asimmetriche (RSA o curva ellittica), la chiave privata è il "componente privato" di una coppia di chiavi pubblica-privata. La chiave privata viene utilizzata per decrittografare i dati o creare firme digitali. Analogamente alle chiavi KMS simmetriche, le chiavi private vengono crittografate in HSM. Vengono decifrate solo nella memoria a breve termine dell'HSM e solo per il tempo necessario per elaborare la richiesta di crittografia.