AWS KMS obiettivi di progettazione - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS KMS obiettivi di progettazione

AWS KMS è progettato per soddisfare i seguenti requisiti.

Durabilità

La durabilità delle chiavi crittografiche è progettata per eguagliare quella dei servizi di massima durabilità in AWS. Una singola chiave di crittografia può crittografare grandi volumi di dati accumulati per un lungo periodo di tempo.

Affidabile

L'utilizzo delle chiavi è protetto alle policy di controllo accessi definite e gestite dall'utente. Non esiste alcun meccanismo per esportare le chiavi KMS in chiaro. La riservatezza delle chiavi di crittografia è fondamentale. Sono necessari più dipendenti Amazon con accesso specifico per ruolo ai controlli di accesso basati sul quorum per eseguire azioni amministrative su. HSMs

Bassa latenza e velocità effettiva elevata

AWS KMS fornisce operazioni crittografiche a livelli di latenza e velocità effettiva adatti all'uso da parte di altri servizi in. AWS

Regioni indipendenti

AWS fornisce regioni indipendenti per i clienti che devono limitare l'accesso ai dati in diverse regioni. L'utilizzo delle chiavi può essere isolato all'interno di una Regione AWS.

Fonte sicura di numeri casuali

Poiché la crittografia forte dipende dalla generazione di numeri casuali davvero imprevedibili, AWS KMS fornisce una fonte convalidata e a qualità elevata di numeri casuali.

Verifica

AWS KMS registra l'uso e la gestione delle chiavi crittografiche nei AWS CloudTrail log. È possibile utilizzare AWS CloudTrail i log per controllare l'uso delle chiavi crittografiche, incluso l'uso delle chiavi da parte AWS dei servizi che operano per conto dell'utente.

Per raggiungere questi obiettivi, il AWS KMS sistema include una serie di AWS KMS operatori e operatori di service host (collettivamente, «operatori») che amministrano i «domini». Un dominio è un insieme di AWS KMS server e operatori definito a livello regionale. HSMs Ogni AWS KMS operatore dispone di un token hardware che contiene una coppia di chiavi privata e una pubblica che viene utilizzata per autenticare le sue azioni. HSMsDispongono di un'ulteriore coppia di chiavi private e pubbliche per stabilire chiavi di crittografia che proteggono la sincronizzazione dello stato HSM.

Questo paper illustra come AWS KMS protegge le chiavi e gli altri dati che si desidera crittografare. In tutto il documento, le chiavi di crittografia o i dati da crittografare vengono definiti "segreti" o "materiale segreto".