Creare una chiave asimmetrica KMS - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare una chiave asimmetrica KMS

È possibile creare KMSchiavi asimmetriche nella AWS KMS console, utilizzando o utilizzando il CreateKeyAPImodello::: :Key. AWS KMS AWS CloudFormation Una chiave asimmetrica rappresenta una coppia di KMS chiavi pubblica e privata che può essere utilizzata per la crittografia, la firma o la derivazione di segreti condivisi. La chiave privata rimane all'interno. AWS KMS Per scaricare la chiave pubblica da utilizzare all'esterno AWS KMS, vedereScarica la chiave pubblica.

Quando si crea una chiave asimmetrica, è necessario selezionare una specifica KMS chiave. Spesso la scelta delle specifiche chiave è determinata da requisiti normativi, di sicurezza o aziendali. Potrebbe essere influenzata anche dalla dimensione dei messaggi che è necessario crittografare o firmare. In generale, le chiavi di crittografia più lunghe sono più resistenti agli attacchi a forza bruta. Per una descrizione dettagliata di tutte le specifiche chiave supportate, vedere. Riferimento alle specifiche chiave

AWS i servizi che si integrano con AWS KMS non supportano le chiavi asimmetricheKMS. Se desideri creare una KMS chiave che crittografa i dati archiviati o gestiti in un AWS servizio, crea una chiave di crittografia simmetrica. KMS

Per informazioni sulle autorizzazioni necessarie per creare KMS le chiavi, consulta. Autorizzazioni per la creazione di chiavi KMS

È possibile utilizzare il AWS Management Console per creare AWS KMS keys (KMSchiavi) asimmetriche. Ogni chiave asimmetrica rappresenta una coppia di KMS chiavi pubblica e privata.

Importante

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Per creare una chiave asimmetrica, in Tipo di KMS chiave, scegli Asimmetrico.

  6. Per creare una chiave asimmetrica per la crittografia a chiave pubblica, in Utilizzo KMS delle chiavi, scegli Crittografa e decrittografa.

    Per creare una chiave asimmetrica per la firma dei messaggi e la verifica delle firme, in Utilizzo delle KMS chiavi, scegli Firma e verifica.

    Per creare una chiave asimmetrica per derivare segreti condivisi, in Utilizzo delle KMS chiavi, scegli Contratto chiave.

    Per informazioni sulla scelta di un valore di utilizzo chiave, consulta Scelta del tipo di KMS chiave da creare.

  7. Seleziona una specifica (specifica chiave) per la tua chiave asimmetrica. KMS

  8. Scegli Next (Successivo).

  9. Digitate un alias per la chiave. KMS Un nome di alias non può iniziare con aws/. Il prefisso aws/ è riservato da Amazon Web Services per rappresentare le Chiavi gestite da AWS nel tuo account.

    Un alias è un nome descrittivo che puoi utilizzare per identificare la KMS chiave nella console e in alcune altre. AWS KMS APIs Ti consigliamo di scegliere un alias che indichi il tipo di dati che intendi proteggere o l'applicazione che intendi utilizzare con la KMS chiave.

    Gli alias sono necessari quando si crea una KMS chiave in. AWS Management Console Non è possibile specificare un alias quando si utilizza l'CreateKeyoperazione, ma è possibile utilizzare la console o l'CreateAliasoperazione per creare un alias per una chiave esistente. KMS Per informazioni dettagliate, consultare Alias in AWS KMS.

  10. (Facoltativo) Digitare una descrizione per la KMS chiave.

    Inserisci una descrizione che spieghi il tipo di dati che intendi proteggere o l'applicazione che intendi utilizzare con la KMS chiave.

    Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo stato della chiave non sia Pending Deletion o Pending Replica Deletion. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della KMS chiave utilizzata AWS Management Console o utilizza l'UpdateKeyDescriptionoperazione.

  11. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per aggiungere più di un tag alla KMS chiave, scegli Aggiungi tag.

    Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una KMS chiave. Per informazioni sull'etichettatura delle KMS chiavi, consulta Tag in AWS KMS eABACper AWS KMS.

  12. Scegli Next (Successivo).

  13. Seleziona gli IAM utenti e i ruoli che possono amministrare la KMS chiave.

    Nota

    Questa politica chiave offre il Account AWS pieno controllo di questa KMS chiave. Consente agli amministratori degli account IAM di utilizzare le politiche per concedere ad altri responsabili il permesso di gestire la KMS chiave. Per informazioni dettagliate, consultare Policy delle chiavi predefinita.

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  14. (Facoltativo) Per impedire agli IAM utenti e ai ruoli selezionati di eliminare questa KMS chiave, nella sezione Eliminazione della chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori chiave di eliminare questa chiave.

  15. Scegli Next (Successivo).

  16. Seleziona gli IAM utenti e i ruoli che possono utilizzare la KMS chiave per le operazioni crittografiche.

    Nota

    Questa politica chiave offre il Account AWS pieno controllo di questa KMS chiave. Consente agli amministratori degli account IAM di utilizzare le politiche per concedere ad altri responsabili il permesso di utilizzare la KMS chiave nelle operazioni crittografiche. Per informazioni dettagliate, consultare Policy delle chiavi predefinita.

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  17. (Facoltativo) È possibile consentire Account AWS ad altri di utilizzare questa KMS chiave per operazioni crittografiche. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Per consentire ai responsabili degli account esterni di utilizzare la KMS chiave, gli amministratori dell'account esterno devono creare IAM politiche che forniscano tali autorizzazioni. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.

  18. Seleziona Next (Successivo).

  19. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  20. Scegli Fine per creare la chiave. KMS

È possibile utilizzare l'CreateKeyoperazione per creare un'asimmetria AWS KMS key. Questi esempi utilizzano la AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Quando si crea una KMS chiave asimmetrica, è necessario specificare il KeySpec parametro che determina il tipo di chiavi create. Inoltre, è necessario specificare KeyUsage il valore ENCRYPT _DECRYPT, _ o SIGN _VERIFY. KEY AGREEMENT Non è possibile modificare queste proprietà dopo la creazione della KMS chiave.

L'CreateKeyoperazione non consente di specificare un alias, ma è possibile utilizzare l'CreateAliasoperazione per creare un alias per la nuova KMS chiave.

Importante

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Crea una coppia di KMS chiavi asimmetrica per la crittografia pubblica

L'esempio seguente utilizza l'CreateKeyoperazione per creare una chiave asimmetrica di chiavi a 4096 RSA bit progettata per la crittografia a KMS chiave pubblica.

$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
Crea una coppia di KMS key pair asimmetrica per la firma e la verifica

Il comando di esempio seguente crea una chiave asimmetrica che rappresenta una coppia di KMS chiavi utilizzate per la firma e la verificaECC. Non è possibile creare una coppia di chiavi a curva ellittica per la crittografia e la decrittografia.

$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
Crea una coppia di KMS chiavi asimmetrica per derivare segreti condivisi

Il comando di esempio seguente crea una chiave asimmetrica che rappresenta una coppia di KMS chiavi utilizzate per derivare segreti condivisi. ECDH Non è possibile creare una coppia di chiavi a curva ellittica per la crittografia e la decrittografia.

$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}