Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
store delle chiavi personalizzate
Un archivio delle chiavi è una posizione sicura in cui archiviare chiavi crittografiche. L'archivio chiavi predefinito in AWS KMS supporta inoltre metodi per la generazione e la gestione delle chiavi che contiene. Per impostazione predefinita, il materiale della chiave crittografica per le AWS KMS keys che crei in AWS KMS viene generato e protetto da moduli di sicurezza hardware (HSM), ovvero moduli di crittografia convalidati con certificazione FIPS 140-2
Tuttavia, se è necessario un controllo ancora maggiore dei moduli di protezione hardware, puoi creare un archivio delle chiavi personalizzate.
Un archivio delle chiavi personalizzate è un archivio delle chiavi logico all'interno di AWS KMS supportato da un gestore delle chiavi esterne al di fuori di AWS KMS di tua proprietà e gestione. Gli archivi delle chiavi personalizzate combinano l'interfaccia di gestione delle chiavi pratica e completa di AWS KMS con la capacità di possedere e controllare il materiale della chiave e le operazioni di crittografia. Quando utilizzi una chiave KMS in un archivio delle chiavi personalizzate, le operazioni di crittografia vengono eseguite dal gestore delle chiavi tramite le chiavi crittografiche. Di conseguenza, ti assumi una maggiore responsabilità per la disponibilità e la durata delle chiavi crittografiche e per il funzionamento degli HSM.
AWS KMS supporta due tipi di archivi delle chiavi personalizzate.
-
Un archivio delle chiavi di AWS CloudHSM è un archivio delle chiavi personalizzate di AWS KMS supportato da un cluster AWS CloudHSM. Quando crei una chiave KMS nell'archivio delle chiavi di AWS CloudHSM, AWS KMS genera una chiave simmetrica AES (Advanced Encryption Standard) a 256 bit non estraibile e persistente nel cluster AWS CloudHSM associato. Questo materiale della chiave esegue sempre la crittografia dei cluster AWS CloudHSM. Quando utilizzi una chiave KMS in un archivio delle chiavi di AWS CloudHSM, le operazioni di crittografia vengono eseguite negli HSM del cluster. I cluster AWS CloudHSM sono supportati da moduli di sicurezza hardware (HSM) con certificazione FIPS 140-2 di livello 3
. -
Un archivio delle chiavi esterne è un archivio delle chiavi personalizzate di AWS KMS supportato da un gestore delle chiavi esterne al di fuori di AWS di tua proprietà e gestione. Quando utilizzi una chiave KMS nell'archivio delle chiavi esterne, tutte le operazioni di crittografia e decrittografia vengono eseguite dal gestore delle chiavi esterne tramite le chiavi crittografiche. Gli archivi delle chiavi esterne sono progettati per supportare una varietà di gestori di diversi fornitori.
AWS KMS non visualizza, accede o interagisce mai direttamente con il gestore delle chiavi esterne o con le chiavi crittografiche. Quando esegui la crittografia o la decrittografia con una chiave KMS in un archivio delle chiavi esterne, l'operazione viene eseguita dal gestore utilizzando le chiavi esterne. Mantieni il pieno controllo delle chiavi crittografiche, inclusa la possibilità di rifiutare o interrompere un'operazione di crittografia senza interagire con AWS. Tuttavia, a causa della distanza e dell'elaborazione aggiuntiva, le chiavi KMS in un archivio delle chiavi esterne potrebbero avere latenza e prestazioni inferiori, oltre a caratteristiche di disponibilità diverse rispetto alle chiavi KMS con materiale della chiave in AWS KMS. Per ulteriori informazioni sui gestori di chiavi compatibili con la funzionalità di archivio chiavi esterno AWS KMS, consulta Quali fornitori esterni supportano la specifica proxy XKS?
nelle Domande frequenti di AWS Key Management Service.
Questi due tipi di archivi delle chiavi personalizzate sono molto diversi tra loro e rispetto all'archivio delle chiavi di AWS KMS standard. Anche i loro modelli di sicurezza, la responsabilità, le prestazioni, il prezzo e i casi d'uso sono molto diversi. Prima di scegliere un archivio delle chiavi personalizzate, leggi la documentazione correlata e verifica che la responsabilità di configurazione e manutenzione aggiuntiva sia un saggio compromesso per il maggiore controllo. Tuttavia, se le norme e i regolamenti in base ai quali operi richiedono il controllo diretto del materiale della chiave, un archivio delle chiavi personalizzate potrebbe essere la scelta ideale per te.
Caratteristiche non supportate
AWS KMS non supporta le seguenti funzioni negli archivi delle chiavi personalizzate.
