Download delle chiavi pubbliche - AWS Key Management Service
Considerazioni speciali per il download delle chiavi pubblicheDownload di una chiave pubblica (console)Scaricamento di una chiave pubblica (AWS KMS API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Download delle chiavi pubbliche

È possibile visualizzare, copiare e scaricare la chiave pubblica da una coppia di chiavi KMS asimmetrica utilizzando AWS Management Console l'API o. AWS KMS È necessario disporre dell'autorizzazione kms:GetPublicKey per la chiave KMS asimmetrica.

Ogni coppia di chiavi KMS asimmetrica è composta da una chiave privata che non AWS KMS esce mai non crittografata e da una chiave pubblica che puoi scaricare e condividere.

Potresti condividere una chiave pubblica per consentire ad altri di crittografare i dati, ma puoi decrittografare solo con AWS KMS la tua chiave privata. Oppure per consentire ad altri di verificare esternamente a AWS KMS una firma digitale generata con la chiave privata. Oppure, per condividere la tua chiave pubblica con un altro utente per ricavare un segreto condiviso.

Quando utilizzate la chiave pubblica contenuta nella vostra chiave KMS asimmetrica all'interno AWS KMS, beneficiate dell'autenticazione, dell'autorizzazione e della registrazione che fanno parte di ogni operazione. AWS KMS Si riduce anche il rischio di crittografare dati che non possono essere decrittati. Queste funzionalità non sono efficaci al di fuori di. AWS KMS Per informazioni dettagliate, vedi Considerazioni speciali per il download delle chiavi pubbliche.

Suggerimento

Ti interessano le chiavi di dati o le chiavi SSH? In questo argomento viene descritto come gestire le chiavi asimmetriche in AWS Key Management Service, dove la chiave privata non è esportabile. Per le coppie di chiavi di dati esportabili in cui la chiave privata è protetta da una chiave KMS con crittografia simmetrica, vedere. GenerateDataKeyPair Per informazioni su come scaricare la chiave pubblica associata a un'istanza Amazon EC2, consulta Recupero della chiave pubblica nella Guida per l'utente di Amazon EC2 e nella Guida per l'utente di Amazon EC2.

Considerazioni speciali per il download delle chiavi pubbliche

Per proteggere le chiavi KMS, AWS KMS fornisce controlli di accesso, crittografia autenticata e registri dettagliati di ogni operazione. AWS KMS consente inoltre di impedire l'uso delle chiavi KMS, temporaneamente o permanentemente. Infine, AWS KMS le operazioni sono progettate per ridurre al minimo il rischio di crittografia dei dati che non possono essere decrittografati. Queste funzionalità non sono disponibili quando si utilizzano chiavi pubbliche scaricate all'esterno di. AWS KMS

Autorizzazione

Le policy chiave e le policy IAM che controllano l'accesso alla chiave KMS interna non AWS KMS hanno alcun effetto sulle operazioni eseguite all'esterno di AWS. Qualsiasi utente in grado di ottenere la chiave pubblica può utilizzarla all'esterno di, AWS KMS anche se non dispone dell'autorizzazione per crittografare i dati o verificare le firme con la chiave KMS.

Limitazioni d'uso delle chiavi

Le restrizioni sull'utilizzo delle chiavi non sono efficaci al di fuori di. AWS KMS Se si richiama l'operazione Encrypt con una chiave KMS con un KeyUsage ofSIGN_VERIFY, l' AWS KMS operazione ha esito negativo. Tuttavia, se si crittografano i dati all'esterno AWS KMS con una chiave pubblica proveniente da una chiave KMS con un KeyUsage of SIGN_VERIFY oKEY_AGREEMENT, i dati non possono essere decrittografati.

Restrizioni sugli algoritmi

Le restrizioni sugli algoritmi di crittografia e firma supportati non sono efficaci al di AWS KMS fuori di. AWS KMS Se si crittografano i dati con la chiave pubblica proveniente da una chiave KMS esterna a e si utilizza un algoritmo di AWS KMS crittografia che non supporta, i dati AWS KMS non possono essere decrittografati.

Disattivazione ed eliminazione di chiavi KMS

Le azioni che puoi intraprendere per impedire l'uso della chiave KMS in un'operazione crittografica interna non impediscono a nessuno di utilizzare la chiave pubblica all' AWS KMS esterno. AWS KMS Ad esempio, la disattivazione di una chiave KMS, la pianificazione dell'eliminazione di una chiave KMS, l'eliminazione di una chiave KMS o l'eliminazione del materiale di chiave da una chiave KMS non hanno alcun effetto su una chiave pubblica esterna a AWS KMS. Se elimini una chiave KMS asimmetrica o elimini o perdi il relativo materiale chiave, i dati crittografati con una chiave pubblica esterna non sono recuperabili. AWS KMS

Registrazione

AWS CloudTrail i registri che registrano ogni AWS KMS operazione, inclusa la richiesta, la risposta, la data, l'ora e l'utente autorizzato, non registrano l'uso della chiave pubblica all'esterno di. AWS KMS

Verifica offline con coppie di chiavi SM2 (solo regioni della Cina)

Per verificare una firma all'esterno AWS KMS con una chiave pubblica SM2, è necessario specificare l'ID distintivo. Per impostazione predefinita, viene AWS KMS utilizzato 1234567812345678 come ID distintivo. Per ulteriori informazioni, consulta Offline verification with SM2 key pairs (China Regions only) (verifica offline con coppie di chiavi SM2 (solo regioni della Cina)).

Download di una chiave pubblica (console)

Puoi utilizzare il AWS Management Console per visualizzare, copiare e scaricare la chiave pubblica da una chiave KMS asimmetrica del tuo. Account AWS Per scaricare la chiave pubblica da una chiave KMS asimmetrica in diversi modi, utilizza l'API. Account AWS AWS KMS

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegli l'alias o l'ID chiave di una chiave KMS asimmetrica.

  5. Scegli la tab Configurazione crittografica. Registra i valori dei campi Specifica della chiave, Utilizzo della chiave e Algoritmi di crittografia o Algoritmi di firma. Dovrai utilizzare questi valori per utilizzare la chiave pubblica all'esterno di. AWS KMS Assicurarsi di condividere queste informazioni quando si condivide la chiave pubblica.

  6. Scegliere la scheda Public key (Chiave pubblica).

  7. Per copiare la chiave pubblica negli Appunti, scegliere Copy (Copia). Per scaricare la chiave pubblica in un file, scegliere Download (Scarica).

Scaricamento di una chiave pubblica (AWS KMS API)

L'GetPublicKeyoperazione restituisce la chiave pubblica in una chiave KMS asimmetrica. Restituisce inoltre informazioni critiche necessarie per utilizzare correttamente la chiave pubblica all'esterno AWS KMS, inclusi gli algoritmi di utilizzo della chiave e di crittografia. Assicurati di salvare questi valori e di condividerli ogni volta che condividi la chiave pubblica.

Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Per specificare una chiave KMS, utilizza l'ID chiave, l'ARN di chiave, il nome dell'alias o l'ARN di alias. Quando utilizzi un nome alias, aggiungi il prefisso alias/. Per specificare una chiave KMS in un'altra chiave Account AWS, è necessario utilizzare la relativa chiave ARN o l'alias ARN.

Prima di eseguire questo comando, sostituisci il nome alias di esempio con un identificatore valido per la chiave KMS. Per eseguire questo comando, è necessario disporre delle autorizzazioni kms:GetPublicKey per la chiave KMS.

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}