Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Chiavi per uso speciale
AWS Key Management Service (AWS KMS) supporta diversi tipi di chiavi per usi diversi.
Quando crei una AWS KMS key, per impostazione predefinita ottieni una chiave KMS di crittografia simmetrica. In AWS KMS, una chiave KMS di crittografia simmetrica rappresenta una chiave AES-GCM a 256 bit utilizzata per la crittografia e la decrittografia, tranne nelle regioni della Cina, dove rappresenta una chiave simmetrica a 128 bit simmetrica che utilizza la crittografia SM4. Il materiale della chiave simmetrica mantiene sempre AWS KMS crittografato. A meno che la tua attività non richieda esplicitamente chiavi HMAC o di crittografia asimmetrica, le chiavi KMS di crittografia simmetrica, grazie alle quali AWS KMS è sempre crittografato, sono una scelta valida. Inoltre, i servizi AWS integrati con AWS KMS
Puoi utilizzare una chiave KMS di crittografia simmetrica in AWS KMS per crittografare, decrittografare e crittografare nuovamente i dati, generare chiavi di dati e coppie di chiavi di dati e generare stringhe di byte casuali. Puoi importare il materiale della chiave di tua proprietà in una chiave KMS di crittografia simmetrica e creare chiavi KMS di crittografia simmetrica negli archivi delle chiavi personalizzate. Per una tabella di confronto delle operazioni eseguibili sulle chiavi KMS simmetriche e asimmetriche, consulta la sezione Documentazione di riferimento dei tipi di chiave.
AWS KMS supporta anche i seguenti tipi di chiavi KMS per scopi speciali:
-
Chiavi RSA asimmetriche per la crittografia delle chiavi pubbliche
-
Chiavi RSA ed ECC asimmetriche per la firma e la verifica
-
Chiavi SM2 asimmetriche (solo regioni della Cina) per la crittografia a chiave pubblica o firma e verifica
-
Chiavi HMAC per generare e verificare i codici di autenticazione dei messaggi basati su hash
-
Chiavi a più regionimulti-regione (simmetriche e asimmetriche) che funzionano come copie della stessa chiave in Regioni AWS diverse
-
Chiavi con materiale chiave importato fornito dall'utente
-
Chiavi in un archivio delle chiavi personalizzate che è supportato da un cluster AWS CloudHSM o da un gestore delle chiavi esterne al di fuori di AWS.
Scelta di un tipo di chiave KMS
AWS KMS supporta diversi tipi di chiavi KMS: chiavi crittografiche simmetrica, chiavi HMAC simmetriche, chiavi crittografiche asimmetrica e chiavi di firma asimmetrica.
Le chiavi KMS differiscono perché contengono materiali crittografici diversi.
-
Chiave KMS di crittografia simmetrica: rappresenta una chiave crittografica AES-GCM a 256 bit, tranne nelle regioni della Cina, dove rappresenta una chiave crittografica SM4 a 128 bit. Il materiale della chiave simmetrica mantiene sempre AWS KMS crittografato. Per utilizzare la chiave KMS di crittografia simmetrica devi richiamare AWS KMS.
Le chiavi crittografiche simmetrica, che sono le chiavi KMS predefinite, sono ideali per la maggior parte dei casi d'uso. Se hai bisogno di una chiave KMS per proteggere i tuoi dati in un Servizio AWS, utilizza una chiave crittografica simmetrica a meno che non ti venga richiesto di utilizzare un altro tipo di chiave.
-
Chiave KMS asimmetrica: rappresenta una coppia di chiavi, una pubblica e una privata, correlate matematicamente utilizzabili per la crittografia e la decrittazione o per la firma e la verifica, ma non per entrambe le azioni. Grazie alla chiave privata il servizio AWS KMS non è mai in chiaro. Puoi utilizzare la chiave pubblica all'interno di AWS KMS, chiamando le azioni API AWS KMS, o scaricare la chiave pubblica e usarla all'esterno di AWS KMS.
-
Chiave KMS HMAC (simmetrica): rappresenta una chiave simmetrica di lunghezza variabile utilizzata per generare e verificare i codici di autenticazione dei messaggi basati su hash. Il materiale della chiave di una chiave KMS HMAC mantiene sempre AWS KMS crittografato. Per utilizzare la chiave KMS HMAC, devi richiamare AWS KMS.
Il tipo di chiave KMS creato dipende in gran parte dalla modalità di utilizzo della chiave KMS, dai requisiti di sicurezza e dai requisiti di autorizzazione. Tieni presente che quando crei la chiave KMS, la configurazione crittografica della chiave KMS, tra cui la specifica e l'utilizzo della chiave, viene stabilita in fase di creazione della chiave KMS e non può essere modificata.
Utilizza le indicazioni che seguono per determinare quale tipo di chiave KMS è necessario in base al caso d'uso.
- Crittografia e decrittografia dei dati
-
Utilizza una chiave KMS simmetrica per la maggior parte dei casi d'uso che richiedono la crittografia e la decrittazione dei dati. L'algoritmo di crittografia simmetrica utilizzato da AWS KMS è veloce, efficiente e garantisce la riservatezza e l'autenticità dei dati. Supporta la crittografia autenticata con dati autenticati aggiuntivi (AAD), definiti come contesto di crittografia. Questo tipo di chiave KMS richiede che sia il mittente che il destinatario dei dati crittografati dispongano di credenziali AWS valide per chiamare AWS KMS.
Se il tuo caso d'uso prevede che gli utenti adottino la crittografia all'esterno di AWS poiché non possono chiamare AWS KMS, le chiavi KMS asimmetriche costituiscono una valida scelta. Puoi distribuire la parte pubblica della chiave KMS asimmetrica per consentire a questi utenti di crittografare i dati. E le applicazioni che devono decriptare quei dati possono utilizzare la parte privata della chiave KMS asimmetrica all'interno di AWS KMS.
- Firma dei messaggi e verifica delle firme
-
Per firmare i messaggi e verificare le firme, è necessario utilizzare una chiave KMS asimmetrica. Puoi utilizzare una chiave KMS con una specifica della chiave che rappresenta una coppia di chiavi RSA, una coppia di chiavi basate su curva ellittica (ECC) o una coppia di chiavi SM2 (solo regioni della Cina). La specifica della chiave scelta è determinata dall'algoritmo di firma che desideri utilizzare. Gli algoritmi di firma ECDSA supportati dalle coppie di chiavi ECC sono consigliati rispetto agli algoritmi di firma RSA. Tuttavia, potrebbe essere necessario utilizzare una determinata specifica della chiave e un algoritmo di firma per supportare gli utenti che verificano le firme all'esterno di AWS.
- Esecuzione della crittografia a chiave pubblica
-
Per eseguire la crittografia a chiave pubblica, è necessario utilizzare una chiave KMS asimmetrica con una specifica della chiave RSA o una specifica della chiave SM2 (solo regioni della Cina). Per crittografare i dati in AWS KMS con la chiave pubblica di una coppia di chiavi KMS, utilizza l'operazione Encrypt (crittografa). Puoi anche scaricare la chiave pubblica e condividerla con le parti che devono crittografare i dati all'esterno di AWS KMS.
Quando scarichi la chiave pubblica di una chiave KMS asimmetrica, puoi utilizzarla all'esterno di AWS KMS. Tuttavia, non è più soggetta ai controlli di sicurezza che proteggono la chiave KMS in AWS KMS. Ad esempio, non puoi utilizzare le policy né le concessioni delle chiavi AWS KMS per controllare l'utilizzo della chiave pubblica. Né puoi controllare se la chiave viene utilizzata solo per la crittografia e la decrittografia tramite gli algoritmi di crittografia supportati da AWS KMS. Per ulteriori dettagli, consulta la pagina sulle considerazioni speciali per il download delle chiavi pubbliche.
Per decriptare i dati crittografati con la chiave pubblica all'esterno di AWS KMS, chiamare l'azione Decrypt. L'operazione
Decryptnon riesce se i dati sono stati crittografati con una chiave pubblica di una chiave KMS con l'utilizzo della chiave diSIGN_VERIFY. Avrà anche esito negativo se i dati sono stati crittografati utilizzando un algoritmo che AWS KMS non supporta per le specifiche delle chiavi selezionate. Per ulteriori informazioni sulle specifiche principali e sugli algoritmi supportati, consulta Asymmetric key specs (specifiche delle chiavi asimmetriche).Per evitare questi errori, chiunque utilizzi una chiave pubblica all'esterno di AWS KMS deve archiviare la configurazione della chiave. La AWS KMS console e la GetPublicKeyrisposta forniscono le informazioni da includere quando si condivide la chiave pubblica.
- Generazione e verifica dei codici HMAC
Per generare e verificare i codici di autenticazione dei messaggi basati su hash, utilizza una chiave KMS HMAC. Quando crei una chiave HMAC in AWS KMS, AWS KMS crea e protegge il materiale della chiave e si assicura che utilizzi gli algoritmi MAC corretti per la tua chiave. I codici HMAC possono essere utilizzati anche come numeri pseudo-casuali e, in alcuni scenari, per la firma simmetrica e la tokenizzazione.
Le chiavi KMS HMAC sono chiavi simmetriche. Quando crei una chiave KMS HMAC nella console AWS KMS, scegli il tipo di chiave
Symmetric.- Utilizzo con i servizi AWS
-
Per creare una chiave KMS da utilizzare con un servizio AWS integrato con AWS KMS, consulta la documentazione relativa al servizio. I servizi AWS che crittografano i dati richiedono una chiave KMS di crittografia simmetrica.
Oltre a queste considerazioni, le operazioni crittografiche sulle chiavi KMS con specifiche della chiave diverse hanno prezzi e quote di richieste differenti. Per informazioni sui prezzi di AWS KMS, consulta la pagina dei prezzi di AWS Key Management Service
Selezione dell'utilizzo della chiave
L'utilizzo della chiave di una chiave KMS determina se la chiave KMS viene usata per la crittografia e la decrittografia, per la firma e la verifica delle firme oppure per la generazione e la verifica di tag HMAC. Ogni chiave KMS ha un solo utilizzo. L'utilizzo di una chiave KMS per più di un tipo di operazioni rende il prodotto di tutte le operazioni più vulnerabile agli attacchi.
Come illustrato nella tabella seguente, le chiavi KMS di crittografia simmetrica possono essere utilizzate solo per la crittografia e la decrittografia. Le chiavi KMS HMAC possono essere utilizzate solo per generare e verificare i codici HMAC. Le chiavi KMS basate su curva ellittica (ECC) possono essere utilizzate solo per la firma e la verifica. La scelta dell'utilizzo della chiave deve essere effettuata solo per le chiavi KMS RSA.
Utilizzo valido per i tipi di chiavi KMS | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Tipo di chiave KMS | Encrypt and decrypt (Crittografa e decripta) ENCRYPT_DECRYPT |
Sign and Verify (Firma e verifica) SIGN_VERIFY |
Genera e verifica MAC GENERATE_VERIFY_MAC |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chiavi KMS di crittografia simmetrica |  |
 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chiavi KMS HMAC (simmetriche) | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chiavi KMS asimmetriche con coppie di chiavi RSA | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chiavi KMS asimmetriche con coppie di chiavi ECC | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Chiavi KMS asimmetriche con coppie di chiavi SM2 (solo regioni della Cina) | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nella console AWS KMS, scegli innanzitutto il tipo di chiave (simmetrica o asimmetrica) e l'utilizzo della chiave. Il tipo di chiave scelto determina quali opzioni di utilizzo della chiave verranno visualizzate. L'utilizzo della chiave scelto determina quali specifiche della chiave, se previste, verranno visualizzate.
Per scegliere un utilizzo della chiave nella console AWS KMS:
-
Per le chiavi KMS di crittografia simmetrica (impostazione predefinita), scegli Encrypt and decrypt (Crittografa e decrittografa).
-
Per le chiavi KMS HMAC, scegli Generate and verify MAC (Genera e verifica MAC).
-
Per le chiavi KMS con materiale della chiave basata su curva ellittica (ECC), scegli Sign and verify (Firma e verifica).
-
Per le chiavi KMS con materiale della chiave RSA, scegli Encrypt and decrypt (Crittografa e decrittografa) o Sign and verify (Firma e verifica).
-
Per le chiavi KMS con materiale della chiave SM2, scegli Encrypt and decrypt (crittografa e decrittografa) o Sign and verify (Firma e verifica). La specifica della chiave SM2 è disponibile solo nelle regioni della Cina.
Per consentire ai mandanti di creare chiavi KMS solo per un particolare utilizzo di chiavi, usa la chiave kms: KeyUsage condition. Puoi inoltre utilizzare la kms:KeyUsage chiave di condizione per consentire ali principali di chiamare operazioni API per una chiave KMS in base al relativo utilizzo della chiave. Ad esempio, puoi consentire l'autorizzazione a disabilitare una chiave KMS solo se l'utilizzo della chiave è SIGN_VERIFY.
Selezione delle specifiche della chiave
Quando crei una chiave KMS asimmetrica o una chiave KMS HMAC, selezioni la relativa specifica della chiave. La specifica della chiave, che è una proprietà di ogni AWS KMS key, rappresenta la configurazione crittografica della tua chiave KMS. La specifica della chiave viene scelta in fase di creazione della chiave KMS e non può essere modificata in seguito. Se hai selezionato la specifica della chiave errata, elimina la chiave KMS e creane una nuova.
Nota
La specifica della chiave per una chiave del servizio di gestione delle chiavi era nota come "specifica chiave master cliente". Il CustomerMasterKeySpec parametro dell'CreateKeyoperazione è obsoleto. Utilizza invece il parametro KeySpec. La risposta delle DescribeKeyoperazioni CreateKey and include un CustomerMasterKeySpec membro KeySpec and con lo stesso valore.
La specifica della chiave determina se la chiave KMS è simmetrica o asimmetrica, il tipo di materiale della chiave nella chiave KMS, gli algoritmi di crittografia, gli algoritmi di firma o gli algoritmi del codice di autenticazione dei messaggi (MAC) supportati da AWS KMS per la chiave KMS. La specifica della chiave scelta è in genere determinata dal caso d'uso e dai requisiti normativi. Tuttavia, le operazioni crittografiche sulle chiavi KMS con specifiche diverse della chiave ECC hanno prezzi differenti e sono soggette a varie quote. Per i dettagli sui prezzi, vedere Prezzi di AWS Key Management Service
Per determinare le specifiche chiave che i responsabili del tuo account possono utilizzare per le chiavi KMS, usa la chiave kms: KeySpec condition.
AWS KMS supporta le seguenti specifiche della chiave per le chiavi KMS:
- Specifica della chiave crittografica simmetrica (impostazione predefinita)
-
-
SYMMETRIC_DEFAULT
-
- Specifiche della chiave HMAC
-
HMAC_224
-
HMAC_256
-
HMAC_384
-
HMAC_512
-
- Specifiche della chiave RSA (crittografia e decrittografia o firma e verifica)
-
RSA_2048
-
RSA_3072
-
RSA_4096
-
- Specifiche della chiave basata su curva ellittica
-
Coppie di chiavi basate su curva ellittica
asimmetriche consigliate da NIST (firma e verifica) -
ECC_NIST_P256 (secp256r1)
-
ECC_NIST_P384 (secp384r1)
-
ECC_NIST_P521 (secp521r1)
-
-
Altre coppie di chiavi asimmetriche basate su curva ellittica (firma e verifica)
-
ECC_SECG_P256K1 (secp256k1
), comunemente usate per la criptovaluta.
-
-
- Specifiche della chiave SM2 (crittografia e decrittografia o firma e verifica)
-
SM2 (solo regioni della Cina)
-
