Archivi delle chiavi esterne - AWS Key Management Service
Concetti fondamentali sull'archivio delle chiavi esterneFunzionamento degli archivi delle chiavi esterne

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Archivi delle chiavi esterne

Gli archivi di chiavi esterni consentono di proteggere AWS le risorse utilizzando chiavi crittografiche esterne a. AWS Questa funzionalità avanzata è progettata per carichi di lavoro regolamentati che è necessario proteggere con chiavi crittografiche archiviate in un sistema di gestione delle chiavi esterno da te controllato. Gli archivi di chiavi esterni supportano l'impegno di sovranitàAWS digitale per darti il controllo sovrano sui tuoi dati AWS, inclusa la possibilità di crittografarli con materiale chiave che possiedi e che controlli all'esterno. AWS

Un archivio di chiavi esterno è un archivio di chiavi personalizzato supportato da un gestore di chiavi esterno che possiedi e gestisci esternamente. AWS Il gestore delle chiavi esterne può essere un modulo di sicurezza hardware (HSM) fisico o virtuale o qualsiasi sistema basato su hardware o software in grado di generare e utilizzare chiavi crittografiche. Le operazioni di crittografia e decrittografia che utilizzano una chiave KMS in un archivio delle chiavi esterne vengono eseguite dal gestore delle chiavi esterne utilizzando il materiale della chiave crittografica, una funzionalità nota come HYOK (Hold Your Own Keys).

AWS KMS non interagisce mai direttamente con il gestore di chiavi esterno e non può creare, visualizzare, gestire o eliminare le chiavi. AWS KMS Interagisce invece solo con il software proxy di archiviazione delle chiavi esterno (proxy XKS) fornito dall'utente. Il proxy dell'archivio chiavi esterno media tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno. Trasmette tutte le richieste AWS KMS al gestore delle chiavi esterno e ritrasmette le risposte dal gestore delle chiavi esterno a. AWS KMS Il proxy dell'archivio chiavi esterno traduce anche le richieste generiche AWS KMS in un formato specifico del fornitore comprensibile al gestore delle chiavi esterno, consentendoti di utilizzare archivi di chiavi esterni con gestori di chiavi di diversi fornitori.

Puoi utilizzare le chiavi KMS in un archivio delle chiavi esterne per la crittografia lato client, tra cui AWS Encryption SDK. Tuttavia, gli archivi di chiavi esterni sono una risorsa importante per la crittografia lato server, poiché consentono di proteggere più AWS Servizi AWS risorse utilizzando chiavi crittografiche esterne. AWS Servizi AWS che supportano le chiavi gestite dal cliente per la crittografia simmetrica supportano anche le chiavi KMS in un archivio di chiavi esterno. Per i dettagli sul supporto del servizio, consulta la sezione Integrazione del servizio AWS.

Gli archivi di chiavi esterni ne consentono l'utilizzo AWS KMS per carichi di lavoro regolamentati in cui le chiavi di crittografia devono essere archiviate e utilizzate all'esterno di. AWS Tuttavia, si discostano notevolmente dal modello standard di responsabilità condivisa e richiedono oneri operativi aggiuntivi. Il rischio maggiore in termini di disponibilità e latenza supererà, per la maggior parte dei clienti, i vantaggi di sicurezza percepiti per gli archivi delle chiavi esterne.

Gli archivi delle chiavi esterne ti consentono di controllare la radice di attendibilità. I dati crittografati con le chiavi KMS dell'archivio delle chiavi esterne possono essere decrittografati solo utilizzando il gestore delle chiavi esterne che è sotto tuo controllo. Se si revoca temporaneamente l'accesso al gestore di chiavi esterno, ad esempio disconnettendo l'archivio chiavi esterno o disconnettendo il gestore di chiavi esterno dal proxy dell'archivio chiavi esterno, AWS perde ogni accesso alle chiavi crittografiche finché non le si ripristina. Durante tale intervallo di tempo, il testo criptato con le chiavi KMS non può essere decifrato. Se revochi definitivamente l'accesso al gestore delle chiavi esterne, tutto il testo criptato con una chiave KMS nell'archivio delle chiavi esterne diventa irrecuperabile. Le uniche eccezioni sono i AWS servizi che memorizzano brevemente nella cache le chiavi dati protette dalle chiavi KMS. Queste chiavi dati continuano a funzionare fino alla disattivazione della risorsa o alla scadenza della cache. Per informazioni dettagliate, vedi In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati.

Gli archivi di chiavi esterni sbloccano i pochi casi d'uso per carichi di lavoro regolamentati in cui le chiavi di crittografia devono rimanere esclusivamente sotto il tuo controllo e inaccessibili. AWS Ciò rappresenta un cambiamento importante nel modo in cui gestisci l'infrastruttura basata sul cloud e una modifica sostanziale nel modello di responsabilità condivisa. Per la maggior parte dei carichi di lavoro, gli oneri operativi aggiuntivi e i maggiori rischi associati alla disponibilità e alle prestazioni superano i vantaggi di sicurezza percepiti per gli archivi delle chiavi esterne.

Ulteriori informazioni:

È necessario un archivio delle chiavi esterne?

Per la maggior parte degli utenti, l'archivio AWS KMS chiavi predefinito, protetto da moduli di sicurezza hardware convalidati FIPS 140-2 di livello di sicurezza 3, soddisfa i requisiti di sicurezza, controllo e normativi. Gli utenti dell'archivio delle chiavi esterne devono sostenere costi elevati, oneri di manutenzione e risoluzione dei problemi, nonché rischi per latenza, disponibilità e affidabilità.

Quando prendi in considerazione un archivio delle chiavi esterne, assicurati di comprendere bene le alternative. Queste includono, ad esempio, un archivio delle chiavi di AWS CloudHSM supportato da un cluster AWS CloudHSM che possiedi e gestisci e chiavi KMS con materiale della chiave importato che puoi generare nei moduli di sicurezza hardware ed eliminare dalle chiavi KMS su richiesta. In particolare, l'importazione del materiale della chiave con un intervallo di scadenza molto breve potrebbe fornire un livello di controllo simile senza comportare rischi in termini di prestazioni o disponibilità.

Un archivio delle chiavi esterne potrebbe essere la soluzione ideale per la tua organizzazione se disponi dei requisiti seguenti:

  • È necessario utilizzare chiavi crittografiche nel gestore delle chiavi locale o in un gestore di chiavi esterno al controllo dell'utente. AWS

  • Devi dimostrare che le chiavi crittografiche vengono conservate esclusivamente sotto il tuo controllo al di fuori del cloud.

  • Devi crittografare e decrittografare tramite chiavi crittografiche con autorizzazione indipendente.

  • Il materiale chiave deve essere sottoposto a un percorso di audit secondario e indipendente.

Se scegli un archivio delle chiavi esterne, limita il suo utilizzo ai carichi di lavoro che richiedono protezione con chiavi crittografiche al di fuori di AWS.

Modello di responsabilità condivisa

Le chiavi KMS standard utilizzano materiale chiave generato e utilizzato negli HSM di proprietà e gestione. AWS KMS Stabilisci le politiche di controllo degli accessi sulle tue chiavi KMS e configuri Servizi AWS che utilizzano le chiavi KMS per proteggere le tue risorse. AWS KMS si assume la responsabilità della sicurezza, della disponibilità, della latenza e della durabilità del materiale chiave contenuto nelle chiavi KMS.

Le chiavi KMS negli archivi delle chiavi esterne si basano sul materiale della chiave e sulle operazioni del gestore delle chiavi esterne. Pertanto, l'equilibrio delle responsabilità si sposta a tuo carico. Sei responsabile della sicurezza, dell'affidabilità, della durata e delle prestazioni delle chiavi crittografiche nel tuo gestore di chiavi esterno. AWS KMS è responsabile della risposta tempestiva alle richieste e della comunicazione con il proxy di archiviazione delle chiavi esterno e del mantenimento dei nostri standard di sicurezza. Per garantire che ogni chiave esterna memorizzi testo cifrato almeno quanto il testo AWS KMS cifrato standard, AWS KMS prima cripta tutto il testo non crittografato con il materiale AWS KMS chiave specifico della chiave KMS, quindi lo invia al gestore delle chiavi esterno per la crittografia con la chiave esterna, una procedura nota come doppia crittografia. Di conseguenza, né AWS KMS né il proprietario del materiale della chiave esterna possono decrittografare da soli il testo criptato con doppia crittografia.

Sei responsabile del mantenimento di un gestore di chiavi esterno che soddisfi i tuoi standard normativi e prestazionali, della fornitura e della manutenzione di un proxy dell'archivio di chiavi esterno che sia conforme alla specifica API del proxy dell'archivio di chiavi esterno AWS KMS e della garanzia di durabilità e disponibilità del materiale della tua chiave. Devi inoltre creare, configurare e gestire un archivio delle chiavi esterne. Quando si verificano errori causati da componenti gestiti, è necessario essere pronti a identificarli e risolverli in modo che AWS i servizi possano accedere alle risorse senza interruzioni indebite. AWS KMS fornisce indicazioni sulla risoluzione dei problemi per aiutarvi a determinare la causa dei problemi e le soluzioni più probabili.

Esamina le CloudWatch metriche e le dimensioni di Amazon registrate per gli AWS KMS archivi di chiavi esterni. AWS KMS consiglia vivamente di creare CloudWatch allarmi per monitorare l'archivio di chiavi esterno in modo da poter rilevare i primi segnali di problemi prestazionali e operativi prima che si verifichino.

Cosa sta cambiando?

Gli archivi delle chiavi esterne supportano solo chiavi KMS di crittografia simmetrica. All'interno AWS KMS, si utilizzano e gestiscono le chiavi KMS in un archivio di chiavi esterno più o meno allo stesso modo in cui si gestiscono le altre chiavi gestite dai clienti, inclusa l'impostazione delle politiche di controllo degli accessi e il monitoraggio dell'uso delle chiavi. Utilizzi le stesse API e gli stessi parametri per richiedere un'operazione di crittografia con una chiave KMS in un archivio delle chiavi esterne che usi per qualsiasi chiave KMS. Anche i prezzi sono gli stessi delle chiavi KMS standard. Per i dettagli, consulta le sezioni Gestione di chiavi KMS in un archivio delle chiavi esterne, Utilizzo delle chiavi KMS in un archivio delle chiavi esterne e Prezzi di AWS Key Management Service.

Tuttavia, con gli archivi delle chiavi esterne cambiano i seguenti principi:

  • Sei responsabile della disponibilità, della durata e della latenza delle operazioni con le chiavi.

  • Sei responsabile di tutti i costi per lo sviluppo, l'acquisto, il funzionamento e la concessione di licenze per il sistema di gestione delle chiavi esterne.

  • Puoi implementare l'autorizzazione indipendente di tutte le richieste dal tuo proxy AWS KMS di archiviazione delle chiavi esterno.

  • È possibile monitorare, controllare e registrare tutte le operazioni del proxy dell'archivio chiavi esterno e tutte le operazioni del gestore di chiavi esterno relative alle AWS KMS richieste.

Da dove iniziare?

Per creare e gestire un archivio delle chiavi esterne, è necessario scegliere l'opzione di connettività proxy dell'archivio delle chiavi esterne, assemblare i prerequisiti e infine creare e configurare l'archivio delle chiavi esterne. Per iniziare, consulta Pianificazione di un archivio delle chiavi esterne.

Quote

AWS KMS consente fino a 10 archivi di chiavi personalizzati in ciascuna Account AWS regione, inclusi archivi AWS CloudHSM chiavi e archivi chiavi esterni, indipendentemente dallo stato della connessione. Inoltre, sono previste quote di richieste AWS KMS sull'uso delle chiavi KMS in un archivio delle chiavi esterno.

Se scegli la connettività proxy VPC per il proxy dell'archivio delle chiavi esterne, potrebbero esserci anche quote sui componenti richiesti, come VPC, sottoreti e Network Load Balancer. Per ulteriori informazioni su queste quote, utilizza la console Service Quotas.

Regioni

Per ridurre al minimo la latenza di rete, crea i componenti dell'archivio delle chiavi esterne nella Regione AWS più vicina al gestore delle chiavi esterne. Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.

Gli archivi di chiavi esterni sono supportati in tutti i Regioni AWS Paesi in cui AWS KMS è supportato, ad eccezione della Cina (Pechino) e della Cina (Ningxia).

Caratteristiche non supportate

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.

Argomenti

Concetti fondamentali sull'archivio delle chiavi esterne

Questo argomento descrive alcuni dei concetti utilizzati in relazione agli archivi delle chiavi esterne.

Archivio delle chiavi esterne

Un archivio chiavi esterno è un archivio di chiavi AWS KMS personalizzato supportato da un gestore di chiavi esterno AWS di proprietà e gestione dell'utente. Ogni chiave KMS in un archivio delle chiavi esterne è associata a una chiave esterna nel gestore delle chiavi esterne. Quando utilizzi una chiave KMS in un archivio delle chiavi esterne per la crittografia o la decrittografia, l'operazione viene eseguita nel gestore delle chiavi esterne utilizzando la chiave esterna, una funzionalità nota come HYOK (Hold Your Own Keys). Questa funzionalità è progettata per le organizzazioni che devono mantenere le chiavi crittografiche nel proprio gestore delle chiavi esterne.

Gli archivi di chiavi esterni assicurano che le chiavi crittografiche e le operazioni che proteggono le AWS risorse rimangano sotto il controllo del gestore delle chiavi esterno. AWS KMS invia richieste al gestore di chiavi esterno per crittografare e decrittografare i dati, ma AWS KMS non può creare, eliminare o gestire chiavi esterne. Tutte le richieste inviate AWS KMS al gestore di chiavi esterno sono mediate da un componente software proxy di archiviazione chiavi esterno fornito, posseduto e gestito dall'utente.

AWS i servizi che supportano le chiavi gestite dai AWS KMS clienti possono utilizzare le chiavi KMS presenti nell'archivio di chiavi esterno per proteggere i dati. Di conseguenza, i tuoi dati sono infine protetti dalle chiavi utilizzando le operazioni di crittografia nel gestore delle chiavi esterne.

Le chiavi KMS in un archivio delle chiavi esterne presentano modelli di attendibilità, accordi di responsabilità condivisa e aspettative prestazionali fondamentalmente diversi rispetto alle chiavi KMS standard. Con gli archivi delle chiavi esterne, sei responsabile della sicurezza e dell'integrità del materiale della chiave e delle operazioni di crittografia. La disponibilità e la latenza delle chiavi KMS in un archivio delle chiavi esterne sono influenzate dall'hardware, dal software, dai componenti di rete e dalla distanza tra AWS KMS e il gestore delle chiavi esterne. È inoltre probabile che vengano sostenuti costi aggiuntivi per il gestore delle chiavi esterno e per l'infrastruttura di rete e bilanciamento del carico necessaria per comunicare con il gestore delle chiavi esterno AWS KMS

Puoi utilizzare l'archivio delle chiavi esterne come parte di una strategia di protezione dei dati più ampia. Per ogni AWS risorsa da proteggere, puoi decidere quali richiedono una chiave KMS in un archivio chiavi esterno e quali possono essere protette da una chiave KMS standard. Ciò ti offre la flessibilità di scegliere le chiavi KMS per classificazioni di dati, applicazioni o progetti specifici.

Gestore delle chiavi esterne

Un gestore delle chiavi esterne è un componente al di fuori di AWS che può generare chiavi simmetriche AES a 256 bit ed eseguire operazioni di crittografia e decrittografia simmetriche. Il gestore delle chiavi esterne per un relativo archivio può essere costituito da un modulo di sicurezza hardware (HSM) fisico, un HSM virtuale o un gestore delle chiavi software con o senza un componente HSM. Può essere posizionato ovunque all'esterno AWS, anche in sede, in un data center locale o remoto o in qualsiasi cloud. L'archivio delle chiavi esterne può essere supportato da un singolo gestore delle chiavi esterne o da più istanze di gestione delle chiavi correlate che condividono chiavi crittografiche, ad esempio un cluster HSM. Gli archivi delle chiavi esterne sono progettati per supportare una varietà di gestori esterni di diversi fornitori. Per informazioni dettagliate sui requisiti del gestore delle chiavi esterne, consulta Pianificazione di un archivio delle chiavi esterne.

Chiave esterna

Ogni chiave KMS in un archivio delle chiavi esterne è associata a una chiave crittografica, nota come chiave esterna, nel gestore delle chiavi esterne. Quando si esegue la crittografia o la decrittografia con una chiave KMS nell'archivio delle chiavi esterne, l'operazione di crittografia viene eseguita nel gestore delle chiavi esterne tramite la chiave esterna.

avvertimento

La chiave esterna è essenziale per il funzionamento della chiave KMS. Se la chiave esterna viene persa o eliminata, il testo criptato che è stato crittografato con la chiave KMS associata non è recuperabile.

Per gli archivi delle chiavi esterne, una chiave esterna deve essere una chiave AES a 256 bit abilitata per e in grado di eseguire le operazioni di crittografia e decrittografia. Per maggiori dettagli sui requisiti della chiave esterna, consulta Requisiti per una chiave KMS in un archivio delle chiavi esterne.

AWS KMS non può creare, eliminare o gestire chiavi esterne. Il materiale della chiave crittografica resta sempre all'interno del gestore delle chiavi esterne. Quando crei una chiave KMS in un archivio delle chiavi esterne, sei tu a fornire l'ID di una chiave esterna (XksKeyId). Non puoi modificare l'ID della chiave esterna associato a una chiave KMS, sebbene il gestore delle chiavi esterne possa ruotare il materiale della chiave associato a tale ID.

Oltre alla chiave esterna, una chiave KMS in un archivio delle chiavi esterne contiene anche il materiale della chiave AWS KMS . I dati protetti dalla chiave KMS vengono crittografati prima AWS KMS utilizzando il materiale AWS KMS chiave, quindi dal gestore delle chiavi esterno utilizzando la chiave esterna. Questo processo di doppia crittografia garantisce che il testo criptato protetto dalla chiave KMS sia sempre perlomeno altrettanto sicuro che il testo criptato protetto solo da AWS KMS.

Molte chiavi crittografiche presentano diversi tipi di identificatori. Quando crei una chiave KMS in un archivio delle chiavi esterne, fornisci l'ID della chiave esterna che il proxy dell'archivio delle chiavi esterne utilizza per fare riferimento alla chiave esterna. Se utilizzi l'identificatore sbagliato, il tentativo di creare una chiave KMS nell'archivio delle chiavi esterne ha esito negativo.

Proxy dell'archivio delle chiavi esterne

Il proxy di archiviazione delle chiavi esterno («proxy XKS») è un'applicazione software di proprietà e gestita dal cliente che media tutte le comunicazioni tra e il gestore delle chiavi esterno. AWS KMS Inoltre, traduce le AWS KMS richieste generiche in un formato comprensibile al gestore di chiavi esterno specifico del fornitore. Per un archivio delle chiavi esterne è necessario un relativo proxy. Ogni archivio delle chiavi esterne è associato a un relativo proxy.

Proxy dell'archivio delle chiavi esterne

AWS KMS non può creare, eliminare o gestire chiavi esterne. Il materiale delle chiavi crittografiche resta sempre all'interno del gestore delle chiavi. Tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno sono mediate dal proxy dell'archivio chiavi esterno. AWS KMS invia richieste al proxy dell'archivio chiavi esterno e riceve risposte dal proxy dell'archivio chiavi esterno. Il proxy dell'archivio chiavi esterno è responsabile della trasmissione delle richieste dal AWS KMS gestore delle chiavi esterno e della trasmissione delle risposte dal gestore delle chiavi esterno a AWS KMS

Tieni presente che, in quanto proprietario e gestore del proxy dell'archivio delle chiavi esterne, sei responsabile della manutenzione e del funzionamento. È possibile sviluppare un proxy di archiviazione chiavi esterno in base alla specifica dell'API proxy dell'archivio chiavi esterno open source che AWS KMS pubblica o acquista un'applicazione proxy da un fornitore. Il proxy dell'archivio delle chiavi esterne potrebbe essere incluso nel gestore delle chiavi esterne. Per supportare lo sviluppo del proxy, fornisce AWS KMS anche un esempio di key store proxy esterno (aws-kms-xks-proxy) e un client di test (xks-kms-xksproxy-test-client) che verifica che il proxy dell'archivio chiavi esterno sia conforme alle specifiche.

Per l'autenticazione AWS KMS, il proxy utilizza certificati TLS lato server. Per autenticarsi sul proxy, AWS KMS firma tutte le richieste sul proxy di archiviazione delle chiavi esterno con una credenziale di autenticazione proxy SigV4. Facoltativamente, il proxy può abilitare il protocollo TLS reciproco (MTLS) per garantire ulteriormente che accetti solo richieste da. AWS KMS

Il proxy dell'archivio di chiavi esterno deve supportare HTTP/1.1 o versione successiva e TLS 1.2 o versione successiva con almeno una delle seguenti suite di crittografia:

  • TLS_AES_256_GCM_SHA384 (TLS 1.3)

  • TLS_CHACHA20_POLY1305_SHA256 (TLS 1.3)

    Nota

    AWS GovCloud (US) Region Non supporta TLS_CHACHA20_POLY1305_SHA256.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (TLS 1.2)

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (TLS 1.2)

Per creare e utilizzare le chiavi KMS nell'archivio delle chiavi esterne, devi innanzitutto connettere l'archivio delle chiavi esterne al relativo proxy. Puoi anche disconnettere l'archivio delle chiavi esterne dal relativo proxy su richiesta. Quando esegui questa operazione, tutte le chiavi KMS nell'archivio delle chiavi esterne diventano non disponibili, di conseguenza non possono essere utilizzate in alcuna operazione di crittografia.

Connettività proxy dell'archivio delle chiavi esterne

La connettività proxy dell'archivio chiavi esterno («connettività proxy XKS») descrive il metodo utilizzato per comunicare con il proxy dell'archivio chiavi esterno. AWS KMS

Puoi specificare l'opzione di connettività proxy durante la creazione dell'archivio delle chiavi esterne, rendendola così una proprietà di tale archivio. Puoi modificare l'opzione di connettività proxy aggiornando la proprietà dell'archivio delle chiavi personalizzate, tuttavia devi accertarti che il proxy dell'archivio delle chiavi esterne possa comunque accedere alle stesse chiavi esterne.

AWS KMS supporta le seguenti opzioni di connettività:

  • Connettività pubblica degli endpoint: AWS KMS invia le richieste per il proxy dell'archivio di chiavi esterno tramite Internet a un endpoint pubblico controllato dall'utente. Questa opzione è semplice da creare e gestire, ma potrebbe non soddisfare i requisiti di sicurezza per ogni installazione.

  • Connettività del servizio endpoint VPC: AWS KMS invia le richieste a un servizio endpoint Amazon Virtual Private Cloud (Amazon VPC) creato e gestito da te. Puoi ospitare il proxy dell'archivio chiavi esterno all'interno di Amazon VPC o ospitare il proxy dell'archivio chiavi esterno all'esterno AWS e utilizzare Amazon VPC solo per la comunicazione.

Per informazioni dettagliate sulle opzioni di connettività proxy dell'archivio delle chiavi esterne, consulta Scelta di un'opzione di connettività proxy.

Credenziali di autenticazione al proxy dell'archivio delle chiavi esterne

Per autenticarti sul tuo proxy di archiviazione chiavi esterno, AWS KMS firma tutte le richieste al tuo proxy di archiviazione chiavi esterno con una credenziale di autenticazione Signature V4 (SigV4). Stabilisci e gestisci la credenziale di autenticazione sul tuo proxy, quindi fornisci questa credenziale quando crei l'archivio esterno. AWS KMS

Nota

La credenziale SigV4 AWS KMS utilizzata per firmare le richieste al proxy XKS non è correlata alle credenziali SigV4 associate ai principali del tuo. AWS Identity and Access Management Account AWS Non riutilizzare le credenziali SigV4 IAM per il proxy dell'archivio delle chiavi esterne.

Ogni credenziale di autenticazione proxy è costituita da due parti. Devi fornire entrambe le parti durante la creazione di un archivio delle chiavi esterne o l'aggiornamento delle credenziali di autenticazione per l'archivio delle chiavi esterne.

  • ID chiave di accesso: identifica la chiave di accesso segreta. Puoi fornire questo ID come un testo non crittografato.

  • Chiave di accesso segreta: la parte segreta della credenziale. AWS KMS crittografa la chiave di accesso segreta nella credenziale prima di archiviarla.

Puoi modificare l'impostazione delle credenziali in qualsiasi momento, ad esempio quando inserisci valori errati, quando modifichi le credenziali nel proxy o quando il proxy esegue la rotazione delle credenziali. Per dettagli tecnici sull' AWS KMS autenticazione al proxy dell'archivio chiavi esterno, vedere Authentication in the AWS KMS External Key Store Proxy Specification.

Per consentirti di ruotare le tue credenziali senza interrompere l' Servizi AWS utilizzo delle chiavi KMS nell'archivio di chiavi esterno, consigliamo che il proxy dell'archivio chiavi esterno supporti almeno due credenziali di autenticazione valide per. AWS KMS Ciò garantisce che le credenziali precedenti continuino a funzionare mentre fornisci le nuove credenziali a AWS KMS.

Per aiutarti a tenere traccia dell'età delle tue credenziali di autenticazione proxy, AWS KMS definisce una CloudWatch metrica Amazon,. XksProxyCredentialAge Puoi utilizzare questa metrica per creare un CloudWatch allarme che ti avvisa quando l'età delle tue credenziali raggiunge una soglia da te stabilita.

Per garantire inoltre che il proxy dell'archivio delle chiavi esterne risponda solo a AWS KMS, alcuni proxy supportano l'autenticazione TLS reciproca. Per informazioni dettagliate, vedi Autenticazione TLS reciproca (facoltativa).

API proxy

Per supportare un archivio di chiavi AWS KMS esterno, un proxy di archiviazione chiavi esterno deve implementare le API proxy richieste come descritto nella specifica dell'API proxy dell'archivio chiavi AWS KMS esterno. Queste richieste API proxy sono le uniche richieste AWS KMS inviate al proxy. Sebbene non si inviino mai direttamente queste richieste, conoscerle potrebbe aiutarti a risolvere eventuali problemi che potrebbero verificarsi con l'archivio delle chiavi esterne o il relativo proxy. Ad esempio, AWS KMS include informazioni sulla latenza e le percentuali di successo di queste chiamate API nelle CloudWatch metriche Amazon per gli archivi di chiavi esterni. Per informazioni dettagliate, vedi Monitoraggio di un archivio delle chiavi esterne.

Nella tabella seguente sono elencate e descritte tutte le API proxy. Include anche le AWS KMS operazioni che attivano una chiamata all'API proxy e tutte le eccezioni AWS KMS operative relative all'API proxy.

API proxy Descrizione Operazioni correlate AWS KMS
Decrypt AWS KMS invia il testo cifrato da decrittografare e l'ID della chiave esterna da utilizzare. L'algoritmo di crittografia richiesto è AES_GCM. Decrittografa, ReEncrypt
Crittografa AWS KMS invia i dati da crittografare e l'ID della chiave esterna da utilizzare. L'algoritmo di crittografia richiesto è AES_GCM. Crittografa, GenerateDataKey, GenerateDataKeyWithoutPlaintextReEncrypt
GetHealthStatus AWS KMS richiede informazioni sullo stato del proxy e sul gestore delle chiavi esterno.

Lo stato di ogni gestore delle chiavi esterne può essere uno dei seguenti.

  • Active: integro, può servire il traffico

  • Degraded: non integro, ma può servire il traffico

  • Unavailable: non integro, non può servire il traffico

 CreateCustomKeyStore(per la connettività degli endpoint pubblici), ConnectCustomKeyStore(per la connettività del servizio endpoint VPC)

Se tutte le istanze del gestore delle chiavi esterne sono Unavailable, i tentativi di creare o connettere l'archivio delle chiavi hanno esito negativo con l'eccezione XksProxyUriUnreachableException.
GetKeyMetadata AWS KMS richiede informazioni sulla chiave esterna associata a una chiave KMS nel tuo archivio di chiavi esterno.

La risposta include le specifiche della chiave (AES_256), il suo l'utilizzo ([ENCRYPT, DECRYPT]) e se la chiave esterna è ENABLED o DISABLED.

 CreateKey

Se la specifica della chiave non è AES_256, se l'utilizzo della chiave non è [ENCRYPT, DECRYPT] o lo stato è DISABLED, l'operazione CreateKey ha esito negativo con l'eccezione XksKeyInvalidConfigurationException.

Doppia crittografia

I dati crittografati con una chiave KMS in un archivio delle chiavi esterne vengono crittografati due volte. Innanzitutto, AWS KMS crittografa i dati con materiale AWS KMS chiave specifico per la chiave KMS. Quindi, il testo criptato con AWS KMS viene crittografato dal gestore delle chiavi esterne utilizzando la chiave esterna. Questo processo è noto come doppia crittografia.

La doppia crittografia garantisce che i dati crittografati da una chiave KMS in un archivio delle chiavi esterne siano almeno altrettanto sicuri del testo criptato crittografato da una chiave KMS standard. Protegge inoltre il testo in chiaro in transito dal proxy dell' AWS KMS archivio chiavi esterno. Con la doppia crittografia, mantieni il pieno controllo dei tuoi testi criptati. Se revochi definitivamente l'accesso AWS alla chiave esterna tramite il proxy esterno, qualsiasi testo criptato rimasto in AWS viene effettivamente eliminato in modo crittografato.

Doppia crittografia dei dati protetti da una chiave KMS in un archivio delle chiavi esterne

Per abilitare la doppia crittografia, ogni chiave KMS in un archivio delle chiavi esterne dispone di due materiali della chiave crittografica:

  • Un materiale AWS KMS chiave esclusivo della chiave KMS. Questo materiale chiave viene generato e utilizzato solo nei moduli di sicurezza hardware (HSM) certificati AWS KMS FIPS 140-2 Security Level 3.

  • Una chiave esterna nel gestore delle chiavi esterne.

La doppia crittografia ha i seguenti effetti:

  • AWS KMS non può decrittografare alcun testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno senza accedere alle chiavi esterne tramite il proxy dell'archivio chiavi esterno.

  • Non è possibile decrittografare alcun testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno a, anche se si dispone del relativo materiale di AWS chiave esterno.

  • Non puoi ricreare una chiave KMS eliminata da un archivio delle chiavi esterne, anche se disponi del relativo materiale della chiave. Ogni chiave KMS presenta metadati univoci inclusi nel testo criptato simmetrico. Una nuova chiave KMS non sarebbe in grado di decrittografare il testo criptato con la chiave originale, anche se utilizza lo stesso materiale della chiave esterna.

Per un esempio pratico di doppia crittografia, consulta Funzionamento degli archivi delle chiavi esterne.

Funzionamento degli archivi delle chiavi esterne

L'archivio delle chiavi esterne, il proxy dell'archivio delle chiavi esterne e il gestore delle chiavi esterne collaborano insieme per proteggere le tue risorse AWS . La procedura seguente descrive il flusso di lavoro di crittografia di un tipico Servizio AWS che esegue la crittografia di ogni oggetto con una chiave dati univoca protetta da una chiave KMS. In questo caso, hai scelto una chiave KMS in un archivio delle chiavi esterne per proteggere l'oggetto. L'esempio mostra come AWS KMS utilizza la doppia crittografia per proteggere la chiave dati in transito e garantire che il testo cifrato generato da una chiave KMS in un archivio di chiavi esterno sia sempre almeno altrettanto efficace del testo cifrato crittografato da una chiave KMS simmetrica standard contenente materiale chiave. AWS KMS

I metodi di crittografia utilizzati da ogni effettivo che si integra con variano. Servizio AWS AWS KMS Per maggiori dettagli, consulta l'argomento "Protezione dei dati" nel capitolo Sicurezza della documentazione di Servizio AWS .

Funzionamento degli archivi delle chiavi esterne

  1. Aggiungi un nuovo oggetto alla tua Servizio AWS risorsa. Per crittografare l'oggetto, Servizio AWS invia una GenerateDataKeyrichiesta all' AWS KMS utilizzo di una chiave KMS nell'archivio di chiavi esterno.

  2. AWS KMS genera una chiave dati simmetrica a 256 bit e si prepara a inviare una copia della chiave di dati in chiaro al gestore delle chiavi esterno tramite il proxy dell'archivio chiavi esterno. AWS KMS avvia il processo di doppia crittografia crittografando la chiave di dati in chiaro con il materiale chiave associato alla chiave KMS nell'archivio di AWS KMS chiavi esterno.

  3. AWS KMS invia una richiesta di crittografia al proxy dell'archivio chiavi esterno associato all'archivio di chiavi esterno. La richiesta include il testo cifrato della chiave dati da crittografare e l'ID della chiave esterna associata alla chiave KMS. AWS KMS firma la richiesta utilizzando la credenziale di autenticazione proxy per il proxy di archiviazione delle chiavi esterno.

    La copia non crittografata della chiave dati non viene inviata al proxy dell'archivio delle chiavi esterno.

  4. Il proxy dell'archivio delle chiavi esterne autentica la richiesta di crittografia e quindi la trasmette al gestore delle chiavi esterne.

    Alcuni proxy dell'archivio delle chiavi esterne implementano anche una policy di autorizzazione facoltativa che consente solo ai principali selezionati di eseguire operazioni in condizioni specifiche.

  5. Il gestore delle chiavi esterne esegue la crittografia del testo criptato della chiave dati utilizzando la chiave esterna specificata e restituisce la chiave dati con doppia crittografia al proxy dell'archivio delle chiavi esterne che a sua volta la restituisce a AWS KMS.

  6. AWS KMS restituisce la chiave di dati in testo semplice e la copia con doppia crittografia di tale chiave dati a. Servizio AWS

  7. Servizio AWS utilizza la chiave dati in chiaro per crittografare l'oggetto risorsa, distrugge la chiave dati in testo semplice e archivia la chiave dati crittografata con l'oggetto crittografato.

    Alcuni Servizi AWS potrebbero memorizzare nella cache la chiave di dati in testo semplice da utilizzare per più oggetti o da riutilizzare mentre la risorsa è in uso. Per informazioni dettagliate, vedi In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati.

Per decrittografare l'oggetto crittografato, è Servizio AWS necessario inviare nuovamente la chiave di dati crittografata a AWS KMS in una richiesta Decrypt. Per decrittografare la chiave dati crittografata, è AWS KMS necessario inviare la chiave dati crittografata al proxy dell'archivio chiavi esterno con l'ID della chiave esterna. Se la richiesta di decrittografia al proxy dell'archivio chiavi esterno non riesce per qualsiasi motivo, non AWS KMS può decrittografare la chiave dati crittografata e non può decrittografare l' Servizio AWS oggetto crittografato.