Informazioni su AWS KMS keys - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni su AWS KMS keys

AWS Key Management Service (AWS KMS) consente di creare chiavi crittografiche che possono essere utilizzate sui dati trasmessi al servizio. Il tipo di risorsa principale è la chiave KMS, di cui esistono tre tipi:

  • Chiavi simmetriche Advanced Encryption Standard (AES): si tratta di chiavi a 256 bit utilizzate nella modalità Galois Counter Mode (GCM) di AES. Queste chiavi forniscono la crittografia e la decrittografia autenticate di dati di dimensioni inferiori a 4 KB. Questo è il tipo di chiave più comune. Viene utilizzato per proteggere altre chiavi di dati, come quelle utilizzate nelle applicazioni o Servizi AWS che crittografano i dati per conto dell'utente.

  • Chiavi asimmetriche a curva ellittica o RSA: queste chiavi sono disponibili in varie dimensioni e supportano molti algoritmi. A seconda dell'algoritmo, possono essere utilizzate per la crittografia e la decrittografia e per le operazioni di firma e verifica.

  • Chiavi simmetriche per eseguire operazioni HMAC (Message Authentication Code) basate su hash: si tratta di chiavi a 256 bit utilizzate per le operazioni di firma e verifica.

Le chiavi KMS non possono essere esportate dal servizio in testo normale. Sono generate e possono essere utilizzate solo all'interno dei moduli di sicurezza hardware (HSMs) utilizzati dal servizio. Si tratta di una proprietà di sicurezza fondamentale AWS KMS per prevenire compromissioni chiave. Nelle regioni di Cina (Pechino) e Cina (Ningxia), questi HSMs sono certificati dall'OSCCA. In tutte le altre regioni, le informazioni HSMs utilizzate AWS KMS sono convalidate nell'ambito del programma FIPS 140 all'interno del NIST al livello di sicurezza 3. Per ulteriori informazioni sulla progettazione e sui controlli AWS KMS che aiutano a proteggere le chiavi, consulta AWS Key Management Service Dettagli crittografici.

Puoi inviare dati AWS KMS utilizzando diverse opzioni crittografiche per eseguire operazioni di crittografia APIs , decrittografia, firma o verifica con le chiavi KMS. Puoi anche scegliere di fare in modo che una chiave KMS agisca come una chiave di crittografia a chiave, che protegge un tipo di chiave chiamato chiave dati. È possibile esportare una chiave dati AWS KMS per utilizzarla all'interno dell'applicazione locale o una chiave Servizio AWS che protegge i dati per conto dell'utente. L'uso delle chiavi dati è comune in tutti i sistemi di gestione delle chiavi e viene spesso definito crittografia a busta. La crittografia a busta consente di utilizzare una chiave dati sul sistema remoto che gestisce i dati sensibili, anziché dover inviare i dati sensibili AWS KMS per la crittografia direttamente tramite una chiave KMS.

Per ulteriori informazioni, consulta AWS KMS keysgli elementi essenziali AWS KMS della crittografia nella documentazione. AWS KMS