Best practice di gestione delle chiavi per AWS KMS - AWS Guida prescrittiva
Scelta di un modello di gestioneScelta dei tipi di chiaveScelta di un archivio di chiaviEliminazione e disabilitazione delle chiavi KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di gestione delle chiavi per AWS KMS

Quando si utilizza AWS Key Management Service (AWS KMS), è necessario prendere alcune decisioni di progettazione fondamentali. Queste includono se utilizzare un modello centralizzato o decentralizzato per la gestione e l'accesso alle chiavi, il tipo di chiavi da utilizzare e il tipo di archivio chiavi da utilizzare. Le sezioni seguenti consentono di prendere le decisioni giuste per l'organizzazione e i casi d'uso. Questa sezione si conclude con importanti considerazioni sulla disabilitazione e l'eliminazione delle chiavi KMS, comprese le azioni da intraprendere per proteggere dati e chiavi.

Scelta di un modello centralizzato o decentralizzato

AWS consiglia di utilizzare più account Account AWS e gestirli come un'unica organizzazione in AWS Organizations. Esistono due approcci generali alla gestione AWS KMS keys in ambienti con più account.

Il primo approccio è un approccio decentralizzato, in cui si creano chiavi in ogni account che utilizza tali chiavi. Quando si archiviano le chiavi KMS negli stessi account delle risorse che proteggono, è più facile delegare le autorizzazioni agli amministratori locali che comprendono i requisiti di accesso per i propri principali e chiavi. AWS Puoi autorizzare l'utilizzo delle chiavi utilizzando solo una policy chiave oppure puoi combinare una policy chiave e politiche basate sull'identità in (IAM). AWS Identity and Access Management

Il secondo approccio è un approccio centralizzato, in cui le chiavi KMS vengono mantenute in una o più aree designate. Account AWS Consenti ad altri account di utilizzare le chiavi solo per operazioni crittografiche. Puoi gestire le chiavi, il loro ciclo di vita e le relative autorizzazioni dall'account centralizzato. Consenti Account AWS ad altri di utilizzare la chiave ma non consenti altre autorizzazioni. Gli account esterni non possono gestire nulla sul ciclo di vita della chiave o sull'autorizzazione di accesso. Questo modello centralizzato può aiutare a ridurre al minimo il rischio di eliminazione involontaria delle chiavi o di aumento dei privilegi da parte di amministratori o utenti delegati.

L'opzione scelta dipende da diversi fattori. Quando scegli un approccio, considera quanto segue:

  1. Disponete di un processo automatico o manuale per il provisioning dell'accesso a chiavi e risorse? Ciò include risorse come pipeline di distribuzione e modelli di infrastruttura come codice (IaC). Questi strumenti possono aiutarti a distribuire e gestire risorse (come chiavi KMS, politiche chiave, ruoli IAM e politiche IAM) su molte piattaforme. Account AWS Se non disponi di questi strumenti di implementazione, un approccio centralizzato alla gestione delle chiavi potrebbe essere più gestibile per la tua azienda.

  2. Hai il controllo amministrativo su tutti i file Account AWS che contengono risorse che utilizzano le chiavi KMS? In tal caso, un modello centralizzato può semplificare la gestione ed eliminare la necessità di passare Account AWS alla gestione delle chiavi. Tieni presente, tuttavia, che i ruoli IAM e le autorizzazioni degli utenti per l'utilizzo delle chiavi devono comunque essere gestiti per account.

  3. Devi offrire l'accesso per utilizzare le tue chiavi KMS a clienti o partner che dispongono delle proprie risorse Account AWS ? Per queste chiavi, un approccio centralizzato può ridurre l'onere amministrativo per clienti e partner.

  4. Avete requisiti di autorizzazione per l'accesso alle AWS risorse che possono essere risolti meglio con un approccio di accesso centralizzato o locale? Ad esempio, se diverse applicazioni o unità aziendali sono responsabili della gestione della sicurezza dei propri dati, è preferibile un approccio decentralizzato alla gestione delle chiavi.

  5. Stai superando le quote di risorse di servizio per? AWS KMS Poiché queste quote sono stabilite per volta Account AWS, un modello decentralizzato distribuisce il carico tra gli account, moltiplicando in modo efficace le quote di servizio.

    Nota

    Il modello di gestione delle chiavi è irrilevante quando si considerano le quote di richiesta, poiché tali quote vengono applicate all'intestatario del conto che effettua una richiesta relativa alla chiave, non all'account che possiede o gestisce la chiave.

In generale, consigliamo di iniziare con un approccio decentralizzato, a meno che non sia possibile esprimere la necessità di un modello di chiave KMS centralizzato.

Scelta di chiavi gestite dal cliente, chiavi AWS gestite o chiavi di proprietà AWS

Le chiavi KMS create e gestite per essere utilizzate nelle vostre applicazioni crittografiche sono note come chiavi gestite dal cliente. Servizi AWS può utilizzare chiavi gestite dal cliente per crittografare i dati archiviati dal servizio per conto dell'utente. Le chiavi gestite dal cliente sono consigliate se desideri il pieno controllo sul ciclo di vita e sull'utilizzo delle chiavi. È previsto un costo mensile per avere una chiave gestita dal cliente nel proprio account. Inoltre, le richieste di utilizzo o gestione della chiave comportano un costo di utilizzo. Per ulteriori informazioni, consulta Prezzi di AWS KMS.

Se desideri Servizio AWS crittografare i tuoi dati ma non vuoi sostenere i costi o i costi di gestione delle chiavi, puoi utilizzare una chiave gestita.AWS Questo tipo di chiave esiste nel tuo account, ma può essere utilizzato solo in determinate circostanze. Può essere utilizzata solo nel contesto in Servizio AWS cui operi e può essere utilizzata solo dai responsabili all'interno dell'account che contiene la chiave. Non puoi gestire nulla sul ciclo di vita o sulle autorizzazioni di queste chiavi. Alcuni Servizi AWS utilizzano chiavi AWS gestite. Il formato di un alias di chiave AWS gestita èaws/<service code>. Ad esempio, una aws/ebs chiave può essere utilizzata solo per crittografare i volumi Amazon Elastic Block Store (Amazon EBS) nello stesso account della chiave e può essere utilizzata solo dai responsabili IAM di quell'account. Una chiave AWS gestita può essere utilizzata solo dagli utenti di quell'account e per le risorse in quell'account. Non è possibile condividere risorse crittografate con una chiave AWS gestita con altri account. Se questa è una limitazione per il tuo caso d'uso, ti consigliamo di utilizzare invece una chiave gestita dal cliente; puoi condividere l'uso di quella chiave con qualsiasi altro account. Non ti viene addebitato alcun costo per l'esistenza di una chiave AWS gestita nel tuo account, ma qualsiasi utilizzo di questo tipo di chiave ti viene addebitato dalla Servizio AWS chiave assegnata alla chiave.

Una chiave AWS gestita è un tipo di chiave legacy che non viene più creata per essere utilizzata Servizi AWS come nuova a partire dal 2021. Invece, le nuove (e le versioni precedenti) Servizi AWS utilizzano una chiave AWS proprietaria per crittografare i dati per impostazione predefinita. AWS le chiavi di proprietà sono una raccolta di chiavi KMS Servizio AWS possedute e gestite per essere utilizzate in più lingue. Account AWS Sebbene queste chiavi non siano presenti nel tuo account Account AWS, Servizio AWS puoi utilizzarne una per proteggere le risorse del tuo account.

Ti consigliamo di utilizzare chiavi gestite dal cliente quando il controllo granulare è più importante e di utilizzare chiavi AWS di proprietà quando la praticità è più importante.

La tabella seguente descrive le principali differenze in termini di politica, registrazione, gestione e prezzo tra ciascun tipo di chiave. Per ulteriori informazioni sui tipi di chiave, consulta AWS KMS i concetti.

Considerazione Chiavi gestite dal cliente AWS chiavi gestite AWS chiavi possedute
Policy della chiave Controllato esclusivamente dal cliente Controllato dal servizio; visualizzabile dal cliente Controllato esclusivamente e visualizzabile solo da chi crittografa Servizio AWS i tuoi dati
Registrazione di log AWS CloudTrail percorso dei clienti o archivio dati sugli eventi CloudTrail percorso dei clienti o archivio dati sugli eventi Non visualizzabile dal cliente
Gestione del ciclo di vita Il cliente gestisce la rotazione, l'eliminazione e Regione AWS Servizio AWS gestisce la rotazione (annuale), l'eliminazione e la regione Servizio AWS gestisce la rotazione (annuale), l'eliminazione e la regione
Prezzi Tariffa mensile per l'esistenza della chiave (tariffa oraria proporzionale); al chiamante viene addebitato un costo per l'utilizzo dell'API Nessun costo per l'esistenza della chiave; al chiamante viene addebitato l'utilizzo dell'API Nessun addebito per il cliente

Scelta di un negozio di AWS KMS chiavi

Un archivio di chiavi è un luogo sicuro per l'archiviazione e l'utilizzo di materiale contenente chiavi crittografiche. La migliore pratica del settore per gli archivi di chiavi consiste nell'utilizzare un dispositivo noto come modulo di sicurezza hardware (HSM) che è stato convalidato ai sensi del programma di convalida dei moduli crittografici FIPS 140 del NIST al livello di sicurezza 3. Esistono altri programmi per supportare gli archivi di chiavi utilizzati per elaborare i pagamenti. AWS Payment Cryptographyè un servizio che puoi utilizzare per proteggere i dati relativi ai tuoi carichi di lavoro di pagamento.

AWS KMS supporta diversi tipi di archivio delle chiavi per proteggere il materiale chiave utilizzato AWS KMS per creare e gestire le chiavi di crittografia. Tutte le opzioni di archiviazione delle chiavi fornite da AWS KMS vengono continuamente convalidate secondo lo standard FIPS 140 al livello di sicurezza 3. Sono progettate per impedire a chiunque, compresi AWS gli operatori, di accedere alle chiavi in chiaro o di utilizzarle senza la vostra autorizzazione. Per ulteriori informazioni sui tipi di archivi chiavi disponibili, consulta Key store nella AWS KMS documentazione.

L'archivio chiavi AWS KMS standard è la scelta migliore per la maggior parte dei carichi di lavoro. Se devi scegliere un tipo diverso di key store, valuta attentamente se i requisiti normativi o di altro tipo (ad esempio interni) impongano questa scelta e valuta attentamente i costi e i benefici.

Eliminazione e disabilitazione delle chiavi KMS

L'eliminazione di una chiave KMS può avere un impatto significativo. Prima di eliminare una chiave KMS che non intendi più utilizzare, valuta se è adeguato impostare lo stato della chiave su Disabilitato. Sebbene una chiave sia disabilitata, non può essere utilizzata per operazioni crittografiche. Esiste ancora in e AWS, se necessario, è possibile riattivarlo in futuro. Le chiavi disattivate continuano a comportare costi di archiviazione. Si consiglia di disabilitare le chiavi anziché eliminarle finché non si è certi che la chiave non protegga alcun dato o chiave di dati.

Importante

L'eliminazione di una chiave deve essere pianificata con attenzione. I dati non possono essere decrittografati se la chiave corrispondente è stata eliminata. AWS non ha mezzi per recuperare una chiave eliminata dopo che è stata eliminata. Come per altre operazioni critiche AWS, è necessario applicare una politica che limiti chi può pianificare l'eliminazione delle chiavi e richiedere l'autenticazione a più fattori (MFA) per l'eliminazione delle chiavi.

Per evitare l'eliminazione accidentale delle chiavi, AWS KMS impone un periodo di attesa minimo predefinito di sette giorni dopo l'esecuzione di una DeleteKey chiamata prima che questa elimini la chiave. È possibile impostare il periodo di attesa su un valore massimo di 30 giorni. Durante il periodo di attesa, la chiave è ancora memorizzata AWS KMS in uno stato di cancellazione in sospeso. Non può essere utilizzata per operazioni di crittografia o decrittografia. Qualsiasi tentativo di utilizzare una chiave che si trova nello stato In attesa di eliminazione per la crittografia o la decrittografia viene registrato in. AWS CloudTrail Puoi impostare un CloudWatch allarme Amazon per questi eventi nei tuoi CloudTrail log. Se ricevi allarmi relativi a questi eventi, puoi scegliere di annullare il processo di eliminazione, se necessario. Fino alla scadenza del periodo di attesa, è possibile ripristinare la chiave dallo stato In sospeso di eliminazione e ripristinarla allo stato Disabilitato o Abilitato.

L'eliminazione di una chiave multiregionale richiede l'eliminazione delle repliche prima della copia originale. Per ulteriori informazioni, vedere Eliminazione delle chiavi multiregionali.

Se si utilizza una chiave con materiale chiave importato, è possibile eliminare immediatamente il materiale chiave importato. Ciò è diverso dall'eliminazione di una chiave KMS in diversi modi. Quando si esegue l'DeleteImportedKeyMaterialazione, AWS KMS elimina il materiale chiave e lo stato della chiave passa a Importazione in sospeso. Dopo aver eliminato il materiale chiave, quest'ultimo diventa immediatamente inutilizzabile. Non è previsto alcun periodo di attesa. Per abilitare nuovamente l'uso della chiave, è necessario importare nuovamente lo stesso materiale chiave. Il periodo di attesa per l'eliminazione delle chiavi KMS si applica anche alle chiavi KMS con materiale chiave importato.

Se le chiavi dati sono protette da una chiave KMS e vengono utilizzate attivamente da Servizi AWS, non ne risentono immediatamente se la chiave KMS associata viene disabilitata o se il materiale chiave importato viene eliminato. Ad esempio, supponiamo che una chiave con materiale importato sia stata utilizzata per crittografare un oggetto con SSE-KMS. Stai caricando l'oggetto in un bucket Amazon Simple Storage Service (Amazon S3). Prima di caricare l'oggetto nel bucket, importi il materiale nella tua chiave. Dopo aver caricato l'oggetto, elimini il materiale chiave importato da quella chiave. L'oggetto rimane nel bucket in uno stato crittografato, ma nessuno può accedervi finché il materiale chiave eliminato non viene reimportato nella chiave. Sebbene questo flusso richieda un'automazione precisa per l'importazione e l'eliminazione del materiale chiave da una chiave, può fornire un ulteriore livello di controllo all'interno di un ambiente.

AWS offre una guida prescrittiva per aiutarvi a monitorare e correggere (se necessario) l'eliminazione programmata delle chiavi KMS. Per ulteriori informazioni, consulta Monitorare e correggere l'eliminazione pianificata delle chiavi. AWS KMS