Costo, praticità e controllo Tipi di prestazioni e crittografia Luogo di archiviazione delle chiavi Controllo accessi Controllo e registrazione

Implementazione

In questa strategia, l'architettura si riferisce all'implementazione tecnica degli standard di crittografia. Questa sezione include informazioni su come Servizi AWS, ad esempio AWS Key Management Service (AWS KMS) e AWS CloudHSM, possono aiutarvi a implementare la strategia di data-at-rest crittografia in base alle vostre policy e ai vostri standard.

AWS KMS è un servizio gestito che consente di creare e controllare le chiavi crittografiche utilizzate per proteggere i dati. Le chiavi KMS non lasciano mai il servizio non crittografate. Per utilizzare o gestire le tue chiavi KMS, interagisci con AWS KMS, e molte Servizi AWS sono integrate con. AWS KMS

AWS CloudHSM è un servizio di crittografia per la creazione e la manutenzione di moduli di sicurezza hardware (HSMs) nell'ambiente AWS . HSMs sono dispositivi informatici che elaborano operazioni crittografiche e forniscono l'archiviazione sicura per le chiavi crittografiche. Se i tuoi standard richiedono l'utilizzo di hardware convalidato FIPS 140-2 di livello 3 o se i tuoi standard impongono l'uso di standard di settore, come PKCS #11 APIs, Java Cryptography Extensions (JCE) e Microsoft CryptoNG (CNG), allora potresti prendere in considerazione l'utilizzo. AWS CloudHSM

AWS CloudHSM È possibile configurare come archivio chiavi personalizzato per. AWS KMS Questa soluzione combina la praticità e l'integrazione dei servizi AWS KMS con i vantaggi aggiuntivi in termini di controllo e conformità derivanti dall'utilizzo di un AWS CloudHSM cluster nel tuo Account AWS. Per ulteriori informazioni, consulta Custom key stores (AWS KMS documentazione).

Questo documento illustra AWS KMS le funzionalità ad alto livello e spiega in che modo è AWS KMS possibile soddisfare le politiche e gli standard.

Costo, praticità e controllo

AWS KMS offre diversi tipi di chiavi. Alcune sono di proprietà o gestite dai clienti AWS, mentre altre sono create e gestite dai clienti. Puoi scegliere tra queste opzioni in base al livello di controllo che desideri avere sulle considerazioni chiave e sui costi:

AWS chiavi di proprietà: AWS possiede e gestisce queste chiavi e vengono utilizzate in più Account AWS di una serie di chiavi. Alcuni Servizi AWS supportano chiavi AWS di proprietà. Puoi usare queste chiavi gratuitamente. Questo tipo di chiave ti allevia i costi e il sovraccarico amministrativo legati alla gestione del ciclo di vita delle chiavi e all'accesso ad esso. Per ulteriori informazioni su questo tipo di chiave, vedere chiavi AWS possedute (documentazione).AWS KMS
AWS chiavi gestite: se integrato Servizio AWS con AWS KMS, può creare, gestire e utilizzare questo tipo di chiavi per conto dell'utente, al fine di proteggere le risorse di quel servizio. Queste chiavi vengono create all'interno dell'utente Account AWS e solo Servizi AWS possono essere utilizzate. Non è previsto alcun canone mensile per una chiave AWS gestita. Possono essere soggette a tariffe di utilizzo superiori a quelle del piano gratuito, ma alcune Servizi AWS coprono tali costi per conto tuo. Puoi utilizzare le policy di identità per controllare, visualizzare e controllare l'accesso a queste chiavi, ma AWS gestisci il ciclo di vita delle chiavi. Per ulteriori informazioni su questo tipo di chiave, consulta le chiavi AWS gestite (AWS KMS documentazione). Per un elenco completo di quelle Servizi AWS che si integrano con AWS KMS, vedi Servizio AWS integrazione (AWS marketing).
Chiavi gestite dal cliente: tu crei, possiedi e gestisci questo tipo di chiave e hai il pieno controllo sul ciclo di vita delle chiavi. Per la separazione delle mansioni, puoi utilizzare politiche basate sull'identità e sulle risorse per controllare l'accesso alla chiave. Puoi anche impostare la rotazione automatica dei tasti. Le chiavi gestite dal cliente sono soggette a una tariffa mensile e, se si supera il livello gratuito, è previsto anche un costo di utilizzo. Per ulteriori informazioni su questo tipo di chiave, consulta Customer managed keys (documentazione).AWS KMS

Per ulteriori informazioni sull'archiviazione e l'utilizzo delle chiavi, consulta la sezione AWS Key Management Service prezzi (AWS marketing).

Tipi di prestazioni e crittografia

In base al tipo di crittografia scelto negli standard, puoi utilizzare due tipi di chiavi KMS.

Simmetrico: tutti i AWS KMS key tipi supportano la crittografia simmetrica. Quando si crittografano le chiavi gestite dal cliente, è possibile utilizzare una chiave a livello singolo per la crittografia e la decrittografia con AES-256-GCM.
Asimmetrica: le chiavi gestite dal cliente supportano la crittografia asimmetrica. È possibile scegliere tra diversi punti di forza e algoritmi chiave, in base all'uso previsto. Le chiavi asimmetriche possono crittografare e decrittografare con RSA e possono firmare e verificare le operazioni con RSA o ECC. Gli algoritmi a chiave asimmetrica forniscono intrinsecamente la separazione dei ruoli e semplificano la gestione delle chiavi. Quando si utilizza la crittografia asimmetrica con AWS KMS, alcune operazioni non sono supportate, come la rotazione delle chiavi e l'importazione di materiale contenente chiavi esterne.

Per ulteriori informazioni sulle AWS KMS operazioni supportate dalle chiavi simmetriche e asimmetriche, consulta Key type reference (documentazione).AWS KMS

Crittografia envelope

La crittografia delle buste è integrata. AWS KMS In AWS KMS, si generano chiavi di dati in formato testo semplice o crittografato. Le chiavi dati crittografate vengono crittografate con una chiave KMS. È possibile memorizzare la chiave KMS in un archivio di chiavi personalizzato in un AWS CloudHSM cluster. Per ulteriori informazioni sui vantaggi della crittografia delle buste, consulta. Informazioni sulla crittografia delle buste

Luogo di archiviazione delle chiavi

Le policy vengono utilizzate per gestire l'accesso alle AWS KMS risorse. Le politiche descrivono chi può accedere a quali risorse. Le politiche associate a un principale AWS Identity and Access Management (IAM) sono chiamate politiche basate sull'identità o politiche IAM. Le politiche associate ad altri tipi di risorse sono chiamate politiche delle risorse. AWS KMS le politiche relative alle risorse per AWS KMS keys sono chiamate politiche chiave. Ogni chiave KMS ha una politica chiave.

Le politiche chiave offrono la flessibilità necessaria per archiviare la chiave di crittografia in una posizione centrale o archiviarla più vicino ai dati, in modo distribuito. Considera le seguenti AWS KMS funzionalità quando decidi dove archiviare le chiavi KMS nel tuo: Account AWS

Supporto per infrastrutture a regione singola: per impostazione predefinita, le chiavi KMS sono specifiche della regione e non vengono mai crittografate. AWS KMS Se i tuoi standard prevedono requisiti rigorosi per il controllo delle chiavi in una posizione geografica specifica, prova a utilizzare le chiavi per regione singola.
Supporto per infrastrutture multiregionali: supporta AWS KMS anche tipi di chiavi per scopi speciali denominati chiavi multiregionali. L'archiviazione dei dati in più formati Regioni AWS è una configurazione comune per il disaster recovery. Utilizzando chiavi multiregionali, è possibile trasferire dati tra regioni senza ricrittografarli e gestire i dati come se si avesse la stessa chiave in ogni regione. Questa funzionalità è molto utile se gli standard richiedono che l'infrastruttura di crittografia si estenda su più regioni in una configurazione attiva-attiva. Per ulteriori informazioni, consulta Chiavi multiregionali (documentazione).AWS KMS
Gestione centralizzata: se gli standard richiedono l'archiviazione delle chiavi in una posizione centralizzata, è possibile AWS KMS archiviare tutte le chiavi di crittografia in un'unica soluzione. Account AWS Le politiche chiave vengono utilizzate per concedere l'accesso ad altre applicazioni, che possono trovarsi in account diversi nella stessa regione. La gestione centralizzata delle chiavi può ridurre il sovraccarico amministrativo legato alla gestione del ciclo di vita delle chiavi e al controllo degli accessi chiave.
Materiale chiave esterno: è possibile importare materiale chiave generato esternamente in. AWS KMS Il supporto per questa funzionalità è disponibile per chiavi simmetriche singole e multiregionali. Poiché il materiale della chiave simmetrica viene generato esternamente, l'utente è responsabile della protezione dei materiali chiave generati. Per ulteriori informazioni, vedete Materiale chiave importato (documentazione).AWS KMS

Controllo accessi

In AWS KMS, puoi implementare il controllo degli accessi a livello granulare utilizzando i seguenti meccanismi di policy: politiche chiave, politiche IAM e sovvenzioni. Utilizzando questi controlli, puoi impostare la separazione delle mansioni in base ai ruoli, ad esempio amministratori, utenti chiave che possono crittografare i dati, utenti chiave che possono decrittografare i dati e utenti chiave che possono sia crittografare che decrittografare i dati. Per ulteriori informazioni, consulta Autenticazione e controllo degli accessi (documentazione).AWS KMS

Controllo e registrazione

AWS KMS si integra con AWS CloudTrail Amazon EventBridge per scopi di registrazione e monitoraggio. Tutte le operazioni AWS KMS API sono registrate e verificabili nei log. CloudTrail Puoi utilizzare Amazon CloudWatch e configurare soluzioni AWS Lambda di monitoraggio personalizzate per configurare notifiche e riparazioni automatiche. EventBridge Per ulteriori informazioni, consulta Registrazione e monitoraggio (AWS KMS documentazione).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Framework

Domande frequenti