AWS Key Management Service

AWS Key Management Serviceè un servizio gestito che semplifica la creazione e il controllo delle chiavi di crittografia utilizzate per crittografare i dati e utilizza moduli di protezione hardware (HSM) per garantire la sicurezza delle chiavi. AWS KMS è integrato con altri servizi AWS per aiutarti a proteggere i dati archiviati tramite questi servizi. AWS KMS è integrato anche con AWS CloudTrail per fornire i registri di tutti gli utilizzi delle tue chiavi e aiutarti a soddisfare le esigenze normative e di conformità.

È possibile creare, importare e modificare regolarmente le chiavi con la massima semplicità, nonché definire delle policy di utilizzo e monitorarne l’uso tramite la AWS Management Console oppure utilizzando AWS SDK o AWSAWS CLI.

Le chiavi di migrazione certificabili (CMK) in AWS KMS, sia quelle importate sia quella create da KMS, vengono archiviate in formato crittografato in risorse di archiviazione estremamente durevoli, per semplificarne il recupero quando necessario. È possibile impostare KMS in modo che esegua la rotazione automatica delle chiavi CMK create in KMS una volta all'anno, senza dover crittografare nuovamente i dati già codificati utilizzando la chiave master. Non dovrai tenere traccia delle versioni precedenti delle chiavi CMK perché risulteranno sempre disponibili in KMS per decrittografare automaticamente i dati precedentemente crittografati.

AWS KMS permette di eseguire una serie di controlli sugli accessi, compresa la verifica delle concessioni e delle condizioni contenute nelle policy delle chiavi o nelle policy IAM, consentendoti di controllare chi ha accesso alle chiavi CMK e con quali servizi possono essere utilizzate. È inoltre possibile importare chiavi dall’infrastruttura di gestione delle chiavi in uso per impiegarle in KMS.

Ad esempio, la seguente policy utilizza la kms:ViaService di condizione per consentire l'utilizzo di una CMK gestita dal cliente per le azioni specificate solo quando la richiesta proviene da Amazon EC2 o Amazon RDS in una regione specifica (us-west-2) per conto di un utente specifico (ExampleUser).



        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Effect”: “Allow”,
                “Principal”: {
                    “AWS”: “arn:aws:iam::111122223333:user/ExampleUser”
                 }
                “Action”: [
                     “kms:Encrypt*”,
                     “kms:Decrypt”,
                     ”kms:ReEncrypt*”,
                     “kms:GenerateDataKey*”,
                     “kms:CreateGrant”,
                     “kms:ListGrants”,
                     “kms:DescribeKey”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “ForAnyValue:StringEquals”: {
                        “kms:ViaService”: [
                              “ec2.us-west-2.amazonaws.com”,
                              “rds.us-west-2.amazonaws.com”
                        ]
                     } 
               }      
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Strumenti di crittografia

Integrazione con i servizi AWS