Introdução aos detalhes criptográficos do AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Introdução aos detalhes criptográficos do AWS KMS

O AWS Key Management Service (AWS KMS) fornece uma interface web para gerar e gerenciar chaves criptográficas e opera como um provedor de serviços criptográficos para proteger dados. O AWS KMS oferece serviços tradicionais de gerenciamento de chaves integrados ao AWS para fornecer uma visão consistente das chaves dos clientes no AWS, com gerenciamento e auditoria centralizados. Este whitepaper fornece uma descrição detalhada das operações criptográficas do AWS KMS para ajudar você a avaliar os recursos oferecidos pelo serviço.

O AWS KMS inclui uma interface web através do AWS Management Console, da interface de linha de comando e de operações de API RESTful para solicitar operações criptográficas de uma frota distribuída de módulos de segurança de hardware (HSMs) validados para FIPS 140-2 [1]. O HSM AWS KMS é um dispositivo de hardware multichip independente criptográfico projetado para fornecer funções criptográficas dedicadas a fim de atender aos requisitos de segurança e escalabilidade do AWS KMS. Você pode estabelecer sua própria hierarquia criptográfica baseada em HSM sob chaves gerenciadas como AWS KMS keys. Essas chaves são disponibilizadas apenas nos HSMs e apenas na memória durante o tempo necessário para processar a sua solicitação criptográfica. Você pode criar várias chaves KMS, cada uma representada por seu ID de chave. As chaves KMS podem ser criadas, excluídas ou usadas para criptografar, descriptografar, assinar ou verificar dados somente nas funções do IAM doAWS e nas contas administradas por cada cliente. Você pode definir controles de acesso sobre quem pode gerenciar e/ou usar chaves KMS criando uma política anexada à chave. Essas políticas permitem que você defina usos específicos de aplicação para suas chaves para cada operação de API.

Além disso, a maioria dos serviços AWS oferecem suporte à criptografia de dados em repouso usando chaves KMS. Esse recurso permite que os clientes controlem como e quando o AWS pode acessar dados criptografados controlando como e quando as chaves KMS podem ser acessadas.

Arquitetura do AWS KMS.

O AWS KMS é um serviço hierárquico que consiste em hosts AWS KMS voltados para a web e uma camada de HSMs. O agrupamento desses hosts hierárquicos forma a pilha AWS KMS. Todas as solicitações para o AWS KMS devem ser feitas por meio do protocolo TLS (Transport Layer Security) e terminar em um host AWS KMS. Os hosts AWS KMS só permitem TLS com uma ciphersuite que forneça confidencialidade de encaminhamento perfeita. O AWS KMS autentica e autoriza suas solicitações usando os mesmos mecanismos de credencial e política do AWS Identity and Access Management (IAM) que estão disponíveis para todas as outras Operações de API do AWS.