Conceitos do AWS KMS

Aprenda os termos e conceitos básicos usados no AWS Key Management Service (AWS KMS) e como eles trabalham juntos para ajudar a proteger seus dados.

AWS KMS keys

AWS KMS keys (chaves do KMS) são o recurso principal no AWS KMS. É possível usar uma chave do KMS para criptografar, descriptografar e recriptografar dados. Ela também pode gerar chaves de dados que você pode usar fora do AWS KMS. Normalmente, você usará chaves do KMS de criptografia simétrica, mas pode criar e usar chaves do KMS assimétricas para criptografia ou assinatura, além de criar e usar chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash) para gerar e verificar tags de HMAC.

nota

AWS KMS está substituindo o termo chave mestre do cliente (CMK) por AWS KMS key e Chave KMS. O conceito não mudou. Para evitar alterações interrompidas, o AWS KMS está mantendo algumas variações deste termo.

Uma AWS KMS key é uma representação lógica de uma chave criptográfica. Uma chave do KMS contém metadados, como o ID da chave, especificação de chave, uso da chave, data de criação, descrição e estado da chave. O mais importante é que ela contém uma referência ao material de chave que é usado quando você realiza operações de criptografia com a chave do KMS.

Você pode criar uma chave do KMS com material de chave de criptografia gerado em módulos de segurança de hardware validados pelo FIPS do AWS KMS. O material de chave para chaves do KMS simétricas e as chaves privadas de chaves do KMS assimétricas nunca deixam o AWS KMS descriptografadas. Para usar ou gerenciar suas chaves do KMS, você deve usar o AWS KMS. Para obter mais informações sobre como criar e gerenciar chaves do KMS, consulte Gerenciar chaves do . Para obter mais informações sobre como usar chaves do KMS, consulte a Referência de APIs do AWS Key Management Service.

Por padrão, o AWS KMS cria o material de chaves para uma chave do KMS. Você não pode extrair, exportar, visualizar ou gerenciar esse material de chaves. A única exceção é a chave pública de um par de chaves assimétricas, que você pode exportar para uso fora da AWS. Além disso, não é possível excluir esse material de chave. Você deve excluir a chave do KMS. No entanto, você pode importar seu próprio material de chave para uma chave do KMS ou usar um armazenamento de chaves personalizado para criar chaves do KMS que utilizam material de chave no cluster do AWS CloudHSM ou material de chave em um gerenciador de chaves externas que você possui e gerencia fora da AWS.

O AWS KMS também oferece suporte a chaves de várias regiões, que permitem criptografar dados em uma Região da AWS e descriptografá-los em uma Região da AWS diferente.

Para obter mais informações sobre como criar e gerenciar chaves do KMS, consulte Gerenciar chaves do . Para obter mais informações sobre como usar chaves do KMS, consulte a Referência de APIs do AWS Key Management Service.

Chaves do cliente e chaves do AWS

As chaves do KMS que você cria são chaves gerenciadas pelo cliente. Os Serviços da AWSque usam chaves do KMS para criptografar seus recursos dos serviços geralmente criam chaves para você. As chaves do KMS que os Serviços da AWS criam em sua conta da AWS são Chaves gerenciadas pela AWS. As chaves do KMS que os Serviços da AWS criam em uma conta de serviço são Chaves pertencentes à AWS.

Tipo de chave do KMS	Pode visualizar metadados da chave do KMS	Pode gerenciar a chave do KMS	Usado apenas para a minha Conta da AWS	Rotação automática	Definição de preço
Chave gerenciada pelo cliente	Sim	Sim	Sim	Opcional. A cada ano (aproximadamente 365 dias)	Tarifa mensal (proporcional por hora) Tarifa por uso
Chave gerenciada pela AWS	Sim	Não	Sim	Obrigatório. A cada ano (aproximadamente 365 dias)	Nenhuma tarifa mensal Tarifa por uso (alguns Serviços da AWS pagam essa tarifa para você)
Chave pertencente à AWS	Não	Não	Não	Varia	Nenhuma tarifa

Os serviços da AWS que se integram ao AWS KMS são diferentes no que se refere ao suporte para chaves do KMS. Alguns serviços da AWS criptografam seus dados por padrão com uma Chave pertencente à AWS ou com uma Chave gerenciada pela AWS. Alguns serviços da AWS oferecem suporte a chaves gerenciadas pelo cliente. Outros serviços da AWS são compatíveis com todos os tipos de chaves do KMS para proporcionar a facilidade de uma Chave pertencente à AWS, a visibilidade de uma Chave gerenciada pela AWS ou o controle de uma chave gerenciada pelo cliente. Para obter informações detalhadas sobre as opções de criptografia oferecidas por um serviço da AWS, consulte o tópico Criptografia em repouso no manual do usuário ou no guia do desenvolvedor do serviço.

Chaves gerenciadas pelo cliente

As chaves do KMS que você cria são chaves gerenciadas pelo cliente. Chaves gerenciadas pelo cliente são chaves do KMS em sua Conta da AWS que você cria, detém e gerencia. Você tem controle total sobre essas chaves do KMS, incluindo estabelecer e manter suas políticas de chaves, políticas do IAM e concessões, além de habilitá-las e desabilitá-las, alternar seu material criptográfico, adicionar etiquetas, criar aliases que fazem referência às chaves do KMS e programar a exclusão de chaves do KMS.

Chaves gerenciadas pelo cliente são exibidas na página Customer managed keys (Chaves gerenciadas pelo cliente) do AWS Management Console para o AWS KMS. Para identificar definitivamente uma chave gerenciada pelo cliente, use a operação DescribeKey. Para chaves gerenciadas pelo cliente, o valor do campo KeyManager da resposta DescribeKey é CUSTOMER.

Você pode usar suas chaves gerenciadas pelo cliente em operações de criptografia e auditar o uso em logs do AWS CloudTrail. Além disso, muitos serviços da AWS que se integram com o AWS KMS permitem que você especifique uma chave gerenciada pelo cliente para proteger os dados armazenados e gerenciados.

Chaves gerenciadas pelo cliente geram uma taxa mensal e uma taxa para uso que excede o nível gratuito. Elas contam para as cotas do AWS KMS da sua conta. Para obter mais detalhes, consulte AWS Key Management Service Definição de preço e Cotas.

Chaves gerenciadas pela AWS

Chaves gerenciadas pela AWS são chaves do KMS em sua conta que são criadas, gerenciadas e usadas em seu nome por um serviço da AWS integrado ao AWS KMS.

Alguns serviços da AWS permitem escolher uma Chave gerenciada pela AWS ou uma chave gerenciada pelo cliente para proteger os recursos que ele contém. Em geral, a menos que seja necessário controlar a chave de criptografia que protege os recursos, uma Chave gerenciada pela AWS é uma boa escolha. Você não precisa criar ou manter a chave ou sua política de chave, e nenhuma tarifa mensal é necessária para uma Chave gerenciada pela AWS.

Você tem permissão para visualizar as Chaves gerenciadas pela AWS na sua conta, visualizar suas políticas de chave e auditar o uso delas em logs do AWS CloudTrail. Porém, não pode alterar nenhuma propriedade de Chaves gerenciadas pela AWS, alterná-las, modificar suas políticas de chave ou programá-las para exclusão. Você também não pode usar Chaves gerenciadas pela AWS em operações de criptografia de forma direta. Elas são usadas em seu nome pelo serviço que as cria.

Chaves gerenciadas pela AWS aparece na página Chaves gerenciadas pela AWS do AWS Management Console para o AWS KMS. Também é possível identificar Chaves gerenciadas pela AWS por seus aliases, que têm o formato aws/service-name, como aws/redshift. Para identificar definitivamente umChaves gerenciadas pela AWS, use a DescribeKeyoperação. Para Chaves gerenciadas pela AWS, o valor do campo KeyManager da resposta DescribeKey é AWS.

Todas as Chaves gerenciadas pela AWS são alternadas automaticamente a cada ano. alternarNão é possível alterar essa programação de rotação.

nota

Em maio de 2022, o AWS KMS alterou o cronograma de alternância para Chaves gerenciadas pela AWS de a cada 3 anos (aproximadamente 1.095 dias) para a cada ano (aproximadamente 365 dias).

Novas Chaves gerenciadas pela AWS são alternadas automaticamente um ano após serem criadas e aproximadamente a cada ano depois disso.

As Chaves gerenciadas pela AWS existentes são alternadas automaticamente um ano após sua alternância mais recente e a cada ano depois disso.

Não há uma tarifa mensal para Chaves gerenciadas pela AWS. Elas podem estar sujeitas a taxas de uso que excede o nível gratuito, mas alguns serviços da AWS abrangem esses custos para você. Para obter detalhes, consulte o tópico Criptografia em repouso, no manual do usuário ou no guia do desenvolvedor do serviço. Para obter mais informações, consulte Definição de preço do AWS Key Management Service.

As Chaves gerenciadas pela AWS não são contabilizadas em relação às cotas de recursos para o número de chaves do KMS em cada região da sua conta. No entanto, quando usadas em nome de uma entidade principal na sua conta, essas chaves do KMS contam para as cotas de solicitações. Para obter detalhes, consulte Cotas.

Chaves pertencentes à AWS

Chaves pertencentes à AWS são uma coleção de chaves do KMS de propriedade de um serviço da AWS e que esse serviço gerencia para uso em várias Contas da AWS. Embora as Chaves pertencentes à AWS não estejam em sua Conta da AWS, um serviço da AWS pode usar uma Chave pertencente à AWS para proteger os recursos da conta.

Alguns serviços da AWS permitem escolher uma Chave pertencente à AWS ou uma chave gerenciada pelo cliente. Em geral, a menos que seja necessário auditar ou controlar a chave de criptografia que protege os recursos, uma Chave pertencente à AWS é uma boa escolha. Chaves pertencentes à AWS são totalmente gratuitas (sem tarifas mensais ou de uso), não contam para as cotas do AWS KMS da sua conta e são fáceis de usar. Você não precisa criar ou manter a chave ou sua política de chave.

A rotação das Chaves pertencentes à AWS varia de acordo com os serviços. Para obter informações sobre a rotação de uma Chave pertencente à AWS específica, consulte o tópico Criptografia em repouso no guia do usuário ou no guia do desenvolvedor do serviço.

Chaves do KMS de criptografia simétrica

Ao criar uma AWS KMS key, você recebe por padrão uma chave do KMS para criptografia simétrica. Esse é o tipo básico e mais comumente usado de chave do KMS.

No AWS KMS, uma chave do KMS de criptografia simétrica representa uma chave de criptografia AES-GCM de 256 bits, exceto nas regiões da China, em que ela representa uma chave de criptografia SM4 de 128 bits. O material de chave simétrica nunca sai descriptografado do AWS KMS. Para usar uma chave do KMS de criptografia simétrica, você deve chamar o AWS KMS. As chaves de criptografia simétrica são usadas na criptografia simétrica, na qual a mesma chave é usada para criptografia e descriptografia. A menos que sua tarefa exija explicitamente criptografia assimétrica, as chaves do KMS de criptografia simétrica, que nunca deixam o AWS KMS descriptografadas, são uma boa opção.

Os serviços da AWS que são integrados ao AWS KMS usam exclusivamente chaves do KMS de criptografia simétrica para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

Tecnicamente, a especificação da chave para uma chave simétrica é SYMMETRIC_DEFAULT, o uso da chave é ENCRYPT_DECRYPT e o algoritmo de criptografia é SYMMETRIC_DEFAULT. Para obter detalhes, consulte Especificação da chave SYMMETRIC_DEFAULT.

É possível usar uma chave do KMS de criptografia simétrica no AWS KMS para criptografar, descriptografar e recriptografar dados, além de gerar chaves de dados e pares de chaves de dados. Você pode criar chaves do KMS de criptografia simétrica de várias regiões, importar seu próprio material de chaves para uma chave do KMS de criptografia simétrica e criar chaves do KMS de criptografia simétrica em armazenamentos personalizados de chaves. Para obter uma tabela comparando as operações que podem ser realizadas em chaves do KMS de diferentes tipos, consulte Referência de tipos de chaves.

Chaves do KMS assimétricas

É possível criar chaves do KMS assimétricas no AWS KMS. Uma chave do KMS assimétrica representa um par de chave pública e chave privada matematicamente relacionadas. A chave privada nunca deixa o AWS KMS descriptografado. Para usar a chave privada, é necessário chamar o AWS KMS. Você pode usar a chave pública no AWS KMS chamando as operações de API do AWS KMS ou pode fazer download da chave pública e usá-la fora do AWS KMS. Você também pode criar chaves do KMS assimétricas de várias regiões.

É possível criar chaves do KMS assimétricas que representam pares de chaves RSA ou pares de chaves SM2 (somente para regiões da China) para criptografia de chaves públicas ou de assinatura e verificação, ou pares de chaves de curva elíptica para assinatura e verificação.

Para saber mais sobre como criar e usar chaves do KMS assimétricas, consulte Chaves assimétricas no AWS KMS.

Chaves do KMS de HMAC

Uma chave do KMS de HMAC representa uma chave simétrica de comprimento variável que é usada para gerar e verificar códigos de autenticação de mensagens por hash (HMAC). O material de chave de uma chave de HMAC nunca sai descriptografado do AWS KMS. Para usar uma chave de HMAC, chame as operações de API GenerateMac ou VerifyMac.

Você também pode criar chaves do KMS de HMAC de várias regiões.

Para obter mais informações sobre como criar e usar chaves do KMS de HMAC, consulte Chaves de HMAC no AWS KMS.

Chaves de dados

Chaves de dados são chaves simétricas que você pode usar para criptografar dados, inclusive grandes quantidades de dados e outras chaves de criptografia dos dados. Ao contrário de chaves do KMS assimétricas, que não podem ser baixadas, as chaves de dados são devolvidas para você para uso fora do AWS KMS.

Quando o AWS KMS gera chaves de dados, ele retorna uma chave de dados em texto simples para uso imediato e uma cópia criptografada dessa chave de dados que você pode armazenar com os dados de maneira segura. Quando você pronto para descriptografar os dados, você primeiro solicita ao AWS KMS que descriptografe a chave de dados criptografada.

O AWS KMS gera, criptografa e descriptografa chaves de dados. No entanto, o AWS KMS não armazena, gerencia ou monitora as chaves de dados nem executa operações de criptografia com chaves de dados. Você deve usar e gerenciar as chaves de dados fora do AWS KMS. Para obter ajuda para usar as chaves de dados de forma segura, consulte a AWS Encryption SDK.

Criação de uma chave de dados

Para criar uma chave de dados, chame a GenerateDataKeyoperação. AWS KMSgera a chave de dados. Em seguida, ele criptografa uma cópia da chave de dados em uma chave do KMS de criptografia simétrica especificada por você. A operação retorna uma cópia em texto simples da chave de dados e a cópia da chave de dados criptografada de acordo com a chave do KMS. A imagem a seguir mostra essa operação.

AWS KMStambém suporta a GenerateDataKeyWithoutPlaintextoperação, que retorna somente uma chave de dados criptografada. Quando precisar usar a chave de dados, peça ao AWS KMS para descriptografá-la.

Criptografia de dados com uma chave de dados

AWS KMSO não pode usar uma chave de dados para criptografar dados. No entanto, você pode usar a chave de dados fora do AWS KMS, como ao usar OpenSSL ou uma biblioteca de criptografia, como AWS Encryption SDK.

Depois de usar a chave de dados de texto simples para criptografar dados e remova-a da memória assim que possível. Você pode armazenar seguramente as chaves de dados criptografadas com os dados criptografados para que estejam disponíveis para descriptografar os dados.

Descriptografia dos dados com uma chave de dados

Para descriptografar dados, transmita a chave de dados criptografada para a operação Decrypt. O AWS KMS usa sua chave do KMS para descriptografar a chave de dados e, em seguida, retorna a chave de dados em texto simples. Use a chave de dados de texto simples para descriptografar seus dados e remove-a da memória assim que possível.

O diagrama a seguir mostra como usar a operação Decrypt para descriptografar uma chave de dados criptografada.

Como as chaves do KMS inutilizáveis afetam as chaves de dados

Quando uma chave do KMS torna-se inutilizável, o efeito é quase imediato (sujeito a consistência posterior). O estado de chave da chave do KMS é alterado para refletir sua nova condição, e todas as solicitações para usar a chave do KMS em operações de criptografia falham.

No entanto, o efeito nas chaves de dados criptografadas pela chave do KMS e nos dados criptografados pela chave de dados é adiado até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados.

As chaves do KMS podem se tornar inutilizáveis por vários motivos, inclusive pelas ações a seguir que você pode executar.

• Desabilitar a chave do KMS

• Agendar a exclusão da chave do KMS

• Excluir o material de chaves de uma chave do KMS com material de chaves importado ou permitir que o material de chaves importado expire.

• Desconectar o armazenamento de chaves do AWS CloudHSM que hospeda a chave do KMS ou excluir a chave do cluster do AWS CloudHSM que serve como material de chave para a chave do KMS.

• Desconectar o armazenamento de chaves externas que hospeda a chave do KMS ou qualquer outra ação que interfira nas solicitações de criptografia e descriptografia do proxy de armazenamento de chaves externas, inclusive excluir a chave externa do gerenciador de chaves externas.

Esse efeito é importante principalmente para muitos Serviços da AWS que usam chaves de dados para proteger os recursos que o serviço gerencia. O exemplo abaixo usa o Amazon Elastic Block Store (Amazon EBS) e o Amazon Elastic Compute Cloud (Amazon EC2). Diferentes Serviços da AWS usam chaves de dados de diferentes maneiras. Para obter detalhes, consulte a seção de proteção de dados do capítulo de segurança do AWS service (Serviço da AWS).

Por exemplo, considere este cenário:

1. Crie um volume do EBS criptografado e especifique uma chave do KMS para protegê-lo. O Amazon EBS solicita que o AWS KMS use a chave do KMS para gerar uma chave de dados criptografada para o volume. O Amazon EBS armazena a chave de dados criptografada com os metadados do volume.

2. Quando você anexa o volume do EBS a uma instância do EC2, o Amazon EC2 solicita usa a chave do KMS para descriptografar a chave de dados criptografada do volume do EBS. O Amazon EC2 usa a chave de dados no hardware Nitro, que é responsável por criptografar toda a E/S do disco no volume do EBS. A chave de dados persiste no hardware do Nitro, enquanto o volume do EBS está conectado à instância do EC2.

3. Você executa uma ação que torna a chave do KMS inutilizável. Isso não tem efeito imediato na instância de EC2 ou no volume do EBS. O Amazon EC2 usa a chave de dados (e não a chave do KMS) para criptografar toda a E/S de disco enquanto o volume está anexado à instância.

4. No entanto, quando o volume criptografado do EBS é desanexado da instância do EC2, o Amazon EBS remove a chave de dados do hardware do Nitro. Da próxima vez que o volume do EBS for anexado à instância do EC2, a anexação falhará porque o Amazon EBS não consegue usar a chave do KMS para descriptografar a chave de dados criptografada do volume. Para usar o volume do EBS novamente, é necessário tornar a chave do KMS utilizável novamente.

Pares de chaves de dados

Pares de chaves de dados são chaves de dados assimétricas que consistem em uma chave pública e uma chave privada matematicamente relacionadas. Eles foram projetados para uso na criptografia e descriptografia do lado do cliente ou na assinatura e verificação fora do AWS KMS.

Ao contrário dos pares de chaves de dados gerados por ferramentas como o OpenSSL, o AWS KMS protege a chave privada em cada par de chaves de dados sob uma chave do KMS de criptografia simétrica no AWS KMS que você especifica. No entanto, o AWS KMS não armazena, gerencia nem rastreia os pares de chaves de dados, nem executa operações de criptografia com pares de chaves de dados. É necessário usar e gerenciar pares de chaves fora do AWS KMS.

O AWS KMS oferece suporte aos seguintes tipos de pares de chaves de dados:

• Pares de chaves RSA: RSA_2048, RSA_3072 e RSA_4096

• Pares de chaves de curva elíptica: ECC_NIST_P256, ECC_NIST_P384, ECC_NIST_P521 e ECC_SECG_P256K1

• Pares de chaves SM (somente nas regiões da China): SM2

O tipo de par de chaves de dados selecionado geralmente depende do caso de uso ou dos requisitos regulatórios. A maioria dos certificados exige chaves RSA. As chaves de curva elíptica geralmente são usadas para assinaturas digitais. As chaves ECC_SECG_P256K1 são comumente usadas para criptomoedas. O AWS KMS recomenda usar pares de chaves ECC para assinatura e usar pares de chaves RSA para criptografia ou assinatura, mas não ambos. Porém, AWS KMS não podem impor restrições para o uso de pares de chaves fora do AWS KMS.

Criar um par de chaves de dados

Para criar um par de chaves de dados, chame as GenerateDataKeyPairWithoutPlaintextoperações GenerateDataKeyPairou. Especifique a chave do KMS de criptografia simétrica que você deseja usar para criptografar a chave privada.

GenerateDataKeyPair retorna uma chave pública de texto não criptografado, uma chave privada de texto não criptografado e uma chave privada criptografada. use essa operação quando precisar imediatamente de uma chave privada de texto não criptografado, como para gerar uma assinatura digital.

GenerateDataKeyPairWithoutPlaintext retorna uma chave pública de texto não criptografado e uma chave privada criptografada, mas não uma chave privada de texto não criptografado. Use essa operação quando não precisar imediatamente de uma chave privada de texto não criptografado, como quando você está criptografando uma chave pública. Posteriormente, quando precisar de uma chave privada de texto não criptografado para descriptografar os dados, poderá chamar a operação Decrypt.

A imagem a seguir mostra a operação GenerateDataKeyPair. A operação GenerateDataKeyPairWithoutPlaintext omite a chave privada de texto não criptografado.

Criptografar dados com um par de chaves de dados

Ao criptografar com um par de chaves de dados, você usa a chave pública do par para criptografar os dados e a chave privada do mesmo par para descriptografar os dados. Normalmente, pares de chaves de dados são usados quando muitos usuários precisam criptografar dados que só o usuário que tem a chave privada pode descriptografar.

As partes com a chave pública usam essa chave para criptografar dados, conforme mostrado no diagrama a seguir.

Descriptografar dados com um par de chaves de dados

Para descriptografar seus dados, use a chave privada no par de chaves de dados. Para que a operação seja bem-sucedida, as chaves pública e privada devem ser do mesmo par de chaves de dados e você deve usar o mesmo algoritmo de criptografia.

Para descriptografar a chave privada criptografada, transmita-a para a operação Decrypt. Use a chave privada de texto não criptografado para descriptografar os dados. Depois, remova a chave privada de texto não criptografado da memória assim que possível.

O diagrama a seguir mostra como usar a chave privada em um par de chaves de dados para descriptografar texto cifrado.

Assinar mensagens com um par de chaves de dados

Para gerar uma assinatura criptográfica para uma mensagem, use a chave privada no par de chaves de dados. Qualquer pessoa com a chave pública pode usá-la para verificar se a mensagem foi assinada com a chave privada e se ela não foi alterada desde que foi assinada.

Se você criptografar sua chave privada, transmita a chave privada criptografada para a operação Decrypt. O AWS KMS usa sua chave do KMS para descriptografar a chave de dados e, em seguida, retorna a chave privada em texto simples. Use a chave privada de texto não criptografado para gerar a assinatura. Depois, remova a chave privada de texto não criptografado da memória assim que possível.

Para assinar uma mensagem, crie um resumo de mensagens usando uma função de hash criptográfica, como o comando dgst no OpenSSL. Depois, transmita a chave privada de texto não criptografado ao algoritmo de assinatura. O resultado é uma assinatura que representa os conteúdos da mensagem. (Talvez seja possível assinar mensagens mais curtas sem antes criar um resumo. O tamanho máximo da mensagem varia de acordo com a ferramenta de assinatura que você usa.)

O diagrama a seguir mostra como usar a chave privada em um par de chaves para assinar a mensagem.

Verificar uma assinatura com um par de chaves de dados

Qualquer pessoa que tenha a chave pública no par de chaves de dados pode usá-la para verificar a assinatura gerada com sua chave privada. A verificação confirma que um usuário autorizado assinou a mensagem com a chave privada e o algoritmo de assinatura especificados, e que a mensagem não foi alterada desde que foi assinada.

Para ser bem-sucedida, a parte que está verificando a assinatura deve gerar o mesmo tipo de resumo, usar o mesmo algoritmo e usar a chave pública que corresponde à chave privada usada para assinar a mensagem.

O diagrama a seguir mostra como usar a chave pública em um par de chaves para verificar a assinatura de uma mensagem.

Aliases

Use um alias como um nome amigável para uma chave do KMS. Por exemplo, você pode fazer referência a uma chave do KMS como test-key em vez de 1234abcd-12ab-34cd-56ef-1234567890ab.

Aliases facilitam a identificação de uma chave do KMS no AWS Management Console. Você também pode usar um alias para identificar uma chave do KMS em algumas operações do AWS KMS, incluindo operações de criptografia. Em aplicações, é possível usar um único alias para fazer referência a diferentes chaves do KMS em cada Região da AWS.

Também é possível permitir e negar acesso a chaves do KMS com base em aliases sem precisar editar políticas ou gerenciar concessões. Esse recurso faz parte do suporte do AWS KMS para controle de acesso baseado em atributos (ABAC). Para obter mais detalhes, consulte ABAC para AWS KMS.

No AWS KMS, aliases são recursos independentes, e não são propriedades de uma chave do KMS. Dessa forma, você pode adicionar, alterar e excluir um alias sem afetar a chave do KMS associada.

Importante

Não inclua informações confidenciais ou sigilosas no nome do alias. Os aliases podem aparecer em texto simples em CloudTrail registros e outras saídas.

Saiba mais:

• Para obter informações detalhadas sobre aliases, consulte Usar aliases.

• Para obter informações sobre os formatos de identificadores de chave, incluindo aliases, consulte Identificadores-chave () KeyId.

• Para obter ajuda para localizar os aliases associados a uma chave do KMS, consulte Encontrar o nome e o ARN do alias

• Para obter exemplos de criação e gerenciamento de aliases em várias linguagens de programação, consulte Trabalhar com aliases.

Armazenamentos de chaves personalizados

Um armazenamento de chaves personalizado é um recurso do AWS KMS baseado em um gerenciador de chaves fora do AWS KMS que você possui e gerencia. Quando você usa uma chave do KMS em um armazenamento de chaves personalizado para uma operação de criptografia, a operação de criptografia é executada no gerenciador de chaves usando as respectivas chaves de criptografia.

O AWS KMS oferece suporte a armazenamentos de chaves do AWS CloudHSM com base em um cluster do AWS CloudHSM e armazenamentos de chaves externas baseados em um gerenciador de chaves externas fora da AWS.

Para ter mais informações, consulte Armazenamentos de chaves personalizados.

Operações criptográficas

No AWS KMS, operações de criptografia são operações de API que usam chaves do KMS para proteger dados. Como as chaves do KMS permanecem no AWS KMS, é necessário chamar o AWS KMS para usar uma chaves do KMS em uma operação criptográfica.

Para executar operações de criptografia com chaves do KMS, use os AWS SDKs, a AWS Command Line Interface (AWS CLI) ou o AWS Tools for PowerShell. Não é possível executar operações de criptografia no console do AWS KMS. Para obter exemplos de chamadas de operações de criptografia em várias linguagens de programação, consulte Programação da API do AWS KMS.

A tabela a seguir lista as operações de criptografia do AWS KMS. Ela também mostra os requisitos de tipo de chave e uso de chave para chaves do KMS usadas na operação.

Operation	Tipo de chave	Uso da chave
Decrypt	Simétrico ou assimétrico	ENCRYPT_DECRYPT
Encrypt	Simétrico ou assimétrico	ENCRYPT_DECRYPT
GenerateDataKey	Simétrica	ENCRYPT_DECRYPT
GenerateDataKeyPair	Simétrica [1] Não é compatível com chaves do KMS em armazenamentos de chaves personalizados.	ENCRYPT_DECRYPT
GenerateDataKeyPairWithoutPlaintext	Simétrica [1] Não é compatível com chaves do KMS em armazenamentos de chaves personalizados.	ENCRYPT_DECRYPT
GenerateDataKeyWithoutPlaintext	Simétrica	ENCRYPT_DECRYPT
GenerateMac	HMAC	GENERATE_VERIFY_MAC
GenerateRandom	N/D. Essa operação não usa uma chave do KMS.	N/D
ReEncrypt	Simétrico ou assimétrico	ENCRYPT_DECRYPT
Sign	Assimétrica	SIGN_VERIFY
Verificar	Assimétrica	SIGN_VERIFY
VerifyMac	HMAC	GENERATE_VERIFY_MAC

[1] Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.

Para obter informações sobre as permissões para operações de criptografia, consulte a AWS KMS permissões.

Para tornar o AWS KMS responsivo e altamente funcional para todos os usuários, o AWS KMS estabelece cotas para o número de operações de criptografia chamadas em cada segundo. Para obter mais detalhes, consulte Cotas compartilhadas para operações de criptografia.

Identificadores-chave () KeyId

Identificadores de chave atuam como nomes para suas chaves do KMS. Eles ajudam a reconhecer suas chaves do KMS no console. Você poderá usá-las para indicar quais chaves do KMS deseja usar em operações de API do AWS KMS, políticas do IAM e concessões. Os valores do identificador de chave não estão completamente relacionados ao material de chaves associado à chave KMS.

AWS KMSO define vários identificadores de chave. Quando você cria uma chave do KMS, o AWS KMS gera um ARN e um ID de chave, que são propriedades da chave do KMS. Quando você cria um alias, o AWS KMS gera o ARN de alias com base no nome do alias que você define. É possível exibir os identificadores de chave e alias no AWS Management Console e na API do AWS KMS.

No console do AWS KMS, é possível visualizar e filtrar chaves do KMS por ARN de chave, ID de chave ou nome de alias e classificar por ID de chave e nome de alias. Para obter ajuda para encontrar os identificadores de chave no console, consulte Como encontrar o ID e o ARN da chave.

Na API do AWS KMS, os parâmetros usados para identificar uma chave do KMS se chamam KeyId ou uma variação, como TargetKeyId ou DestinationKeyId. No entanto, os valores desses parâmetros não estão limitados a IDs de chave. Alguns podem usar qualquer identificador de chave válido. Para obter informações sobre os valores de cada parâmetro, consulte a descrição do parâmetro na Referência de APIs do AWS Key Management Service.

nota

Ao usar a API do AWS KMS, preste atenção ao identificador de chave usado. APIs diferentes requerem identificadores de chave diferentes. Em geral, use o identificador de chave mais completo e prático para a sua tarefa.

AWS KMSO é compatível com os seguintes identificadores de chave.

ARN de chave

O ARN de chave é o Amazon Resource Name (ARN) de uma chave do KMS. É um identificador exclusivo e totalmente qualificado para a chave do KMS. Um ARN de chave inclui a Conta da AWS, a região e o ID de chave. Para obter ajuda para encontrar o ARN de chave de uma chave do KMS, consulte Como encontrar o ID e o ARN da chave.

O formato de um ARN de chave é o seguinte:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Veja a seguir um exemplo de ARN de chave para uma chave do KMS de região única.

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

O elemento key-id dos ARNs de chaves de várias regiões começa com o prefixo mrk-. Veja a seguir um exemplo de ARN de chave para uma chave do KMS de várias regiões.

arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

ID da chave

O ID de chave identifica exclusivamente uma chave do KMS dentro de uma conta e uma região. Para obter ajuda para encontrar o ID de chave de uma chave do KMS, consulte Como encontrar o ID e o ARN da chave.

Veja a seguir um exemplo de ID de chave para uma chave do KMS de região única.

1234abcd-12ab-34cd-56ef-1234567890ab

Os IDs de chave de chaves de várias regiões começam com o prefixo mrk-. Veja a seguir um exemplo de ID de chave para uma chave do KMS de várias regiões.

mrk-1234abcd12ab34cd56ef1234567890ab

ARN do alias

O ARN do alias é o Amazon Resource Name (ARN) de um alias do AWS KMS. É um identificador exclusivo e totalmente qualificado para o alias e para a chave do KMS que ele representa. Um ARN de alias inclui a Conta da AWS, a região e o nome do alias.

A qualquer momento, um ARN de alias identificará uma chave do KMS específica. No entanto, como é possível alterar a chaves do KMS associada ao alias, o ARN do alias pode identificar diferentes chaves do KMS em momentos diferentes. Para obter ajuda para encontrar o ARN de alias de uma chave do KMS, consulte Encontrar o nome e o ARN do alias.

O formato de um ARN de alias é o seguinte:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Veja a seguir o ARN de alias de um fictício ExampleAlias.

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

Nome do alias

O nome do alias é uma string com até 256 caracteres. Ele identifica exclusivamente uma chave do KMS associada em uma conta e uma região. Na API do AWS KMS, os nomes de alias sempre começam com alias/. Para obter ajuda para encontrar o nome de alias de uma chave do KMS, consulte Encontrar o nome e o ARN do alias.

O formato de um nome de alias é o seguinte:

alias/<alias-name>

Por exemplo:

alias/ExampleAlias

O prefixo aws/ de um nome de alias é reservado para Chaves gerenciadas pela AWS. Não é possível criar um alias com esse prefixo. Por exemplo, o nome do alias da Chave gerenciada pela AWS para o Amazon Simple Storage Service (Amazon S3) é o seguinte.

alias/aws/s3

Material de chave

O material de chave é a string de bits usada em um algoritmo criptográfico. O material de chave secreta deve ser mantido em segredo para proteger as operações de criptografia que o utilizam. O material de chave pública foi projetado para ser compartilhado.

Cada chave do KMS inclui uma referência ao material de chave em seus metadados. A origem do material de chave de chaves do KMS de criptografia simétrica pode variar. Você pode usar material de chave gerado pelo AWS KMS, material chave gerado no cluster do AWS CloudHSMde um armazenamento de chaves personalizado ou pode importar seu próprio material de chave. Se usar material de chave do AWS KMS para sua chave do KMS de criptografia simétrica, você poderá habilitar a alternância automática do seu material de chave.

Por padrão, cada chave do KMS tem material de chave exclusivo. No entanto, você pode criar um conjunto de chaves de várias regiões com o mesmo material de chave.

Origem do material de chave

A origem do material de chave é uma propriedade da chave do KMS que identifica a origem do material de chave na chave do KMS. Você escolhe a origem do material de chave ao criar a chave do KMS e não é possível alterá-la. A origem do material de chave afeta as características de segurança, durabilidade, disponibilidade, latência e throughput da chave do KMS.

Para encontrar a origem do material de chave de uma chave KMS, use a DescribeKeyoperação ou veja o valor da origem na guia Configuração criptográfica da página de detalhes de uma chave KMS no console. AWS KMS Para obter ajuda, consulte Visualizar chaves.

As chaves do KMS podem ter um dos valores de origem de material de chave a seguir.

AWS_KMS

O AWS KMS cria e gerencia o material de chave para a chave do KMS no seu próprio armazenamento de chaves. Esse é o valor padrão e o recomendado para a maioria das chaves do KMS.

Para obter ajuda na criação de chaves com material de chave do AWS KMS, consulte Criar chaves.

EXTERNAL (Import key material)

A chave do KMS tem material de chave importado. Quando uma chave do KMS é criada com uma origem de material de chave External, ela não tem material de chave. Mais tarde, você poderá importar material de chave para a chave do KMS. Ao usar material de chave importada, é necessário proteger e gerenciar esse material de chave fora do AWS KMS, incluindo a substituição do material de chave se ele expirar. Para obter mais detalhes, consulte Sobre o material de chave importada.

Para obter ajuda na criação de uma chave do KMS para material de chave importado, consulte Etapa 1: criar uma chave do KMS sem material de chave.

AWS_CLOUDHSM

O AWS KMS cria o material de chave no cluster do AWS CloudHSM para seu armazenamento de chaves do AWS CloudHSM.

Para obter ajuda na criação de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, consulte Criar chaves do KMS em um armazenamento de chaves do AWS CloudHSM.

EXTERNAL_KEY_STORE

O material da chave é uma chave de criptografia em um gerenciador de chaves externas fora da AWS. Essa origem é compatível somente com chaves do KMS em um armazenamento de chaves externas.

Para obter ajuda na criação de uma chave do KMS em um armazenamento de chaves externas, consulte Criar chaves do KMS em um armazenamento de chaves externas.

Especificação da chave

A especificação da chave é uma propriedade que representa a configuração criptográfica de uma chave. O significado da especificação de chave difere com o tipo de chave.

• Chaves do AWS KMS — A especificação da chave determina se a chave do KMS é simétrica ou assimétrica. Ela também determina o tipo do material de chave e os algoritmos compatíveis. Você escolhe a especificação de chave ao criar a chave do KMS e não pode alterá-la. A especificação de chaves padrão, SYMMETRIC_DEFAULT, representa uma chave de criptografia simétrica de 256 bits.

  nota

  A KeySpec de uma chave do KMS era conhecida como CustomerMasterKeySpec. O CustomerMasterKeySpec parâmetro da CreateKeyoperação está obsoleto. Em vez disso, use o parâmetro KeySpec, que funciona da mesma maneira. Para evitar alterações significativas, a resposta das DescribeKeyoperações CreateKey e agora inclui ambos KeySpec e CustomerMasterKeySpec membros com os mesmos valores.

  Para obter uma lista de especificações de chave e ajuda com a escolha de uma especificação de chave, consulte Selecionar a especificação de chave. Para encontrar a especificação chave de uma chave KMS, use a DescribeKeyoperação ou consulte a guia Configuração criptográfica na página de detalhes de uma chave KMS no console. AWS KMS Para obter ajuda, consulte Visualizar chaves.

  Para limitar as principais especificações que os diretores podem usar ao criar chaves KMS, use a chave kms: condition. KeySpec Também é possível usar a chave de condição kms:KeySpec para permitir que as entidades principais chamem operações do AWS KMS somente para chaves do KMS com uma determinada especificação de chave. Por exemplo, é possível negar permissão para programar a exclusão de qualquer chave do KMS com uma especificação de chave RSA_4096.

• Chaves de dados (GenerateDataKey) — A especificação da chave determina o comprimento de uma chave de dados AES.

• Pares de chaves de dados (GenerateDataKeyPair) — A especificação do par de chaves determina o tipo de material de chave no par de chaves de dados.

Uso da chave

O uso da chave é uma propriedade que determina as operações de criptografia compatíveis com a chave. As chaves do KMS podem ter um uso de chave de ENCRYPT_DECRYPT, SIGN_VERIFY ou GENERATE_VERIFY_MAC. Cada chave do KMS pode ter apenas um uso de chave. O uso de uma chave do KMS para mais de um tipo de operação torna o produto de ambas as operações mais vulnerável a ataques.

Para obter ajuda na escolha do uso da chave do KMS, consulte Selecionar o uso de chave. Para encontrar o uso da chave KMS, use a DescribeKeyoperação ou escolha a guia Configuração criptográfica na página de detalhes de uma chave KMS no console. AWS KMS Para obter ajuda, consulte Visualizar chaves.

Criptografia de envelope

Quando você criptografa seus dados, os dados são protegidos, mas é necessário proteger a chave de criptografia. Uma estratégia é para criptografá-la. Criptografia de envelope é a prática de criptografar dados de texto simples com uma chave de dados e criptografar a chave de dados em outra chave.

Você pode até mesmo criptografar a chave de criptografia dos dados em outra chave de criptografia e criptografar essa chave de criptografia em outra chave de criptografia. Mas em algum momento deverá manter uma chave em texto simples para que possa descriptografar as chaves e seus dados. Essa chave de criptografia em texto simples de nível superior é chamada de chave raiz.

O AWS KMS ajuda você a proteger suas chaves de criptografia armazenando-as e gerenciando-as com segurança. As chaves-raiz armazenadas no AWS KMS, conhecidas como AWS KMS keys, nunca saem descriptografadas dos módulos de segurança de hardware validados para FIPS do AWS KMS. Para usar uma chave do KMS, é necessário chamar o AWS KMS.

A criptografia de envelope oferece vários benefícios:

• Proteção de chaves de dados

  Quando você criptografa uma chave de dados, não precisa se preocupar em armazenar a chave de dados criptografada porque a chave de dados é inerentemente protegida pela criptografia. A chave de dados criptografada pode ser armazenada com segurança junto com os dados criptografados.

• Criptografar os mesmos dados com várias chaves

  As operações de criptografia podem ser demoradas, especialmente quando os dados que estão sendo criptografados são objetos grandes. Em vez de recriptografar dados brutos várias vezes com diferentes chaves, você pode recriptografar somente as chaves de dados que protegem os dados brutos.

• Combinação de pontos fortes de vários algoritmos

  Em geral, os algoritmos de chave simétrica são mais rápidos e geram textos cifrados menores do que os algoritmos de chave pública. No entanto, os algoritmos de chave pública fornecem separação inerente de funções e gerenciamento de chaves mais fácil. A criptografia de envelope permite associar os pontos fortes de cada estratégia.

Contexto de criptografia

Todas as operações criptográficas do AWS KMS com chaves do KMS de criptografia simétrica aceitam um contexto de criptografia, um conjunto opcional de pares de chave-valor não secretos que podem conter informações contextuais adicionais sobre os dados. O AWS KMS usa o contexto de criptografia como additional authenticated data (dados autenticados adicionais (AAD)) para oferecer suporte à criptografia autenticada.

Ao incluir um contexto de criptografia em uma solicitação de criptografia, ele é vinculado de maneira criptográfica ao texto cifrado, de modo que o mesmo contexto de criptografia seja necessário para descriptografar (ou descriptografar e criptografar novamente) os dados. Se o contexto de criptografia fornecido na solicitação de descriptografia não é uma correspondência exata, com distinção entre maiúsculas e minúsculas, a solicitação de descriptografia falha. Somente a ordem dos pares de chave-valor no contexto de criptografia pode variar.

nota

Não é possível especificar um contexto de criptografia em uma operação criptográfica com uma chave do KMS assimétrica ou uma chave do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash). Algoritmos assimétricos e algoritmos de Message authentication code (MAC – Código de autenticação de mensagem) não são compatíveis com um contexto de criptografia.

O contexto de criptografia não é secreto nem criptografado. Ele é exibido em texto simples em Logs do AWS CloudTrail, para você possa usá-lo para identificar e categorizar suas operações de criptografia. Seu contexto de criptografia não deve incluir informações confidenciais. Recomendamos que o seu contexto de criptografia descreva os dados que estão sendo criptografados ou descriptografados. Por exemplo, quando você criptografar um arquivo, poderá usar parte do caminho do arquivo como contexto de criptografia.

"encryptionContext": {
    "department": "10103.0"
}    

Por exemplo, ao criptografar volumes e snapshots criados com a operação Amazon Elastic Block Store (Amazon EBS) CreateSnapshot, o Amazon EBS usa o ID do volume como valor do contexto de criptografia.

"encryptionContext": {
  "aws:ebs:id": "vol-abcde12345abc1234"
}

Você também pode usar o contexto de criptografia para refinar ou limitar o acesso a AWS KMS keys na sua conta. Você pode usar o contexto de criptografia como uma restrição em concessões e como uma condição nas declarações de política.

Para saber como usar o contexto de criptografia para proteger a integridade dos dados criptografados, consulte a postagem Como proteger a integridade de seus dados criptografados usando AWS Key Management Service e EncryptionContext no blog AWS de segurança.

Mais informações sobre contexto de criptografia.

Regras de contexto de criptografia

O AWS KMS impõe as seguintes regras para chaves e valores de contexto de criptografia.

• A chave e o valor em um par de contexto de criptografia devem ser strings literais simples. Se você usar um tipo diferente, como um inteiro ou flutuante, o AWS KMS o interpretará como uma string.

• As chaves e valores em um contexto de criptografia podem incluir caracteres Unicode. Se um contexto de criptografia incluir caracteres que não são permitidos em políticas de chaves ou políticas do IAM, você não poderá especificar o contexto de criptografia em chaves de condição de política, como kms:EncryptionContext:context-key e kms:EncryptionContextKeys. Para obter detalhes sobre as regras de documento de política de chaves, consulte Formato de política de chaves. Para obter detalhes sobre as regras de documento de política do IAM, consulte Requisitos de nome do IAM no Guia do usuário do IAM.

Contexto de criptografia em políticas

O contexto de criptografia é usado principalmente para verificar a integridade e a autenticidade. No entanto, também é possível usar o contexto de criptografia para controlar o acesso a AWS KMS keys de criptografia simétrica em políticas de chave e em políticas do IAM.

As chaves de EncryptionContextKeys condição kmsEncryptionContext:: e kms: permitem (ou negam) uma permissão somente quando a solicitação inclui chaves de contexto de criptografia específicas ou pares de valores-chave.

Por exemplo, a instrução de política de chave a seguir permite que a função RoleForExampleApp use a chave do KMS em operações Decrypt. Ela usa a chave da condição kms:EncryptionContext:context-key para conceder essa permissão somente quando o contexto de criptografia na solicitação inclui um par de contexto de criptografia AppName:ExampleApp.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:AppName": "ExampleApp"
    }
  }
}

Para obter mais informações sobre essas chaves de condição de contexto de criptografia, consulte Chaves de condição para AWS KMS.

Contexto de criptografia em concessões

Ao criar uma concessão, você pode incluir restrições de concessão que estabelecem condições para as permissões de concessão. O AWS KMS oferece suporte a duas restrições de concessão, EncryptionContextEquals e EncryptionContextSubset, ambas envolvendo o contexto de criptografia em uma solicitação para uma operação criptográfica. Quando você usa essas restrições de concessão, as permissões na concessão são efetivas apenas quando o contexto de criptografia na solicitação para a operação criptográfica atende aos requisitos das restrições de concessão.

Por exemplo, você pode adicionar uma restrição de EncryptionContextEquals concessão a uma concessão que permita a GenerateDataKeyoperação. Com essa restrição, a concessão permite a operação apenas quando o contexto de criptografia na solicitação é uma correspondência com maiúsculas e minúsculas ao contexto de criptografia na restrição de concessão.

$ aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:user/exampleUser \
    --retiring-principal arn:aws:iam::111122223333:role/adminRole \
    --operations GenerateDataKey \
    --constraints EncryptionContextEquals={Purpose=Test}

Uma solicitação como a seguinte da entidade principal receptora da concessão atenderia à restrição EncryptionContextEquals.

$ aws kms generate-data-key \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-spec AES_256 \
    --encryption-context Purpose=Test

Para obter detalhes sobre as restrições de concessão, consulte Usar restrições de concessão. Para obter informações detalhadas sobre concessões, consulte Concessões no AWS KMS.

Registrar em log o contexto de criptografia

O AWS KMS usa o AWS CloudTrail para registrar em log o contexto de criptografia, para que você possa determinar quais chaves do KMS e dados foram acessados. A entrada de log mostra exatamente quais chaves do KMS foram usada para criptografar ou descriptografar dados específicos referenciados pelo contexto de criptografia na entrada de log.

Importante

Como o contexto de criptografia é registrado em log, ele não deve conter informações confidenciais.

Armazenar o contexto de criptografia

Para simplificar o uso de qualquer contexto de criptografia quando você chama as operações Decrypt ou ReEncrypt, é possível armazenar o contexto de criptografia com os dados criptografados. Recomendamos que você armazene apenas o suficiente do contexto de criptografia para ajudar a criar o contexto de criptografia por completo quando você precisar dele para criptografia ou descriptografia.

Por exemplo, se o contexto de criptografia é o caminho para um arquivo, armazene apenas parte desse caminho com o conteúdo do arquivo criptografado. Quando você precisar do contexto de criptografia completo, reconstrua-o do fragmento armazenado. Se alguém tentar violar o arquivo, como renomear ou mover para um local diferente, o valor do contexto de criptografia será alterado e a solicitação de descriptografia falhará.

Política de chaves

Ao criar uma chave do KMS, você determina quem pode usar e gerenciar essa chave do KMS. Essas permissões estão contidas em um documento chamado política de chaves. É possível usar a política de chaves para adicionar, remover ou alterar permissões a qualquer momento para uma chave gerenciada pelo cliente. Porém, não é possível editar a política de chaves para uma Chaves gerenciadas pela AWS. Para ter mais informações, consulte Políticas-chave em AWS KMS.

Concessão

Uma concessão é um instrumento de política com o qual as entidades principais da AWS podem usar AWS KMS keys em operações de criptografia. Ela também pode permitir que essas entidades visualizem uma chave do KMS (DescribeKey) e criem e gerenciem concessões. Ao autorizar o acesso a uma chave do KMS, concessões são consideradas junto com políticas de chave e políticas do IAM. Concessões geralmente são usadas para permissões temporárias, pois você pode criar uma, usar suas permissões e excluí-la sem alterar suas principais políticas ou políticas do IAM. Como concessões podem ser muito específicas e são fáceis de criar e revogar, elas geralmente são usadas para fornecer permissões temporárias ou permissões mais detalhadas.

Para obter informações detalhadas sobre concessões, incluindo a terminologia de concessões, consulte Concessões no AWS KMS.

Auditar o uso de chaves do KMS

Você pode usar AWS CloudTrail para auditar o uso da chave. CloudTrail cria arquivos de log que contêm um histórico de chamadas de AWS API e eventos relacionados à sua conta. Esses arquivos de log incluem todas as solicitações de API do AWS KMS feitas com o Console de Gerenciamento da AWS, os AWS SDKs e as ferramentas de linha de comando. Os arquivos de log também incluem solicitações para o AWS KMS que os serviços da AWS fazem em seu nome. É possível usar esses arquivos de log para encontrar informações importantes, incluindo quando a chave do KMS foi usada, a operação solicitada, a identidade do solicitante e o endereço IP de origem. Para obter mais informações, consulte Fazendo login com AWS CloudTrail e o Manual do usuário do AWS CloudTrail.

Infraestrutura de gerenciamento de chaves

Uma prática comum na criptografia é criptografar e descriptografar com um algoritmo revisado em pares e publicamente disponível, por exemplo, AES (Advanced Encryption Standard) e uma chave secreta. Um dos principais problemas na criptografia é a grande dificuldade de manter uma chave secreta. Geralmente, esse é o trabalho de uma infraestrutura de gerenciamento de chaves (KMI). O AWS KMS opera essa infraestrutura para você. O AWS KMS cria e armazena com segurança as suas chaves raiz, chamadas de AWS KMS keys. Para obter mais informações sobre como o AWS KMS opera, consulte Detalhes criptográficos do AWS Key Management Service.