Criar uma chave do KMS

Você pode criar AWS KMS keys no AWS Management Console ou usando a CreateKeyoperação ou o AWS::KMS::Key AWS CloudFormation recurso. Durante esse processo, você define a política de chave para a chave do KMS, que pode ser alterada a qualquer momento. Você também seleciona os seguintes valores que definem o tipo de chave do KMS que você cria. Não é possível alterar essas propriedades depois que a chave do KMS é criada.

Tipo de chave do KMS

O tipo de chave é uma propriedade que determina qual tipo de chave criptográfica é criada. AWS KMS oferece três tipos principais para proteger os dados:

• Chaves simétricas Advanced Encryption Standard (AES)

  Chaves de 256 bits que são usadas no modo Galois Counter Mode (GCM) do AES para fornecer criptografia/descriptografia autenticada de dados com menos de 4 KB de tamanho. Esse é o tipo mais comum de chave e é usado para proteger outras chaves de criptografia de dados usadas em seus aplicativos e, com Serviços da AWS isso, criptografar seus dados em seu nome.

• RSA, curva elíptica ou (somente regiões SM2 da China) chaves assimétricas

  Essas chaves estão disponíveis em vários tamanhos e são compatíveis com vários algoritmos. É possível usá-las para operações de criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados, dependendo da opção de algoritmo.

• Chaves simétricas para realizar operações de códigos de autenticação de mensagem por hash (HMAC)

  Essas chaves são chaves de 256 bits usadas para operações de assinatura e verificação.

  Não é possível exportar as chaves do KMS do serviço em texto simples. Eles são gerados e só podem ser usados nos módulos de segurança de hardware (HSMs) usados pelo serviço. Essa é a propriedade de segurança fundamental de AWS KMS garantir que as chaves não sejam comprometidas.

Uso da chave

O uso da chave é uma propriedade que determina as operações de criptografia compatíveis com a chave. As chaves do KMS podem ter um uso de chave de ENCRYPT_DECRYPT, SIGN_VERIFY, GENERATE_VERIFY_MAC ou KEY_AGREEMENT. Cada chave do KMS pode ter apenas um uso de chave. O uso de uma chave do KMS para mais de um tipo de operação torna o produto de ambas as operações mais vulnerável a ataques.

Especificação da chave

A especificação da chave é uma propriedade que representa a configuração criptográfica de uma chave. O significado da especificação de chave difere com o tipo de chave.

Para chaves do KMS, especificação da chave determina se a chave do KMS é simétrica ou assimétrica. Ela também determina o tipo do material de chave e os algoritmos compatíveis.

A especificação de chaves padrão, SYMMETRIC_DEFAULT, representa uma chave de criptografia simétrica de 256 bits. Para obter uma descrição detalhada de todas as especificações de chave compatíveis, consulte Referência de especificação de chave.

Origem do material de chave

A origem do material de chave é uma propriedade da chave do KMS que identifica a origem do material de chave na chave do KMS. Você escolhe a origem do material de chave ao criar a chave do KMS e não é possível alterá-la. A origem do material de chave afeta as características de segurança, durabilidade, disponibilidade, latência e throughput da chave do KMS.

Cada chave do KMS inclui uma referência ao material de chave em seus metadados. A origem do material de chave de chaves do KMS de criptografia simétrica pode variar. Você pode usar material de chave gerado pelo AWS KMS , material chave gerado em um repositório de chaves personalizado ou importar seu próprio material de chave.

Por padrão, cada chave do KMS tem material de chave exclusivo. No entanto, você pode criar um conjunto de chaves de várias regiões com o mesmo material de chave.

As chaves KMS podem ter um dos seguintes valores de origem do material principal:AWS_KMS, EXTERNAL (material de chave importado), AWS_CLOUDHSM (chave KMS em um armazenamento de chaves) ou EXTERNAL_KEY_STORE ( AWS CloudHSM chave KMS em um armazenamento de chaves externo).

Tópicos

• Permissões para criar chaves do KMS

• Escolher qual tipo de chave do KMS criar

• Criar uma chave do KMS de criptografia simétrica

• Criar uma chave do KMS assimétrica

• Criar uma chave do KMS HMAC

• Criar chaves primárias de várias regiões

• Criar chaves de réplica de várias regiões

• Criar uma chave do KMS com material de chave importado

• Criar uma chave KMS em um armazenamento de AWS CloudHSM chaves

• Criar uma chave do KMS em repositórios de chaves externos

Permissões para criar chaves do KMS

Para criar uma chave KMS no console ou usando o APIs, você deve ter a seguinte permissão em uma política do IAM. Sempre que possível, use chaves de condição para limitar as permissões. Por exemplo, você pode usar a chave de KeySpec condição kms: em uma política do IAM para permitir que os diretores criem somente chaves de criptografia simétricas.

Para obter um exemplo de uma política do IAM para entidades principais que criam chaves, consulte Permitir que um usuário crie chaves do KMS.

nota

Tenha cuidado ao conceder permissão a entidades principais para gerenciar etiquetas e aliases. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão à chave gerenciada pelo cliente. Para obter detalhes, consulte ABAC para AWS KMS.

• kms: CreateKey é obrigatório.

• kms: CreateAlias é necessário para criar uma chave KMS no console em que um alias é necessário para cada nova chave KMS.

• kms: TagResource é necessário adicionar tags ao criar a chave KMS.

• iam: CreateServiceLinkedRole é necessário para criar chaves primárias multirregionais. Para obter detalhes, consulte Controlar o acesso a chaves de várias regiões.

A PutKeyPolicy permissão kms: não é necessária para criar a chave KMS. A permissão kms:CreateKey inclui permissão para definir a política de chaves inicial. Porém, você deve adicionar essa permissão à política de chaves ao criar a chave do KMS para garantir que seja possível controlar o acesso à chave do KMS. A alternativa é usar o BypassLockoutSafetyCheckparâmetro, o que não é recomendado.

As chaves KMS pertencem à AWS conta na qual foram criadas. O usuário do IAM que cria uma chave do KMS não é considerado o proprietário da chave e ele não recebe automaticamente permissão para usar ou gerenciar a chave do KMS que criou. Como qualquer outra entidade principal, o criador da chave precisa obter permissão por meio de uma política de chaves, política do IAM ou concessão. No entanto, as entidades principais que têm a permissão kms:CreateKey podem definir a política de chave inicial e conceder a si mesmas permissão para usar ou gerenciar a chave.

Escolher qual tipo de chave do KMS criar

O tipo de chave do KMS criado depende em grande parte de como você planeja usar a chave do KMS e dos seus requisitos de segurança e de autorização. O tipo de chave e o uso de uma chave do KMS determinam quais operações criptográficas a chave poderá realizar. Cada chave do KMS pode ter apenas um uso. O uso de uma chave do KMS para mais de um tipo de operação torna o produto de todas as operações mais vulnerável a ataques.

Para permitir que os diretores criem chaves KMS somente para um determinado uso de chave, use a chave de condição kms: KeyUsage. Também é possível usar a chave de condição kms:KeyUsage para permitir que as entidades principais chamem operações de API para uma chave do KMS baseada em seu uso de chave. Por exemplo, apenas será possível conceder permissão para desabilitar uma chave do KMS se o seu uso de chave for SIGN_VERIFY.

Use as orientações a seguir para determinar o tipo de chave do KMS necessário com base no seu caso de uso.

Criptografar e descriptografar dados

Use uma chave do KMS simétrica para a maioria dos casos de uso que exigem criptografia e descriptografia dos dados. O algoritmo de criptografia simétrica usado pelo AWS KMS é rápido, eficiente e garante a confidencialidade e a autenticidade dos dados. Ele oferece suporte à criptografia autenticada com dados adicionais autenticados (ADD), definidos como um contexto de criptografia. Esse tipo de chave KMS exige que o remetente e o destinatário dos dados criptografados tenham AWS credenciais válidas para ligar. AWS KMS

Se seu caso de uso exigir criptografia externa AWS por usuários que não podem ligar AWS KMS, as chaves KMS assimétricas são uma boa opção. Você pode distribuir a parte pública da chave do KMS assimétrica para permitir que esses usuários criptografem dados. Além disso, as aplicações que precisam descriptografar esses dados podem usar a chave privada da chave do KMS assimétrica no AWS KMS.

Assinar mensagens e verificar assinaturas

Para assinar mensagens e verificar assinaturas, é necessário usar uma chave do KMS assimétrica. Você pode usar uma chave KMS com uma especificação de chave que represente um par de chaves RSA, um par de chaves de curva elíptica (ECC) ou um par SM2 de chaves (somente para regiões da China). A especificação de chave escolhida é determinada pelo algoritmo de assinatura que você deseja usar. Os algoritmos de assinatura ECDSA compatíveis com os pares de chaves ECC são recomendados em vez dos algoritmos de assinatura RSA. No entanto, talvez seja necessário usar uma especificação de chave e um algoritmo de assinatura específicos para oferecer suporte aos usuários que verificam assinaturas fora do. AWS

Criptografar com pares de chaves assimétricas

Para criptografar dados com um par de chaves assimétrico, você deve usar uma chave KMS assimétrica com uma especificação de chaveRSA ou uma SM2 especificação de chave (somente regiões da China). Para criptografar dados no AWS KMS com a chave pública de um par de chaves do KMS, use a operação Encrypt (Criptografar). Você também pode baixar a chave pública e compartilhá-la com as partes que precisam criptografar dados fora dela AWS KMS.

Ao baixar a chave pública de uma chave do KMS assimétrica, é possível usá-la fora do AWS KMS. Mas ele não está mais sujeito aos controles de segurança que protegem a chave KMS. AWS KMS Por exemplo, você não pode usar políticas ou concessões de AWS KMS chaves para controlar o uso da chave pública. Você também não pode controlar se a chave é usada somente para criptografia e decodificação usando os algoritmos de criptografia compatíveis. AWS KMS Para obter mais detalhes, consulte Considerações especiais sobre o download de chaves públicas.

Para descriptografar dados que foram criptografados com a chave pública externa AWS KMS, chame a operação Decrypt. A operação Decrypt vai falhar se os dados tiverem sido criptografados com uma chave pública de uma chave do KMS com um uso de chave de SIGN_VERIFY. Também falhará se for criptografado usando um algoritmo que não AWS KMS suporta a especificação de chave que você selecionou. Para obter mais informações sobre especificações de chaves e algoritmos compatíveis, consulte Referência de especificação de chave.

Para evitar esses erros, qualquer pessoa que use uma chave pública fora dela AWS KMS deve armazenar a configuração da chave. O AWS KMS console e a GetPublicKeyresposta fornecem as informações que você deve incluir ao compartilhar a chave pública.

Derivar segredos compartilhados

Para derivar segredos compartilhados, use uma chave KMS com curva elíptica recomendada pelo NIST ou material de chave SM2(somente para regiões da China). AWS KMS usa o cofator de criptografia de curva elíptica Diffie-Hellman Primitive (ECDH) para estabelecer um acordo de chave entre dois pares, derivando um segredo compartilhado de seus pares de chaves público-privadas de curva elíptica. Você pode usar o segredo compartilhado bruto que a DeriveSharedSecretoperação retorna para derivar uma chave simétrica que pode criptografar e descriptografar dados enviados entre duas partes ou gerar e verificar. HMACs AWS KMS recomenda que você siga as recomendações do NIST para derivação de chaves ao usar o segredo compartilhado bruto para derivar uma chave simétrica.

Gerar e verificar códigos de HMAC

Para gerar e verificar códigos de autenticação de mensagem por hash, use uma chave do KMS de HMAC. Quando você cria uma chave HMAC AWS KMS, AWS KMS cria e protege seu material de chave e garante que você use os algoritmos MAC corretos para sua chave. Também é possível usar os códigos de HMAC como números pseudo-aleatórios e para assinatura simétrica e tokenização em determinados cenários.

As chaves do KMS de HMAC são chaves simétricas. Ao criar uma chave do KMS de HMAC no console do AWS KMS , escolha o tipo de chave Symmetric.

Use com AWS serviços

Para criar uma chave KMS para uso com um AWS serviço integrado AWS KMS, consulte a documentação do serviço. AWS os serviços que criptografam seus dados exigem uma chave KMS de criptografia simétrica.

Além dessas considerações, as operações criptográficas em chaves do KMS com diferentes especificações de chave têm preços e cotas de solicitação diferentes. Para obter mais informações sobre a definição de preço do AWS KMS , consulte Definição de preço do AWS Key Management Service. Para obter mais informações sobre cotas de solicitações, consulte Cotas de solicitações.