Usar um armazenamento de chaves personalizado - AWS Key Management Service

Usar um armazenamento de chaves personalizado

O AWS KMS oferece suporte a armazenamentos de chaves personalizados baseados em clusters do AWS CloudHSM. Quando você cria uma AWS KMS key em um armazenamento de chaves personalizado, o AWS KMS gera e armazena material de chave não extraível para a chave do KMS em um cluster do AWS CloudHSM pertencente e gerenciado por você. Ao usar uma chave do KMS em um armazenamento de chaves personalizado, as operações de criptografia são executadas nos HSMs no cluster. Esse recurso combina a conveniência e integração generalizada do AWS KMS com o controle adicional de um cluster do AWS CloudHSM na sua Conta da AWS .

AWS KMSO oferece suporte total ao console e à API para criar, usar e gerenciar seus armazenamentos de chaves personalizados. Use as chaves do KMS no seu armazenamento de chaves personalizado da mesma maneira que você usa qualquer chave do KMS. Por exemplo, você pode usar as chaves do KMS para gerar chaves de dados e criptografar dados. Também pode usar as chaves do KMS do seu armazenamento de chaves personalizado com serviços da AWS que são compatíveis com chaves gerenciadas pelo cliente.

Eu preciso de um armazenamento de chaves personalizado?

Para a maioria dos usuários, o armazenamento de chaves padrão do AWS KMS, que é protegido por módulos de criptografia validados por FIPS 140-2, atende aos requisitos de segurança. Não é necessário adicionar uma camada extra de responsabilidade de manutenção nem uma dependência em um serviço adicional.

No entanto, você pode considerar a criação de um armazenamento de chaves personalizado se a sua organização tiver um dos seguintes requisitos:

  • O material de chaves não pode ser armazenado em um ambiente compartilhado.

  • O material de chaves deve estar sujeito a um caminho de auditoria secundário e independente.

  • Os HSMs que geram e armazenam o material de chaves devem ser certificados pelo FIPS 140-2 nível 3.

Como funcionam os armazenamentos de chaves personalizados?

Cada armazenamento de chaves personalizado está associado a um cluster do AWS CloudHSM na sua Conta da AWS . Quando você conecta o armazenamento de chaves personalizado ao cluster, o AWS KMS cria a infraestrutura de rede para oferecer suporte à conexão. Ele faz login no principal cliente AWS CloudHSM do cluster usando as credenciais de um usuário de criptografia dedicado no cluster.

Você pode criar e gerenciar os armazenamentos de chaves personalizados no AWS KMS e criar e gerenciar seus clusters do HSM no AWS CloudHSM. Ao criar AWS KMS keys em um armazenamento de chaves personalizado do AWS KMS, você visualiza e gerencia as chaves do KMS no AWS KMS. No entanto, você também pode visualizar e gerenciar seu material de chaves no AWS CloudHSM, do mesmo modo que para outras chaves no cluster.


      Gerenciar chaves do KMS em um armazenamento de chaves personalizado

É possível criar chaves do KMS simétricas com material de chave gerado pelo AWS KMS no armazenamento de chaves personalizado. Em seguida, use as mesmas técnicas para visualizar e gerenciar as chaves do KMS no armazenamento de chaves personalizado que você usa para chaves do KMS no armazenamento de chaves do AWS KMS. É possível controlar o acesso com políticas de chaves e do IAM, criar etiquetas e aliases, habilitar e desabilitar as chaves do KMS e programar a exclusão de chaves. É possível usar as chaves do KMS para operações de criptografia e com serviços da AWS que se integram ao AWS KMS.

Além disso, você tem controle total sobre o cluster do AWS CloudHSM, incluindo a criação e a exclusão de HSMs e o gerenciamento de backups. Você pode usar o cliente do AWS CloudHSM e as bibliotecas de software compatíveis para visualizar, auditar e gerenciar o material de chave de suas chaves do KMS. Enquanto o armazenamento de chaves personalizado está desconectado, o AWS KMS não pode acessá-lo, e os usuários não podem usar as chaves do KMS no armazenamento de chaves personalizado para operações de criptografia. Essa camada adicional de controle torna os armazenamentos de chaves personalizados uma excelente solução para as organizações que necessitam dela.

Por onde começar?

Para criar e gerenciar um armazenamento de chaves personalizado, você usa recursos do AWS KMS e do AWS CloudHSM.

  1. Iniciar no AWS CloudHSM. Crie um cluster do AWS CloudHSM ativo ou selecione um cluster existente. O cluster deve conter pelo menos dois HSMs ativos em diferentes zonas de disponibilidade. Crie uma conta de usuário de criptografia (CU) dedicado nesse cluster para o AWS KMS.

  2. No AWS KMS, crie um armazenamento de chaves personalizado que esteja associado ao seu cluster do AWS CloudHSM selecionado. O AWS KMS oferece uma interface de gerenciamento completa que permite criar, visualizar, editar e excluir seus armazenamentos de chaves personalizados.

  3. Quando você estiver pronto para usar o armazenamento de chaves personalizado, conecte-o ao cluster do seu AWS CloudHSM associado. O AWS KMS cria a infraestrutura de rede de que ele precisa para oferecer suporte à conexão. Ele faz login no cluster usando as credenciais da conta de usuário de criptografia dedicado para que possa gerar e gerenciar o material de chaves no cluster.

  4. Agora, você pode criar chaves do KMS simétricas no seu armazenamento de chaves personalizado. Basta especificar esse armazenamento de chaves personalizado ao criar a chave do KMS.

Se você ficar preso em alguma etapa, é possível encontrar ajuda no tópico Solucionar problemas de um armazenamento de chaves personalizado. Se a sua pergunta não for respondida, use o link de comentários na parte inferior de cada página deste guia ou publique uma pergunta no fórum de discussão do AWS Key Management Service.

Cotas

Não há cotas de recursos para o número de armazenamentos de chaves personalizados em uma Conta da AWS ou região. No entanto, há cotas do AWS CloudHSM, como uma cota sobre o número de clusters do AWS CloudHSM em cada Conta da AWS e região, e cotas do AWS KMS sobre o uso de chaves do KMS em um armazenamento de chaves personalizado.

Regiões

O AWS KMS oferece suporte para armazenamentos de chaves personalizados em todas as Regiões da AWS em que tanto o AWS KMS como o AWS CloudHSM estão disponíveis. Para uma lista de Regiões da AWS com suporte por cada serviço, consulte Endpoints e cotas do AWS Key Management Servicee Endpoints e cotas do AWS CloudHSM na Referência geral da Amazon Web Services.

Recursos do não compatíveis

O AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizados.