As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Armazenamentos de chaves personalizados
Um armazenamento de chaves é um local seguro para o armazenamento de chaves de criptografia. O armazenamento de chaves padrão no AWS KMS também oferece suporte a métodos para gerar e gerenciar as chaves que o armazena. Por padrão, material de chave de criptografia para AWS KMS keys que você cria no AWS KMS é gerado e protegido por módulos de segurança de hardware (HSMs), que são módulos criptográficos validados por FIPS 140-2
Porém, se você precisar de ainda mais controle dos HSMs, poderá criar um armazenamento de chaves personalizado.
Um armazenamento de chaves personalizado é um armazenamento de chaves lógicas no AWS KMS baseado em um gerenciador de chaves fora do AWS KMS que você possui e gerencia. Armazenamentos de chaves personalizado unem a interface conveniente e completa de gerenciamento de chaves do AWS KMS com a capacidade de possuir e controlar material de chaves personalizado e operações de criptografia. Ao usar uma chave do KMS em um armazenamento de chaves personalizado, as operações de criptografia são executadas pelo gerenciador de chaves usando chaves de criptografia. Como resultado, você assume mais responsabilidade pela disponibilidade e durabilidade das chaves de criptografia e pela operação dos HSMs.
O AWS KMS é compatível com dois tipos de armazenamento de chaves.
-
Um armazenamento de chaves do AWS CloudHSM é um armazenamento de chaves personalizado do AWS KMS baseado em um cluster do AWS CloudHSM. Quando você cria uma chave do KMS no seu armazenamento de chaves do AWS CloudHSM, o AWS KMS gera uma chave simétrica Advanced Encryption Standard (AES) de 256 bits, persistente e não exportável no cluster do AWS CloudHSM associado. Esse material de chaves nunca deixa os clusters do AWS CloudHSM sem estarem criptografados. Ao usar uma chave do KMS no armazenamento de chaves do AWS CloudHSM, as operações de criptografia são executadas nos HSMs do cluster. Os clusters do AWS CloudHSM são baseados em módulos de segurança de hardware (HSMs) certificados pelo FIPS 140-2 Nível 3
. -
Um armazenamento de chaves externas é um armazenamento de chaves do AWS KMS personalizado com base em um gerenciador de chaves externas fora da AWS que você possui e controla. Ao usar uma chave do KMS em um armazenamento de chaves externas, todas as operações de criptografia e descriptografia são executadas pelo gerenciador de chaves externas usando suas chaves de criptografia. Os armazenamentos de chaves externas são criados para oferecer suporte a uma variedade de gerenciadores de chaves externas de diferentes fornecedores.
O AWS KMS nunca visualiza, acessa ou interage diretamente com seu gerenciador de chaves externas ou chaves de criptografia. Ao criptografar ou descriptografar com uma chave do KMS em um armazenamento de chaves externas, a operação é executada pelo gerenciador de chaves externas usando suas chaves externas. Você retém o controle total sobre suas chaves de criptografia, inclusive a capacidade de recusar ou interromper uma operação de criptografia sem interagir com a AWS. Porém, por causa da distância e do processamento adicional, as chaves do KMS em um armazenamento de chaves externas podem ter menor latência e performance e podem ter características de disponibilidade diferentes das chaves do KMS com material de chave no AWS KMS. Para obter mais informações sobre gerenciadores de chaves compatíveis com o atributo de armazenamento de chaves externo AWS KMS, consulte Quais fornecedores externos oferecem suporte à especificação XKS Proxy?
em Perguntas frequentes sobre o AWS Key Management Service.
Esses dois tipos de armazenamentos de chaves personalizado são bem diferentes do armazenamento de chaves padrão do AWS KMS e são diferentes um do outro. Seus modelos de segurança, foco de responsabilidade, performance, preço e casos de uso também são muito diferentes. Antes de escolher um armazenamento de chaves personalizado, leia a documentação relacionada e confirme se a responsabilidade extra de configuração e manutenção é uma boa compensação pelo controle adicional. Porém, se as normas e regulamentações sob os quais você opera exigirem controle direto do material da chave, um armazenamento de chaves personalizado poderá ser uma boa opção.
Recursos sem suporte
O AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizados.