O que é um armazenamento de chaves personalizado? - AWS Key Management Service

O que é um armazenamento de chaves personalizado?

Este tópico explica alguns dos conceitos usados nos armazenamentos de chaves personalizados do AWS KMS.

Armazenamento de chaves personalizado do AWS KMS

Um armazenamento de chaves é um local seguro para o armazenamento de chaves de criptografia. O armazenamento de chaves padrão no AWS KMS também oferece suporte a métodos para gerar e gerenciar as chaves que o armazena. Por padrão, a AWS KMS keyque você cria no AWS KMS é gerada e protegida por módulos de segurança de hardware (HSMs), que são módulos criptográficos validados por FIPS 140-2. As chaves do KMS nunca deixam os módulos sem estarem criptografadas.

No entanto, se você precisar de ainda mais controle dos HSMs, você poderá criar um armazenamento de chaves personalizado que é respaldado pelo HSMs FIPS 140-2 nível 3 em um cluster do AWS CloudHSM que você detém e gerencia.

Um armazenamento de chaves personalizado é um recurso do AWS KMS associado a um cluster do AWS CloudHSM. Quando você cria uma chave do KMS no seu armazenamento de chaves personalizado, o AWS KMS gera uma chave simétrica Advanced Encryption Standard (AES) de 256 bits, persistente e não exportável no cluster do AWS CloudHSM associado. Esse material de chaves nunca deixa seus HSMs sem estarem criptografados. Ao usar uma chave do KMS em um armazenamento de chaves personalizado, as operações de criptografia são executadas nos HSMs no cluster.

Armazenamentos de chaves personalizados combinam a interface conveniente e abrangente de gerenciamento de chaves do AWS KMS com os controles adicionais fornecidos por um cluster do AWS CloudHSM na sua Conta da AWS. Esse recurso integrado permite que você crie, gerencie e use chaves do KMS no AWS KMS, ao mesmo tempo em que mantém controle total sobre os HSMs que armazenam seu material de chaves, incluindo gerenciamento de clusters, HSMs e backups. Você pode usar o console e as APIs do AWS KMS para gerenciar o armazenamento de chaves personalizado e suas chaves do KMS. Você também pode usar o console do AWS CloudHSM, as APIs, o software cliente e a bibliotecas de software associadas para gerenciar o cluster associado.

Você pode visualizar e gerenciar seu armazenamento de chaves personalizado, editar suas propriedades e conectar-se e desconectar-se do cluster do AWS CloudHSM associado. Se precisar excluir um armazenamento de chaves personalizado, você deverá primeiro excluir as chaves do KMS nesse armazenamento, programando a exclusão e esperando até que o período de tolerância expire. A exclusão do armazenamento de chaves personalizado remove o recurso do AWS KMS, mas não afeta o cluster do AWS CloudHSM.

AWS CloudHSMCluster do

Todo armazenamento de chaves personalizado do AWS KMS é associado a um cluster do AWS CloudHSM. Quando você cria uma AWS KMS key no seu armazenamento de chaves personalizado, o AWS KMS cria seu material de chaves no cluster associado. Quando você usa uma chave do KMS no seu armazenamento de chaves personalizado, a operação criptográfica é realizada no cluster associado.

Cada cluster do AWS CloudHSM pode ser associado a apenas um armazenamento de chaves personalizado. O cluster que você escolher não pode ser associado a outro armazenamento de chaves ou compartilhar um histórico de backup com um cluster associado. O cluster deve estar inicializado e ativo, além de estar na mesma Conta da AWS e região que o armazenamento de chaves personalizado do AWS KMS. Você pode criar um novo cluster ou usar um existente. O AWS KMS não requer o uso exclusivo do cluster. Para criar chaves do KMS no armazenamento de chaves personalizado, seu cluster associado deve conter pelo menos dois HSMs ativos. Todas as outras operações exigem apenas um HSM.

Você especifica o cluster ao criar o armazenamento de chaves personalizado, e não é possível alterá-lo. No entanto, você pode substituir qualquer cluster que compartilha um histórico de backup pelo cluster original. Isso permite a você excluir o cluster, se necessário, e substituí-lo por um cluster criado a partir de um de seus backups. Você mantém controle total do cluster do AWS CloudHSM associado para que você possa gerenciar usuários e chaves, criar e excluir HSMs e usar e gerenciar backups.

Quando você estiver pronto para usar o armazenamento de chaves personalizado, conecte-o ao seu cluster do AWS CloudHSM associado. Você pode conectar e desconectar o armazenamento de chaves personalizado a qualquer momento. Se o armazenamento de chaves personalizado estiver conectado, você poderá criar e usar suas chaves do KMS. Se estiver desconectado, você poderá visualizar e gerenciar o armazenamento de chaves personalizado e suas chaves do KMS. No entanto, você não poderá criar novas chaves do KMS nem usar as chaves do KMS no armazenamento de chaves personalizado para operações de criptografia.

Usuário de criptografia kmsuser

Para criar e gerenciar o material de chave no cluster do AWS CloudHSM associada em seu nome, o AWS KMS usa um usuário de criptografia (CU) do AWS CloudHSM no cluster chamado kmsuser. O CU kmsuser é uma conta CU padrão automaticamente sincronizada a todos os HSMs no cluster e salva em backups do cluster.

Antes de criar o armazenamento de chaves personalizado, você cria uma conta CU kmsuser em seu cluster do AWS CloudHSM usando o comando createUser em cloudhsm_mgmt_util. Quando você cria o armazenamento de chaves personalizado, você fornece a senha da conta kmsuser para o AWS KMS. Quando você se conecta ao armazenamento de chaves personalizado, o AWS KMS faz login no cluster como CU kmsuser e alterna sua senha. O AWS KMS criptografa sua senha de kmsuser antes de armazená-la em segurança. Quando a senha é alternada, a nova senha é criptografada e armazenada da mesma maneira.

O AWS KMS permanece conectado como kmsuser enquanto o armazenamento de chaves personalizado está conectado. Você não deve usar essa conta CU para outros fins. No entanto, você mantém o controle final do CU da conta kmsuser. A qualquer momento, você pode encontrar os identificadores de chave das chaves que o kmsuser possui. Se necessário, você pode desconectar o armazenamento de chaves personalizado, alterar a senha de kmsuser, fazer login no cluster como kmsuser e exibir e gerenciar as chaves pertencentes ao kmsuser.

Para obter instruções sobre como criar sua conta CU kmsuser, consulte Criar o Usuário de criptografia kmsuser.

Chaves do KMS em um armazenamento de chaves personalizado

É possível usar o AWS Management Console ou a API do AWS KMS para criar uma AWS KMS keys em um armazenamento de chaves personalizado. Use a mesma técnica que você usaria em qualquer chave do KMS. A única diferença é que você deve identificar o armazenamento de chaves personalizado e especificar que a origem do material de chave é o cluster do AWS CloudHSM.

Quando você cria uma chave do KMS em um armazenamento de chaves personalizado, o AWS KMS cria a chave do KMS no AWS KMS e gera uma chave de backup simétrica Advanced Encryption Standard (AES) de 256 bits, persistente e não exportável em seu cluster associado. Quando você usa a chave do AWS KMS em uma operação criptográfica, a operação é executada no cluster do AWS CloudHSM usando a chave AES baseada em cluster. Embora o AWS CloudHSM seja compatível com chaves simétricas e assimétricas de diferentes tipos, os armazenamentos personalizados de chave do AWS KMS são compatíveis apenas com chaves de criptografia simétrica AES.

Você pode visualizar as chaves do KMS em um armazenamento de chaves personalizado no console do AWS KMS e usar opções do console para exibir o ID do armazenamento de chaves personalizado. Você também pode usar a operação DescribeKey para localizar o ID do armazenamento de chaves personalizado e o ID de cluster do AWS CloudHSM.

As chaves do KMS em um armazenamento de chaves personalizado funcionam como qualquer outra chaves do KMS no AWS KMS. Os usuários autorizados precisam das mesmas permissões para usar e gerenciar as chaves do KMS. Você pode usar os mesmos procedimentos do console e operações de API para visualizar e gerenciar as chaves do KMS em um armazenamento de chaves personalizado. Isso inclui a habilitar e desabilitar chaves do KMS, criar e usar etiquetas e aliases e definir e alterar políticas de chaves e do IAM. É possível usar chaves do KMS em um armazenamento de chaves personalizado para operações de criptografia e usá-las com serviços da AWS integrados que ofereçam suporte ao uso de chaves gerenciadas pelo cliente. No entanto, você não pode habilitar a alternância de chaves automática ou importar material de chave em uma chave do KMS em um armazenamento de chaves personalizado.

Também é possível usar o mesmo processo para programar a exclusão de uma chave do KMS em um armazenamento de chaves personalizado. Após o período de espera, o AWS KMS excluirá a chave do KMS. Em seguida, ele fará o possível para excluir o material de chave referente à chave do KMS do cluster do AWS CloudHSM associado. No entanto, pode ser necessário excluir manualmente o material de chaves órfãs do cluster e de seus backups.