Armazenamentos de chaves do AWS CloudHSM - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Armazenamentos de chaves do AWS CloudHSM

Um armazenamento de chaves do AWS CloudHSM é um armazenamento de chaves personalizado baseado em um cluster do AWS CloudHSM. Quando você cria uma AWS KMS key em um armazenamento de chaves personalizado, o AWS KMS gera e armazena material de chave não extraível para a chave do KMS em um cluster do AWS CloudHSM pertencente e gerenciado por você. Ao usar uma chave do KMS em um armazenamento de chaves personalizado, as operações de criptografia são executadas nos HSMs no cluster. Esse recurso combina a conveniência e integração generalizada do AWS KMS com o controle adicional de um cluster do AWS CloudHSM na sua Conta da AWS.

O AWS KMS oferece suporte total ao console e à API para criar, usar e gerenciar seus armazenamentos de chaves personalizados. Use as chaves do KMS no seu armazenamento de chaves personalizado da mesma maneira que você usa qualquer chave do KMS. Por exemplo, você pode usar as chaves do KMS para gerar chaves de dados e criptografar dados. Também pode usar as chaves do KMS do seu armazenamento de chaves personalizado com serviços da AWS que são compatíveis com chaves gerenciadas pelo cliente.

Eu preciso de um armazenamento de chaves personalizado?

Para a maioria dos usuários, o armazenamento de chaves padrão do AWS KMS, que é protegido por módulos de criptografia validados por FIPS 140-2, atende aos requisitos de segurança. Não é necessário adicionar uma camada extra de responsabilidade de manutenção nem uma dependência em um serviço adicional.

No entanto, você pode considerar a criação de um armazenamento de chaves personalizado se a sua organização tiver um dos seguintes requisitos:

  • Algumas chaves precisam ser explicitamente protegidas em um único HSM locatário ou em um HSM sobre o qual você tem controle direto.

  • Você precisa da capacidade para remover imediatamente o material de chave do AWS KMS.

  • Você precisa ser capaz de auditar todo o uso de suas chaves, independentemente do AWS KMS ou do AWS CloudTrail.

Como funcionam os armazenamentos de chaves personalizados?

Cada armazenamento de chaves personalizado está associado a um cluster do AWS CloudHSM na sua Conta da AWS. Quando você conecta o armazenamento de chaves personalizado ao cluster, o AWS KMS cria a infraestrutura de rede para oferecer suporte à conexão. Ele faz login no principal cliente AWS CloudHSM do cluster usando as credenciais de um usuário de criptografia dedicado no cluster.

Você pode criar e gerenciar os armazenamentos de chaves personalizados no AWS KMS e criar e gerenciar seus clusters do HSM no AWS CloudHSM. Ao criar AWS KMS keys em um armazenamento de chaves personalizado do AWS KMS, você visualiza e gerencia as chaves do KMS no AWS KMS. No entanto, você também pode visualizar e gerenciar seu material de chaves no AWS CloudHSM, do mesmo modo que para outras chaves no cluster.

Gerenciar chaves do KMS em um armazenamento de chaves personalizado

É possível criar chaves do KMS de criptografia simétrica com material de chave gerado pelo AWS KMS em seu armazenamento personalizado de chaves. Em seguida, use as mesmas técnicas para visualizar e gerenciar as chaves do KMS no armazenamento de chaves personalizado que você usa para chaves do KMS no armazenamento de chaves do AWS KMS. É possível controlar o acesso com políticas de chaves e do IAM, criar etiquetas e aliases, habilitar e desabilitar as chaves do KMS e programar a exclusão de chaves. É possível usar as chaves do KMS para operações de criptografia e com serviços da AWS que se integram ao AWS KMS.

Além disso, você tem controle total sobre o cluster do AWS CloudHSM, incluindo a criação e a exclusão de HSMs e o gerenciamento de backups. Você pode usar o cliente do AWS CloudHSM e as bibliotecas de software compatíveis para visualizar, auditar e gerenciar o material de chave de suas chaves do KMS. Enquanto o armazenamento de chaves personalizado está desconectado, o AWS KMS não pode acessá-lo, e os usuários não podem usar as chaves do KMS no armazenamento de chaves personalizado para operações de criptografia. Essa camada adicional de controle torna os armazenamentos de chaves personalizados uma excelente solução para as organizações que necessitam dela.

Por onde começar?

Para criar e gerenciar um armazenamento de chaves do AWS CloudHSM, use recursos do AWS KMS e do AWS CloudHSM.

  1. Iniciar no AWS CloudHSM. Crie um cluster do AWS CloudHSM ativo ou selecione um cluster existente. O cluster deve conter pelo menos dois HSMs ativos em diferentes zonas de disponibilidade. Crie uma conta de usuário de criptografia (CU) dedicado nesse cluster para o AWS KMS.

  2. No AWS KMS, crie um repositório de chaves personalizado que esteja associado ao seu cluster do AWS CloudHSM selecionado. O AWS KMS oferece uma interface completa de gerenciamento que permite criar, visualizar, editar e excluir seus repositórios de chaves personalizados.

  3. Quando você estiver pronto para usar o armazenamento de chaves personalizado, conecte-o ao cluster do seu AWS CloudHSM associado. O AWS KMS cria a infraestrutura de rede de que ele precisa para oferecer suporte à conexão. Ele faz login no cluster usando as credenciais da conta de usuário de criptografia dedicado para que possa gerar e gerenciar o material de chaves no cluster.

  4. Agora, você pode criar chaves do KMS de criptografia simétrica em seu armazenamento personalizado de chaves. Basta especificar esse armazenamento de chaves personalizado ao criar a chave do KMS.

Se você ficar preso em alguma etapa, é possível encontrar ajuda no tópico Solucionar problemas de um armazenamento de chaves personalizado. Se a sua pergunta não for respondida, use o link de comentários na parte inferior de cada página deste guia ou publique uma pergunta no fórum de discussão do AWS Key Management Service.

Cotas

O AWS KMS permite até dez armazenamentos de chaves personalizado em cada região e Conta da AWS, incluindo armazenamentos de chaves do AWS CloudHSM e armazenamentos de chaves externas, independentemente do estado da conexão. Além disso, há cotas de solicitação do AWS KMS para o uso de chaves do KMS em um armazenamento de chaves do AWS CloudHSM.

Definição de preço

Para obter informações sobre o custo dos armazenamentos de chaves personalizados do AWS KMS e das chaves gerenciadas pelo cliente em um armazenamento de chaves personalizado, consulte os preços do AWS Key Management Service. Para obter informações sobre o custo de clusters e HSMs do AWS CloudHSM, consulte Preços do AWS CloudHSM.

Regiões

O AWS KMS é compatível com repositórios de chaves do AWS CloudHSM em todas as Regiões da AWS compatíveis com o AWS KMS, com exceção das regiões Ásia-Pacífico (Melbourne), China (Pequim), China (Ningxia) e Europa (Espanha).

Recursos sem suporte

O AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizados.

Conceitos de armazenamento de chaves do AWS CloudHSM

Este tópico explica alguns dos termos e conceitos usados nos repositórios de chaves do AWS CloudHSM.

Armazenamento de chaves do AWS CloudHSM

Um armazenamento de chaves do AWS CloudHSM é um armazenamento de chaves personalizado associado a um cluster do AWS CloudHSM que você possui e gerencia. Os clusters do AWS CloudHSM são baseados em módulos de segurança de hardware (HSMs) certificados pelo FIPS 140-2 Nível 3.

Quando você cria uma chave do KMS no seu armazenamento de chaves do AWS CloudHSM, o AWS KMS gera uma chave simétrica Advanced Encryption Standard (AES) de 256 bits, persistente e não exportável no cluster do AWS CloudHSM associado. Esse material de chaves nunca deixa seus HSMs sem estarem criptografados. Ao usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, as operações de criptografia são executadas nos HSMs no cluster.

Armazenamentos de chaves do AWS CloudHSM combinam a interface conveniente e abrangente de gerenciamento de chaves do AWS KMS com os controles adicionais fornecidos por um cluster do AWS CloudHSM em sua Conta da AWS. Esse recurso integrado permite que você crie, gerencie e use chaves do KMS no AWS KMS, ao mesmo tempo em que mantém controle total sobre os HSMs que armazenam seu material de chaves, incluindo gerenciamento de clusters, HSMs e backups. Você pode usar o console e as APIs do AWS KMS para gerenciar o armazenamento de chaves do AWS CloudHSM e suas chaves do KMS. Você também pode usar o console do AWS CloudHSM, as APIs, o software cliente e a bibliotecas de software associadas para gerenciar o cluster associado.

Você pode visualizar e gerenciar seu repositório de chaves do AWS CloudHSM, editar suas propriedades e conectá-lo e desconectá-lo do cluster do AWS CloudHSM associado. Se precisar excluir um armazenamento de chaves do AWS CloudHSM, você deverá primeiro excluir as chaves do KMS no armazenamento de chaves do AWS CloudHSM, agendando a exclusão e esperando até que o período de tolerância expire. A exclusão do armazenamento de chaves do AWS CloudHSM remove o recurso do AWS KMS, mas não afeta o cluster do AWS CloudHSM.

AWS CloudHSMCluster do

Cada repositório de chaves do AWS CloudHSM é associado a um cluster do AWS CloudHSM. Quando você cria uma AWS KMS key no armazenamento de chaves do AWS CloudHSM, o AWS KMS cria seu material de chaves no cluster associado. Quando você usa uma chave do KMS no armazenamento de chaves do AWS CloudHSM, a operação de criptografia é realizada no cluster associado.

Cada cluster do AWS CloudHSM pode ser associado a apenas um armazenamento de chaves do AWS CloudHSM. O cluster que você escolher não pode ser associado a outro armazenamento de chaves do AWS CloudHSM ou compartilhar um histórico de backup com um cluster associado a outro armazenamento de chaves do AWS CloudHSM. O cluster deve estar inicializado e ativo, além de estar na mesma Conta da AWS e região que o armazenamento de chaves do AWS CloudHSM. Você pode criar um novo cluster ou usar um existente. O AWS KMS não requer o uso exclusivo do cluster. Para criar chaves do KMS no armazenamento de chaves do AWS CloudHSM, seu cluster associado deve conter pelo menos dois HSMs ativos. Todas as outras operações exigem apenas um HSM.

Você especifica o cluster do AWS CloudHSM ao criar o armazenamento de chaves do AWS CloudHSM, e não é possível alterá-lo. No entanto, você pode substituir qualquer cluster que compartilha um histórico de backup pelo cluster original. Isso permite a você excluir o cluster, se necessário, e substituí-lo por um cluster criado a partir de um de seus backups. Você mantém controle total do cluster do AWS CloudHSM associado para que você possa gerenciar usuários e chaves, criar e excluir HSMs e usar e gerenciar backups.

Quando você estiver pronto para usar o armazenamento de chaves do AWS CloudHSM, conecte-o ao cluster do AWS CloudHSM associado. Você pode conectar e desconectar o armazenamento de chaves personalizado a qualquer momento. Se o armazenamento de chaves personalizado estiver conectado, você poderá criar e usar suas chaves do KMS. Se estiver desconectado, você poderá visualizar e gerenciar o armazenamento de chaves do AWS CloudHSM e as respectivas chaves do KMS. No entanto, você não poderá criar novas chaves do KMS nem usar as chaves do KMS no armazenamento de chaves do AWS CloudHSM para operações de criptografia.

Usuário de criptografia kmsuser

Para criar e gerenciar o material de chave no cluster associado do AWS CloudHSM em seu nome, o AWS KMS usa um usuário de criptografia do AWS CloudHSM chamado kmsuser no cluster. O CU kmsuser é uma conta CU padrão automaticamente sincronizada a todos os HSMs no cluster e salva em backups do cluster.

Antes de criar o repositório de chaves do AWS CloudHSM, você cria uma conta de usuário de criptografia kmsuser em seu cluster do AWS CloudHSM usando o comando user create na CLI do CloudHSM. Ao criar o armazenamento de chaves do AWS CloudHSM, você fornece a senha da conta kmsuser ao AWS KMS. Quando você se conecta ao armazenamento de chaves personalizado, o AWS KMS faz login no cluster como CU kmsuser e alterna sua senha. O AWS KMS criptografa sua senha de kmsuser antes de armazená-la em segurança. Quando a senha é alternada, a nova senha é criptografada e armazenada da mesma maneira.

O AWS KMS permanece conectado como kmsuser enquanto o armazenamento de chaves do AWS CloudHSM está conectado. Você não deve usar essa conta CU para outros fins. No entanto, você mantém o controle final do CU da conta kmsuser. A qualquer momento, você pode encontrar as chaves que pertencem ao kmsuser. Se necessário, você pode desconectar o armazenamento de chaves personalizado, alterar a senha de kmsuser, fazer login no cluster como kmsuser e exibir e gerenciar as chaves pertencentes ao kmsuser.

Para obter instruções sobre como criar sua conta CU kmsuser, consulte Criar o Usuário de criptografia kmsuser.

Chaves do KMS em um armazenamento de chaves do AWS CloudHSM

Você pode usar o AWS KMS ou a API do AWS KMS para criar AWS KMS keys em um armazenamento de chaves do AWS CloudHSM. Use a mesma técnica que você usaria em qualquer chave do KMS. A única diferença é que você deve identificar o armazenamento de chaves do AWS CloudHSM e especificar que a origem do material de chave é o cluster do AWS CloudHSM.

Quando você cria uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, o AWS KMS cria a chave do KMS no AWS KMS e gera uma chave de backup simétrica Advanced Encryption Standard (AES) de 256 bits, persistente e não exportável em seu cluster associado. Quando você usa a chave do AWS KMS em uma operação criptográfica, a operação é executada no cluster do AWS CloudHSM usando a chave AES baseada em cluster. Embora o AWS CloudHSM seja compatível com chaves simétricas e assimétricas de diferentes tipos, os armazenamentos de chave do AWS CloudHSM são compatíveis apenas com chaves de criptografia simétrica AES.

Você pode visualizar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM no console do AWS KMS e usar opções do console para exibir o ID do armazenamento de chaves personalizado. Você também pode usar a operação DescribeKey para localizar o ID do armazenamento de chaves do AWS CloudHSM e o ID de cluster do AWS CloudHSM.

As chaves do KMS em um armazenamento de chaves do AWS CloudHSM funcionam como qualquer outra chave do KMS no AWS KMS. Os usuários autorizados precisam das mesmas permissões para usar e gerenciar as chaves do KMS. Você pode usar os mesmos procedimentos do console e operações de API para visualizar e gerenciar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM. Isso inclui a habilitar e desabilitar chaves do KMS, criar e usar etiquetas e aliases e definir e alterar políticas de chaves e do IAM. Você pode usar chaves do KMS em um armazenamento de chaves do AWS CloudHSM para operações de criptografia e usá-las com serviços da AWS integrados que ofereçam suporte ao uso de chaves gerenciadas pelo cliente. No entanto, não é possível habilitar a alternância de chaves automática ou importar material de chave para uma chave do KMS em um armazenamento de chaves do AWS CloudHSM.

Também é possível usar o mesmo processo para agendar a exclusão de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM. Após o período de espera, o AWS KMS excluirá a chave do KMS. Em seguida, ele fará o possível para excluir o material de chave referente à chave do KMS do cluster do AWS CloudHSM associado. No entanto, pode ser necessário excluir manualmente o material de chaves órfãs do cluster e de seus backups.