As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Chaves assimétricas em AWS KMS
AWS KMS suporta chaves KMS assimétricas que representam um par de chaves públicas e privadas RSA, curva elíptica (ECC) ou SM2 (somente regiões da China) matematicamente relacionado. Esses pares de chaves são gerados em módulos de segurança de AWS KMS hardware certificados pelo Programa de Validação de Módulos Criptográficos FIPS 140-2
Você pode criar e gerenciar as chaves KMS assimétricas em sua Conta da AWS, incluindo definir políticas de chaves, políticas de IAM e concessões que controlam o acesso às chaves, habilitar e desabilitar as chaves KMS, criar tags e aliases e excluir as chaves KMS. Você pode auditar todas as operações que usam ou gerenciam suas chaves KMS assimétricas nos AWS registros.AWS CloudTrail
AWS KMS também fornece pares de chaves de dados assimétricos que são projetados para serem usados para criptografia do lado do cliente fora do. AWS KMS A chave privada em um par de chaves de dados assimétricas são protegidas por uma chave do KMS de criptografia simétrica no AWS KMS.
Este tópico explica como as chaves do KMS assimétricas funcionam, suas diferenças em relação a outras chaves do KMS e como decidir o tipo de chave do KMS de que você precisa para proteger seus dados. Também explica como os pares de chaves de dados assimétricos funcionam e como usá-los fora do. AWS KMS
Regiões
Chaves KMS assimétricas e pares de chaves de dados assimétricas são suportadas em todos os suportes. Regiões da AWS AWS KMS
Saiba mais
-
Para criar chaves do KMS assimétricas, consulte Criar chaves do KMS assimétricas. Para criar chaves do KMS de criptografia simétrica, consulte Criar chaves.
-
Para criar chaves do KMS assimétricas de várias regiões, consulte Criar chaves de várias regiões.
-
Para descobrir se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.
-
Para obter uma tabela que compara as operações de AWS KMS API que se aplicam a cada tipo de chave KMS, consulte. Referência de tipos de chaves
-
Para controlar o acesso às especificações da chave, o uso da chave, os algoritmos de criptografia e os algoritmos de assinatura que as entidades principais na sua conta podem usar para chaves do KMS, consulte AWS KMS chaves de condição.
-
Para saber mais sobre as cotas de solicitação que se aplicam aos diferentes tipos de chaves do KMS, consulte Cotas de solicitações.
-
Para saber como assinar mensagens e verificar assinaturas com chaves do KMS assimétricas, consulte Assinatura digital com o novo recurso de chaves assimétricas do AWS KMS
no Blog de segurança da AWS .
Tópicos
Chaves do KMS assimétricas
É possível criar uma chave do KMS assimétrica no AWS KMS. Uma chave do KMS assimétrica representa um par de chave pública e chave privada matematicamente relacionadas. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo.
Em uma chave KMS assimétrica, a chave privada é criada AWS KMS e nunca sai sem criptografia. AWS KMS Para usar a chave privada, você deve ligar AWS KMS. Você pode usar a chave pública interna AWS KMS chamando as operações AWS KMS da API. Ou você pode baixar a chave pública e usá-la fora do AWS KMS.
Se seu caso de uso exigir criptografia externa AWS por usuários que não podem ligar AWS KMS, as chaves KMS assimétricas são uma boa opção. No entanto, se você estiver criando uma chave KMS para criptografar os dados que você armazena ou gerencia em um AWS serviço, use uma chave KMS de criptografia simétrica. AWS os serviços integrados AWS KMS
AWS KMS suporta três tipos de chaves KMS assimétricas.
-
Chaves RSA KMS: uma chave KMS com um par de chaves RSA para criptografia e descriptografia ou assinatura e verificação (mas não ambas). AWS KMS suporta vários comprimentos de chave para diferentes requisitos de segurança.
-
Chaves KMS de curva elíptica (ECC): uma chave KMS com um par de chaves de curva elíptica para assinatura e verificação ou derivação de segredos compartilhados (mas não ambos). AWS KMS suporta várias curvas comumente usadas.
-
Chaves KMS SM2 (somente regiões da China): uma chave KMS com um par de chaves SM2 para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados (você deve escolher um tipo de uso de chave).
Para obter ajuda na escolha da sua configuração de chave assimétrica, consulte Escolha de um tipo de chave do KMS. Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura que oferecem AWS KMS suporte às chaves RSA KMS, consulte as especificações da chave RSA. Para obter detalhes técnicos sobre os algoritmos de assinatura que oferecem AWS KMS suporte às chaves ECC KMS, consulte Especificações da chave da curva elíptica. Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura AWS KMS compatíveis com chaves SM2 KMS (somente regiões da China), consulte Especificação da chave SM2.
Para acessar uma tabela comparando as operações que podem ser executadas em chaves do KMS simétricas e assimétricas, consulte Comparar chaves do KMS simétricas e assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.
Regiões
Chaves KMS assimétricas e pares de chaves de dados assimétricas são suportadas em todos os suportes. Regiões da AWS AWS KMS