Usar chaves simétricas e assimétricas - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar chaves simétricas e assimétricas

O AWS KMS protege as chaves mestras do cliente (CMKs) usadas para proteger dados e chaves de dados. As chaves secretas são geradas e usadas somente em módulos de segurança de hardware projetados para que ninguém, incluindo os funcionários da AWS, possam acessar o material de chave de texto não criptografado.

Você pode criar e gerenciar o CMKs em sua conta da AWS, incluindo a configuração de políticas de chaves, políticas do IAM e concessões que controlam o acesso ao seu , CMKshabilitando e desabilitando o , CMKscriando tags e aliases, e excluindo o .CMKs Você pode usar a CMKs para proteger seus recursos nos AWSserviços da que são integrados ao AWS KMS. Além disso, é possível auditar todas as operações que usam ou gerenciam as CMKs nos logs do AWS CloudTrail.

O AWS KMS é compatível com CMKs simétricas e assimétricas.

  • simétrica do CMK: Representa uma única chave de criptografia secreta de 256 bits que nunca deixa o AWS KMS descriptografada. Para usar a CMK simétrica, é necessário chamar o AWS KMS.

  • assimétrica CMK: Representa uma chave pública e um par de chaves privadas relacionadas matematicamente que podem ser usadas para criptografar e descriptografar ou para assinar e verificar, mas não ambos. A chave privada nunca deixa o AWS KMS descriptografada. É possível usar a chave pública no AWS KMS chamando as operações de API do AWS KMS ou fazer download da chave pública e usá-la fora do AWS KMS.

O AWS KMS também fornece chaves de dados simétricas e pares de chaves de dados assimétricas que são projetadas para serem usadas para criptografia no lado do cliente fora do AWS KMS. A chave de dados simétrica e a chave privada em um par de chaves de dados assimétricas são protegidas por uma CMK simétrica no AWS KMS.

  • Chave de dados simétrica — uma chave de criptografia simétrica que pode ser usada para criptografar dados fora do AWS KMS. Essa chave é protegida por uma CMK simétrica no AWS KMS.

  • Par de chaves de dados assimétricas — um par de chaves RSA ou de curvas elípticas (ECC) que consiste em uma chave pública e uma chave privada. É possível usar o par de chaves de dados fora do AWS KMS para criptografar e descriptografar dados ou para assinar mensagens e verificar assinaturas. A chave privada é protegida por uma CMK simétrica no AWS KMS.

Para obter informações sobre como criar e usar chaves de dados e pares de chaves de dados, consulte Chaves de dados e Pares de chaves de dados. Para saber como limitar os tipos de pares de chaves de dados que os principais em sua conta têm permissão para gerar, use a chave de condição kms:DataKeyPairSpec.

Este tópico explica como CMKs simétricas e assimétricas funcionam, no que elas diferem e como decidir qual tipo de CMK você precisa para proteger seus dados. Ele também explica como chaves de dados simétricas e pares de chaves de dados assimétricas funcionam e como usá-las fora do AWS KMS.

Regiões

CMKs assimétricas e pares de chaves de dados assimétricos têm suporte em todas as regiões da AWS em que há suporte ao AWS KMS, exceto China (Pequim) e China (Ningxia).

Saiba mais