As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar chaves simétricas e assimétricas
O AWS KMS protege as chaves mestras do cliente (CMKs) usadas para proteger dados e chaves de dados. As chaves secretas são geradas e usadas somente em módulos de segurança de hardware projetados para que ninguém, incluindo os funcionários da AWS, possam acessar o material de chave de texto não criptografado.
Você pode criar e gerenciar o CMKs em sua conta da AWS, incluindo a configuração de políticas de chaves, políticas do IAM e concessões que controlam o acesso ao seu , CMKshabilitando e desabilitando o , CMKscriando tags e aliases, e excluindo o .CMKs Você pode usar a CMKs para proteger seus recursos nos AWSserviços da que são integrados ao AWS KMS. Além disso, é possível auditar todas as operações que usam ou gerenciam as CMKs nos logs do AWS CloudTrail.
O AWS KMS é compatível com CMKs simétricas e assimétricas.
-
simétrica do CMK: Representa uma única chave de criptografia secreta de 256 bits que nunca deixa o AWS KMS descriptografada. Para usar a CMK simétrica, é necessário chamar o AWS KMS.
-
assimétrica CMK: Representa uma chave pública e um par de chaves privadas relacionadas matematicamente que podem ser usadas para criptografar e descriptografar ou para assinar e verificar, mas não ambos. A chave privada nunca deixa o AWS KMS descriptografada. É possível usar a chave pública no AWS KMS chamando as operações de API do AWS KMS ou fazer download da chave pública e usá-la fora do AWS KMS.
O AWS KMS também fornece chaves de dados simétricas e pares de chaves de dados assimétricas que são projetadas para serem usadas para criptografia no lado do cliente fora do AWS KMS. A chave de dados simétrica e a chave privada em um par de chaves de dados assimétricas são protegidas por uma CMK simétrica no AWS KMS.
-
Chave de dados simétrica — uma chave de criptografia simétrica que pode ser usada para criptografar dados fora do AWS KMS. Essa chave é protegida por uma CMK simétrica no AWS KMS.
-
Par de chaves de dados assimétricas — um par de chaves RSA ou de curvas elípticas (ECC) que consiste em uma chave pública e uma chave privada. É possível usar o par de chaves de dados fora do AWS KMS para criptografar e descriptografar dados ou para assinar mensagens e verificar assinaturas. A chave privada é protegida por uma CMK simétrica no AWS KMS.
Para obter informações sobre como criar e usar chaves de dados e pares de chaves de dados, consulte Chaves de dados e Pares de chaves de dados. Para saber como limitar os tipos de pares de chaves de dados que os principais em sua conta têm permissão para gerar, use a chave de condição kms:DataKeyPairSpec.
Este tópico explica como CMKs simétricas e assimétricas funcionam, no que elas diferem e como decidir qual tipo de CMK você precisa para proteger seus dados. Ele também explica como chaves de dados simétricas e pares de chaves de dados assimétricas funcionam e como usá-las fora do AWS KMS.
Regiões
CMKs assimétricas e pares de chaves de dados assimétricos têm suporte em todas as regiões da AWS em que há suporte ao AWS KMS, exceto China (Pequim) e China (Ningxia).
Saiba mais
-
Para obter uma tabela que compara as operações de API do AWS KMS que se aplicam a cada tipo de CMK, consulte Comparar CMKs simétricas e assimétricas.
-
Para descobrir se uma CMK é simétrica ou assimétrica, consulte Identificar simétricas e assimétricas CMKs.
-
Para examinar a diferença na política de chaves padrão que o console do AWS KMS define para CMKs simétricas e assimétricas, consulte Permite que os usuários de chaves usem a CMK com serviços da AWS.
-
Para definir as especificações da chave, o uso da chave, os algoritmos de criptografia e os algoritmos de assinatura que as entidades principais na conta podem usar para CMKs, consulte Chaves de condição do AWS KMS.
-
Para saber mais sobre as solicitar cotas que se aplicam aos diferentes tipos de CMKs, consulte Solicitar cotas.
-
Para saber como assinar mensagens e verificar assinaturas com CMKs assimétricas, consulte Assinatura digital com o novo recurso de chaves assimétricas do AWS KMS
no Blog de segurança da AWS.
Tópicos