Chaves assimétricas em AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chaves assimétricas em AWS KMS

AWS KMS suporta chaves KMS assimétricas que representam um par de chaves públicas e privadas RSA, curva elíptica (ECC) ou SM2 (somente regiões da China) matematicamente relacionado. Esses pares de chaves são gerados em módulos de segurança de AWS KMS hardware certificados pelo Programa de Validação de Módulos Criptográficos FIPS 140-2, exceto nas regiões da China (Pequim) e China (Ningxia). A chave privada nunca deixa os AWS KMS HSMs sem criptografia. Você pode baixar a chave pública para distribuição e uso fora do AWS. Você pode criar chaves KMS assimétricas para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados (você deve escolher um tipo de uso da chave).

Você pode criar e gerenciar as chaves KMS assimétricas em sua Conta da AWS, incluindo definir políticas de chaves, políticas de IAM e concessões que controlam o acesso às chaves, habilitar e desabilitar as chaves KMS, criar tags e aliases e excluir as chaves KMS. Você pode auditar todas as operações que usam ou gerenciam suas chaves KMS assimétricas nos AWS registros.AWS CloudTrail

AWS KMS também fornece pares de chaves de dados assimétricos que são projetados para serem usados para criptografia do lado do cliente fora do. AWS KMS A chave privada em um par de chaves de dados assimétricas são protegidas por uma chave do KMS de criptografia simétrica no AWS KMS.

Este tópico explica como as chaves do KMS assimétricas funcionam, suas diferenças em relação a outras chaves do KMS e como decidir o tipo de chave do KMS de que você precisa para proteger seus dados. Também explica como os pares de chaves de dados assimétricos funcionam e como usá-los fora do. AWS KMS

Regiões

Chaves KMS assimétricas e pares de chaves de dados assimétricas são suportadas em todos os suportes. Regiões da AWS AWS KMS

Saiba mais

Chaves do KMS assimétricas

É possível criar uma chave do KMS assimétrica no AWS KMS. Uma chave do KMS assimétrica representa um par de chave pública e chave privada matematicamente relacionadas. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo.

Em uma chave KMS assimétrica, a chave privada é criada AWS KMS e nunca sai sem criptografia. AWS KMS Para usar a chave privada, você deve ligar AWS KMS. Você pode usar a chave pública interna AWS KMS chamando as operações AWS KMS da API. Ou você pode baixar a chave pública e usá-la fora do AWS KMS.

Se seu caso de uso exigir criptografia externa AWS por usuários que não podem ligar AWS KMS, as chaves KMS assimétricas são uma boa opção. No entanto, se você estiver criando uma chave KMS para criptografar os dados que você armazena ou gerencia em um AWS serviço, use uma chave KMS de criptografia simétrica. AWS os serviços integrados AWS KMS usam somente chaves KMS de criptografia simétrica para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas.

AWS KMS suporta três tipos de chaves KMS assimétricas.

  • Chaves RSA KMS: uma chave KMS com um par de chaves RSA para criptografia e descriptografia ou assinatura e verificação (mas não ambas). AWS KMS suporta vários comprimentos de chave para diferentes requisitos de segurança.

  • Chaves KMS de curva elíptica (ECC): uma chave KMS com um par de chaves de curva elíptica para assinatura e verificação ou derivação de segredos compartilhados (mas não ambos). AWS KMS suporta várias curvas comumente usadas.

  • Chaves KMS SM2 (somente regiões da China): uma chave KMS com um par de chaves SM2 para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados (você deve escolher um tipo de uso de chave).

Para obter ajuda na escolha da sua configuração de chave assimétrica, consulte Escolha de um tipo de chave do KMS. Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura que oferecem AWS KMS suporte às chaves RSA KMS, consulte as especificações da chave RSA. Para obter detalhes técnicos sobre os algoritmos de assinatura que oferecem AWS KMS suporte às chaves ECC KMS, consulte Especificações da chave da curva elíptica. Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura AWS KMS compatíveis com chaves SM2 KMS (somente regiões da China), consulte Especificação da chave SM2.

Para acessar uma tabela comparando as operações que podem ser executadas em chaves do KMS simétricas e assimétricas, consulte Comparar chaves do KMS simétricas e assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

Regiões

Chaves KMS assimétricas e pares de chaves de dados assimétricas são suportadas em todos os suportes. Regiões da AWS AWS KMS