Usar chaves simétricas e assimétricas - AWS Key Management Service

Usar chaves simétricas e assimétricas

O AWS KMS protege as AWS KMS keysusadas para proteger seus dados e suas chaves de dados. Chaves simétricas do KMS e chaves privadas de chaves assimétricas do KMS são geradas e usadas somente em módulos de segurança de hardware, de modo que ninguém, nem mesmo funcionários da AWS, possam acessar o material das chaves em texto simples.

É possível criar e gerenciar as chaves na sua Conta da AWS , incluindo configurar políticas de chaves, políticas do IAM e concessões que controlam o acesso às chaves do KMS, além de habilitar e desabilitar chaves do KMS, criar etiquetas e aliases e excluir chaves do KMS. É possível usar chaves do KMS para proteger recursos em serviços da AWS que estão integrados ao AWS KMS. Além disso, é possível auditar todas as operações que usam ou gerenciam chaves do KMS em logs do AWS CloudTrail.

O AWS KMS é compatível com chaves do KMS simétricas e assimétricas.

  • Chave do KMS simétrica: representa uma única chave de criptografia secreta de 256 bits que nunca sai do AWS KMS descriptografada. Para usar a chave do KMS simétrica, é necessário chamar o AWS KMS.

  • Chave do KMS assimétrica: representa uma chave pública e um par de chaves privadas matematicamente relacionados que podem ser usados para criptografar e descriptografar ou para assinar e verificar, mas não ambos. A chave privada nunca deixa o AWS KMS descriptografada. É possível usar a chave pública no AWS KMS chamando as operações de API do AWS KMS ou fazer download da chave pública e usá-la fora do AWS KMS.

O AWS KMS também fornece suporte a chaves de dados simétricas e a pares de chaves de dados assimétricos, projetados para uso com outros serviços da AWS e assinatura e criptografia do lado do cliente fora do AWS KMS. A chave de dados simétrica e a chave privada em um par de chaves de dados assimétricas são protegidas por uma chave do KMS simétrica.

  • Chave de dados simétrica – uma chave de criptografia simétrica que pode ser usada para criptografar dados fora do AWS KMS. Essa chave é protegida por uma chave do KMS simétrica no AWS KMS.

  • Par de chaves de dados assimétricas – um par de chaves RSA ou de curvas elípticas (ECC) que consiste em uma chave pública e uma chave privada. A chave privada é protegida por uma chave simétrica no AWS KMS. É possível usar o par de chaves de dados fora do AWS KMS para criptografar e descriptografar dados ou para assinar mensagens e verificar assinaturas.

    O AWS KMS recomenda que você use pares de chaves ECC para assinatura e pares de chaves RSA para criptografia ou assinatura, mas não ambos. Porém, AWS KMS não podem impor restrições para o uso de pares de chaves fora do AWS KMS.

Este tópico explica como chaves do KMS simétricas e assimétricas funcionam, no que elas diferem e como decidir de qual tipo de chave do KMS você precisa para proteger seus dados. Ele também explica como chaves de dados simétricas e pares de chaves de dados assimétricas funcionam e como usá-las fora do AWS KMS.

Regiões

Chaves do KMS assimétricas e pares de chaves de dados assimétricos têm suporte em todas as Regiões da AWS para as quais o AWS KMS oferece suporte.

Saiba mais