Chaves assimétricas no AWS KMS - AWS Key Management Service

Chaves assimétricas no AWS KMS

O AWS KMS é compatível com chaves do KMS assimétricas que representam um par de chaves pública e privada RSA ou de curva elíptica (ECC) matematicamente relacionadas. Esses pares de chaves são gerados em módulos de segurança de hardware do AWS KMS certificados sob o Programa de validação de módulos criptográficos FIPS 140-2, exceto nas regiões China (Pequim) e China (Ningxia). A chave privada nunca deixa os HSMs descriptografadas. Você pode baixa a chave pública para distribuição e usá-la fora do AWS. É possível usar chaves do KMS assimétricas para criptografia e descriptografia ou para assinatura e verificação, mas não para ambos.

É possível criar e gerenciar as chaves do KMS assimétricas na sua Conta da AWS, incluindo configurar políticas de chaves, políticas do IAM e concessões que controlam o acesso às chaves do KMS, além de habilitar e desabilitar as chaves do KMS, criar tags e aliases e excluir chaves do KMS. E você pode auditar todas as operações que usam ou gerenciam chaves do KMS na AWS em logs do AWS CloudTrail.

O AWS KMS também fornece pares de chaves de dados assimétricas que foram desenvolvidos para serem usados para criptografia no lado do cliente fora do AWS KMS. A chave de dados simétrica e a chave privada em um par de chaves de dados assimétricas são protegidas por uma chave do KMS de criptografia simétrica no AWS KMS.

Este tópico explica como as chaves do KMS assimétricas funcionam, suas diferenças em relação a outras chaves do KMS e como decidir o tipo de chave do KMS de que você precisa para proteger seus dados. Ele também explica como pares de chaves de dados assimétricas funcionam e como usá-los fora do AWS KMS.

Regiões

Chaves do KMS assimétricas e pares de chaves de dados assimétricos têm suporte em todas as Regiões da AWS para as quais o AWS KMS oferece suporte.

Saiba mais

Chaves do KMS assimétricas

É possível criar uma chave do KMS assimétrica no AWS KMS. Uma chave do KMS assimétrica representa um par de chave pública e chave privada matematicamente relacionadas. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo.

Em uma chave do KMS assimétrica, a chave privada é criada no AWS KMS e nunca deixa o AWS KMS descriptografada. Para usar a chave privada, é necessário chamar o AWS KMS. É possível usar a chave pública no AWS KMS chamando as operações de API do AWS KMS. Ou é possível fazer download da chave pública e usá-la fora do AWS KMS.

Se o seu caso de uso exige criptografia fora do AWS por usuários que não podem chamar o AWS KMS, as chaves do KMS assimétricas são uma boa escolha. No entanto, se estiver criando uma chave do KMS para criptografar os dados armazenados ou gerenciados em um serviço da AWS, use uma chave do KMS de criptografia simétrica. Os serviços da AWS que são integrados ao AWS KMS usam chaves do KMS de criptografia simétrica para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas.

O AWS KMS é compatível com dois tipos de chaves do KMS assimétricas.

  • Chaves do KMS RSA: uma chave do KMS com um par de chaves RSA para criptografia de descriptografia ou assinatura e verificação (mas não ambos). O AWS KMS oferece suporte a vários comprimentos de chave para requisitos de segurança diversificados.

  • Chaves do KMS de curva elíptica (ECC): uma chave do KMS com um par de chaves de curva elíptica para assinatura e verificação. O AWS KMS oferece suporte a várias curvas comumente utilizadas.

Para obter ajuda na escolha da sua configuração de chave assimétrica, consulte Escolha de um tipo de chave do KMS. Para obter detalhes técnicos sobre algoritmos de criptografia e de assinatura compatíveis com o AWS KMS para chaves do KMS RSA, consulte Especificações de chaves RSA. Para obter detalhes técnicos sobre os algoritmos de assinatura compatíveis com o AWS KMS para chaves do KMS de ECC, consulte Especificações de chaves de curva elíptica.

Para acessar uma tabela comparando as operações que podem ser executadas em chaves do KMS simétricas e assimétricas, consulte Comparar chaves do KMS simétricas e assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

Regiões

Chaves do KMS assimétricas e pares de chaves de dados assimétricos têm suporte em todas as Regiões da AWS para as quais o AWS KMS oferece suporte.