Sobre AWS KMS keys - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sobre AWS KMS keys

AWS Key Management Service (AWS KMS) permite criar chaves criptográficas que podem ser usadas nos dados que você passa para o serviço. O tipo de recurso principal é a chave KMS, da qual existem três tipos:

  • Chaves simétricas do Advanced Encryption Standard (AES) — Essas são chaves de 256 bits usadas no modo Galois Counter Mode (GCM) do AES. Essas chaves fornecem criptografia e descriptografia autenticadas de dados com menos de 4 KB de tamanho. Esse é o tipo de chave mais comum. Ele é usado para proteger outras chaves de dados, como aquelas usadas em seus aplicativos ou para criptografar dados em seu nome. Serviços da AWS

  • Chaves assimétricas de curva elíptica ou RSA — Essas teclas estão disponíveis em vários tamanhos e oferecem suporte a vários algoritmos. Dependendo do algoritmo, eles podem ser usados para criptografia e decodificação e para operações de assinatura e verificação.

  • Chaves simétricas para realizar operações de código de autenticação de mensagem (HMAC) baseado em hash — Essas chaves são chaves de 256 bits usadas para operações de assinatura e verificação.

Não é possível exportar as chaves do KMS do serviço em texto simples. Eles são gerados e só podem ser usados nos módulos de segurança de hardware (HSMs) usados pelo serviço. Essa é uma propriedade de segurança fundamental AWS KMS para evitar o comprometimento de chaves. Nas regiões da China (Pequim) e China (Ningxia), elas HSMs são certificadas pela OSCCA. Em todas as outras regiões, os HSMs usados em AWS KMS são validados pelo programa FIPS 140 do NIST no nível de segurança 3. Para obter mais informações sobre design e controles AWS KMS que ajudam a proteger suas chaves, consulte Detalhes AWS Key Management Service criptográficos.

Você pode enviar dados AWS KMS usando vários criptográficos para realizar APIs operações de criptografia, descriptografia, assinatura ou verificação com chaves KMS. Você também pode optar por fazer com que uma chave KMS atue como uma chave de criptografia, que protege um tipo de chave chamado chave de dados. Uma chave de dados pode ser exportada AWS KMS para uso em seu aplicativo local ou uma AWS service (Serviço da AWS) que esteja protegendo dados em seu nome. O uso de chaves de dados é comum em todos os sistemas de gerenciamento de chaves e geralmente é chamado de criptografia de envelope. A criptografia de envelope permite que uma chave de dados seja usada no sistema remoto que está manipulando seus dados confidenciais, em vez de precisar enviá-los AWS KMS para criptografia diretamente sob uma chave KMS.

Para obter mais informações, consulte AWS KMS keysos fundamentos da AWS KMS criptografia na AWS KMS documentação.