Custo, conveniência e controle Tipos de desempenho e criptografia Local de armazenamento da chave Controle de acesso Auditoria e registro

Implementação

Nessa estratégia, a arquitetura se refere à implementação técnica de seus padrões de criptografia. Esta seção inclui informações sobre como Serviços da AWS, por exemplo, AWS Key Management Service (AWS KMS) e AWS CloudHSM, podem ajudá-lo a implementar sua estratégia de data-at-rest criptografia de acordo com sua política e padrões.

AWS KMS é um serviço gerenciado que ajuda você a criar e controlar as chaves criptográficas usadas para proteger seus dados. As chaves KMS nunca saem do serviço sem criptografia. Para usar ou gerenciar suas chaves KMS, você interage com AWS KMS, e muitas delas Serviços da AWS são integradas. AWS KMS

AWS CloudHSM é um serviço criptográfico para criar e manter módulos de segurança de hardware (HSMs) em seu AWS ambiente. HSMs são dispositivos de computação que processam operações criptográficas e fornecem armazenamento seguro para chaves criptográficas. Se seus padrões exigirem que você use hardware validado pelo FIPS 140-2 Nível 3, ou se seus padrões determinarem o uso de padrões do setor, como PKCS #11 APIs, Java Cryptography Extensions (JCE) e Microsoft CryptoNG (CNG), você pode considerar o uso. AWS CloudHSM

Você pode configurar AWS CloudHSM como um armazenamento de chaves personalizado para AWS KMS. Essa solução combina a conveniência e a integração de serviços AWS KMS com os benefícios adicionais de controle e conformidade do uso de um AWS CloudHSM cluster em seu Conta da AWS. Para obter mais informações, consulte Armazenamentos de chaves personalizadas (AWS KMS documentação).

Este documento discute os AWS KMS recursos em alto nível e explica como AWS KMS abordar sua política e seus padrões.

Custo, conveniência e controle

AWS KMS oferece diferentes tipos de chaves. Alguns são de propriedade ou gerenciados por AWS, e outros são criados e gerenciados por clientes. Você pode escolher entre essas opções com base no nível de controle que deseja ter sobre as considerações principais e de custo:

AWS chaves próprias — AWS possui e gerencia essas chaves, e elas são usadas em várias Contas da AWS. Alguns Serviços da AWS oferecem suporte a chaves AWS próprias. Você pode usar essas chaves sem nenhum custo. Esse tipo de chave alivia você do custo e da sobrecarga administrativa de gerenciar o ciclo de vida da chave e do acesso a ela. Para obter mais informações sobre esse tipo de chave, consulte chaves AWS próprias (AWS KMS documentação).
AWS chaves gerenciadas — Se um AWS service (Serviço da AWS) estiver integrado AWS KMS, ele poderá criar, gerenciar e usar esse tipo de chave em seu nome, a fim de proteger seus recursos nesse serviço. Essas chaves são criadas no seu Conta da AWS e só Serviços da AWS podem ser usadas. Não há taxa mensal para uma chave AWS gerenciada. Eles podem estar sujeitos a taxas de uso além do nível gratuito, mas alguns Serviços da AWS cobrem esses custos para você. Você pode usar políticas de identidade para controlar a visualização e o acesso de auditoria a essas chaves, mas AWS gerencia o ciclo de vida das chaves. Para obter mais informações sobre esse tipo de chave, consulte chaves AWS gerenciadas (AWS KMS documentação). Para obter uma lista abrangente dos Serviços da AWS que se integram com AWS KMS, consulte AWS service (Serviço da AWS) integração (AWS marketing).
Chaves gerenciadas pelo cliente — Você cria, possui e gerencia esse tipo de chave e tem controle total sobre o ciclo de vida da chave. Para a segregação de tarefas, você pode usar políticas baseadas em identidade e recursos para controlar o acesso à chave. Você também pode configurar a rotação automática de chaves. As chaves gerenciadas pelo cliente incorrem em uma taxa mensal e, se você exceder o nível gratuito, elas também incorrerão em uma taxa pelo uso. Para obter mais informações sobre esse tipo de chave, consulte Chaves gerenciadas pelo cliente (AWS KMS documentação).

Para obter mais informações sobre armazenamento e uso de chaves, consulte AWS Key Management Service preços (AWS marketing).

Tipos de desempenho e criptografia

Com base no tipo de criptografia escolhido nos padrões, você pode usar dois tipos de chaves KMS.

Simétrico — Todos os AWS KMS key tipos oferecem suporte à criptografia simétrica. Ao criptografar chaves gerenciadas pelo cliente, você pode usar uma chave de força única para criptografia e decodificação com o AES-256-GCM.
Assimétrico — As chaves gerenciadas pelo cliente oferecem suporte à criptografia assimétrica. Você pode escolher entre diferentes pontos fortes e algoritmos, com base no uso pretendido. As chaves assimétricas podem criptografar e descriptografar com RSA e podem assinar e verificar operações com RSA ou ECC. Os algoritmos de chave assimétrica fornecem inerentemente a separação de funções e simplificam o gerenciamento de chaves. Ao usar criptografia assimétrica com AWS KMS, algumas operações não são suportadas, como rotação de chaves e importação de material de chave externa.

Para obter mais informações sobre as AWS KMS operações suportadas por chaves simétricas e assimétricas, consulte Referência do tipo de chave (AWS KMS documentação).

criptografia envelopada

A criptografia de envelope está incorporada. AWS KMS Em AWS KMS, você gera chaves de dados em formato de texto simples ou criptografado. As chaves de dados criptografadas são criptografadas com uma chave KMS. Você pode armazenar a chave KMS em um armazenamento de chaves personalizado em um AWS CloudHSM cluster. Para obter mais informações sobre os benefícios da criptografia de envelope, consulteSobre a criptografia de envelope.

Local de armazenamento da chave

Você usa políticas para gerenciar o acesso aos AWS KMS recursos. As políticas descrevem quem pode acessar quais recursos. As políticas anexadas a um diretor AWS Identity and Access Management (IAM) são chamadas de políticas baseadas em identidade ou políticas do IAM. As políticas associadas a outros tipos de recursos são chamadas de políticas de recursos. AWS KMS as políticas de recursos para AWS KMS keys são chamadas de políticas principais. Cada chave do KMS tem uma política de chaves.

As políticas de chaves oferecem flexibilidade para armazenar a chave de criptografia em um local central ou armazená-la mais perto dos dados, de forma distribuída. Considere os seguintes AWS KMS recursos ao decidir onde armazenar as chaves KMS no seu: Conta da AWS

Suporte à infraestrutura de região única — Por padrão, as chaves KMS são específicas da região e nunca saem sem criptografia. AWS KMS Se seus padrões tiverem requisitos rígidos para controlar chaves em uma localização geográfica específica, explore o uso de chaves de região única.
Suporte à infraestrutura multirregional — AWS KMS também oferece suporte ao tipo de chave para fins especiais denominado chaves multirregionais. Armazenar dados em vários Regiões da AWS é uma configuração comum para recuperação de desastres. Ao usar chaves multirregionais, você pode transferir dados entre regiões sem criptografá-los novamente e gerenciar os dados como se tivesse a mesma chave em cada região. Essa funcionalidade é muito útil se seus padrões exigirem que sua infraestrutura de criptografia abranja várias regiões em uma configuração ativa-ativa. Para obter mais informações, consulte Chaves multirregionais (AWS KMS documentação).
Gerenciamento centralizado — Se seus padrões exigirem que você armazene as chaves em um local centralizado, você pode usar AWS KMS para armazenar todas as suas chaves de criptografia em uma única. Conta da AWS Você usa políticas de chaves para conceder acesso a outros aplicativos, que podem estar em contas diferentes na mesma região. O gerenciamento centralizado de chaves pode reduzir a sobrecarga administrativa do gerenciamento do ciclo de vida da chave e do controle de acesso à chave.
Material de chave externa — Você pode importar material de chave gerado externamente para AWS KMS. Support para essa funcionalidade está disponível para chaves simétricas únicas e multirregionais. Como o material da chave simétrica é gerado externamente, você é responsável por proteger os materiais da chave gerada. Para obter mais informações, consulte Material de chave importado (AWS KMS documentação).

Controle de acesso

Em AWS KMS, você pode implementar o controle de acesso em nível granular usando os seguintes mecanismos de política: políticas de chave, políticas de IAM e concessões. Usando esses controles, você pode configurar sua separação de tarefas com base em funções, como administradores, usuários-chave que podem criptografar os dados, usuários-chave que podem descriptografar os dados e usuários-chave que podem criptografar e descriptografar os dados. Para obter mais informações, consulte Autenticação e controle de acesso (AWS KMS documentação).

Auditoria e registro

AWS KMS integra-se com AWS CloudTrail a Amazon EventBridge para fins de registro e monitoramento. Todas as operações AWS KMS da API são registradas e auditáveis em CloudTrail registros. Você pode usar o Amazon CloudWatch, EventBridge, e AWS Lambda para configurar soluções de monitoramento personalizadas para configurar notificações e remediação automática. Para obter mais informações, consulte Registro e monitoramento (AWS KMS documentação).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Framework

Perguntas frequentes