AWS Key Management Service 中的資料保護 - AWS Key Management Service
保護金鑰資料資料加密網際網路隱私權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Key Management Service 中的資料保護

AWS Key Management Service 存放並保護您的加密金鑰,使其具有高可用性,同時為您提供強大且靈活的存取控制。

保護金鑰資料

根據預設,AWS KMS 會產生並保護 KMS 金鑰的密碼編譯金鑰資料。此外,AWS KMS 還提供在 AWS KMS 外部建立並受保護的金鑰資料選項。如需有關 KMS 金鑰與金鑰資料的技術詳細資訊,請參閱《AWS Key Management Service 密碼編譯詳細資訊》。

保護在 AWS KMS 產生的金鑰資料

當您建立 KMS 金鑰時,AWS KMS 預設會為該 KMS 金鑰產生並保護密碼編譯材料。

為保護 KMS 金鑰的金鑰資料,AWS KMS 依賴 FIPS 140-2 安全層級 3 驗證的硬體安全模組 (HSM) 分散式機群。每個 AWS KMS HSM 都是獨立的專用硬體設備,旨在提供專用的密碼編譯功能,以便滿足 AWS KMS 的安全性及可擴可性需求。(AWS KMS 在中國區域採用的 HSM 由 OSCCA 認證,並符合所有相關中國法規,但並未根據 FIPS 140-2 密碼編譯模組驗證計畫進行驗證。)

根據預設,KMS 金鑰的金鑰資料會在 HSM 產生時加密。金鑰資料僅在 HSM 揮發性記憶體內進行解密,且解密時間僅限密碼編譯操作運用金鑰資料所需的數毫秒。每當金鑰資料未處於作用中使用狀態時,就會在 HSM 加密,並傳輸至高持性 (99.999999999%) 且低延遲持續性儲存體,其會在此儲存體保持獨立並與 HSM 隔離。純文字金鑰資料永遠不會離開 HSM 安全界限;永遠不會寫入磁碟或保存於任何儲存媒體。(唯一例外是非對稱金鑰對的公有金鑰,其非秘密。)

AWS 宣告作為基本安全政策,在任何 AWS 服務 的任何類型純文字密碼編譯金鑰資料均未與人類互動。包括 AWS 服務 操作員在內,任何人均無任何機制可檢視、存取或匯出純文字金鑰資料。即使在災難性故障及災難復原事件,此政策也適用。AWS KMS 的純文字客戶金鑰資料僅在回應客戶或其委派對服務的授權要求時,才會在 AWS KMS FIPS 驗證的 HSM 用於密碼編譯操作。

對於客戶自管金鑰,建立金鑰的 AWS 帳戶 是金鑰的唯一且不可轉讓擁有者。擁有帳戶對控制金鑰存取權的授權政策具完整且獨佔控制權。對於AWS 受管金鑰,AWS 帳戶 可完全控制 IAM 政策,並授權向 AWS 服務 提出請求。

保護 AWS KMS 外部產生的金鑰資料

AWS KMS 提供在 AWS KMS 產生的金鑰資料替代方案。

自訂金鑰存放區為選用 AWS KMS 功能,可讓您建立 KMS 金鑰,該金鑰由 AWS KMS 外部產生及使用的金鑰資料提供支援。在 AWS CloudHSM 金鑰存放區的 KMS 金鑰由 AWS CloudHSM 硬體安全模組 (由您控制) 的金鑰支援。這些 HSM 取得 FIPS 140-2 層級 3 認證。外部金鑰存放區的 KMS 金鑰由外部金鑰管理器 (由您在 AWS 外部控制及管理) 的金鑰支援,例如私有資料中心的實體 HSM。

另一個選用功能可讓您為 KMS 金鑰匯入金鑰材料。為在傳輸至 AWS KMS 時保護匯入的金鑰資料,您可利用 AWS KMS HSM 所產生 RSA 金鑰對的公有金鑰來加密金鑰資料。匯入的金鑰資料會在 AWS KMS HSM 解密,並在 HSM 採用對稱金鑰重新加密。如同所有 AWS KMS 金鑰資料,純文字匯入金鑰資料永遠會對 HSM 進行加密。然而,提供金鑰資料的客戶需負責安全使用、持久性及 AWS KMS 外部的金鑰資料維護。

資料加密

AWS KMS 中的資料包括 AWS KMS keys 及其所代表的加密金鑰材料。此金鑰材料僅以純文字形式存在於 AWS KMS 硬體安全模組 (HSM),且僅在使用時存在。否則,金鑰材料會加密並存放在耐久的持久性儲存裝置中。

AWS KMS 為 KMS 金鑰產生的金鑰材料永遠會對 AWS KMS HSM 邊界加密。它不會在任何 AWS KMS API 操作中匯出或傳輸。但多區域金鑰是例外:AWS KMS 會使用跨區域複寫機制,將多區域金鑰的金鑰材料從一個 AWS 區域 的 HSM 複製到另一個 AWS 區域 的 HSM。如需詳細資訊,請參閱《AWS Key Management Service 密碼編譯詳細資訊》中的多區域金鑰的複寫程序

靜態加密

AWS KMS 會在符合 FIPS 140-2 安全層級 3 之硬體安全模組 (HSM) 為 AWS KMS keys 產生金鑰資料。唯一的例外是中國區域,在該處 AWS KMS 用來產生 KMS 金鑰的 HSM 符合所有相關的中國法規,但並未根據 FIPS 140-2 密碼模組驗證計畫進行驗證。不使用時,金鑰資料會由 HSM 金鑰加密,並寫入耐久的持久性儲存裝置。KMS 金鑰的金鑰材料和保護金鑰材料的加密金鑰永遠不會讓 HSM 以純文字形式出現。

KMS 金鑰的金鑰材料加密和管理完全由 AWS KMS 處理。

如需詳細資訊,請參閱 AWS Key Management Service 密碼編譯詳細資訊中的使用 AWS KMS keys

傳輸中加密

AWS KMS 為 KMS 金鑰產生的金鑰材料永遠不會在 AWS KMS API 操作中匯出或傳輸。AWS KMS 使用金鑰識別符來代表 API 操作中的 KMS 金鑰。同樣地,AWS KMS 自訂金鑰存放區中 KMS 金鑰的金鑰材料是不可匯出的,永遠不會在 AWS KMS 或 AWS CloudHSM API 操作中傳輸。

然而,一些 AWS KMS API 操作會傳回資料金鑰。此外,客戶可以使用 API 操作為所選的 KMS 金鑰匯入金鑰材料

所有 AWS KMS API 呼叫必須經過簽署,並利用 Transport Layer Security (TLS) 進行傳輸。AWS KMS 需要 TLS 1.2,並建議在所有區域採用 TLS 1.3。AWS KMS 也支援混合式後量子 TLS,適用所有區域 (中國區域除外) 的 AWS KMS 服務端點。AWS KMS 不支援 AWS GovCloud (US) FIPS 端點的混合式後量子 TLS。呼叫 AWS KMS 還需要支援完整轉寄密碼的現代加密套件,這表示任何機密 (例如私有金鑰) 的洩露也不會影響工作階段金鑰。

如果您在透過命令列介面或 API 存取 AWS 時,需要 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。若要採用標準 AWS KMS 端點或 AWS KMS FIPS 端點,用戶端必須支援 TLS 1.2 或更新版本。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀。如需 AWS KMS FIPS 端點清單,請參閱《AWS 一般參考》的 AWS Key Management Service 端點與配額

AWS KMS 服務主機和 HSM 之間的通訊會使用經過驗證之加密配置中的橢圓曲線密碼編譯 (ECC) 和進階加密標準 (AES) 進行保護。如需詳細資訊,請參閱 AWS Key Management Service 密碼編譯詳細資訊中的內部通訊安全

網際網路流量隱私權

AWS KMS 支援 AWS Management Console 和一組 API 操作,可讓您建立和管理 AWS KMS keys 並在密碼編譯操作中使用它們。

AWS KMS 支援兩種從私有網路至 AWS 的網路連線選項。

  • 網際網路上的 IPSec VPN 連接

  • AWS Direct Connect 透過標準乙太網路光纖纜線將您的內部網路連結至 AWS Direct Connect 位置。

所有 AWS KMS API 呼叫必須經過簽署,並使用 Transport Layer Security (TLS) 進行傳輸。這些呼叫還需要支援完整轉寄密碼的現代加密套件。存放 KMS 金鑰之金鑰材料的硬體安全模組 (HSM) 流量只能從已知的 AWS KMS API 主機透過 AWS 內部網路傳輸。

若要直接從 Virtual Private Cloud (VPC) 連線至 AWS KMS,而不透過公有網際網路傳送流量,請使用由 AWS PrivateLink 提供技術的 VPC 端點。如需詳細資訊,請參閱 透過 VPC 端點連線至 AWS KMS

AWS KMS 也支援適用於 Transport Layer Security (TLS) 網路加密通訊協定的混合式後量子金鑰交換選項。連線到 AWS KMS API 端點時,您可將此選項與 TLS 搭配使用。