AWS KMS Konzepte - AWS Key Management Service
Einführung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS Konzepte

Lernen Sie die in AWS Key Management Service (AWS KMS) verwendeten grundlegenden Begriffe und Konzepte kennen und erfahren Sie, wie sie zusammen zum Schutz Ihrer Daten beitragen.

Einführung in AWS KMS

AWS Key Management Service (AWS KMS) bietet eine Weboberfläche zur Generierung und Verwaltung kryptografischer Schlüssel und fungiert als Anbieter von kryptografischen Diensten zum Schutz von Daten. AWS KMS bietet traditionelle Schlüsselverwaltungsdienste, die in Dienste integriert sind, um einen konsistenten Überblick über die Schlüssel der Kunden zu bieten AWS, und zwar mit zentraler Verwaltung und Prüfung. AWS

AWS KMS umfasst eine Weboberfläche über die AWS Management Console Befehlszeile und RESTful API-Operationen zur Anforderung kryptografischer Operationen einer verteilten Flotte von FIPS 140-3-validierten Hardware-Sicherheitsmodulen (). HSMs Das AWS KMS HSM ist eine eigenständige Hardware-Kryptografie-Appliance mit mehreren Chips, die spezielle kryptografische Funktionen bereitstellt, um die Sicherheits- und Skalierbarkeitsanforderungen von zu erfüllen. AWS KMS Sie können Ihre eigene HSM-basierte kryptografische Hierarchie unter Schlüsseln einrichten, die Sie als AWS KMS keys verwaltet werden. Diese Schlüssel werden nur auf dem HSMs und nur für den Zeitraum im Speicher zur Verfügung gestellt, der für die Bearbeitung Ihrer kryptografischen Anfrage erforderlich ist. Sie können mehrere KMS-Schlüssel erstellen, die jeweils durch seine Schlüssel-ID dargestellt werden. Nur im Rahmen von AWS IAM-Rollen und -Konten, die von jedem Kunden verwaltet werden, können vom Kunden verwaltete KMS-Schlüssel erstellt, gelöscht oder zum Verschlüsseln, Entschlüsseln, Signieren oder Überprüfen von Daten verwendet werden. Sie können Zugriffskontrollen dafür definieren, wer die and/or Nutzung von KMS-Schlüsseln verwalten kann, indem Sie eine Richtlinie erstellen, die an den Schlüssel angehängt ist. Mithilfe dieser Richtlinien können Sie anwendungsspezifische Verwendungen für Ihre Schlüssel für jeden API-Vorgang definieren.

Darüber hinaus unterstützen die meisten AWS Dienste die Verschlüsselung ruhender Daten mithilfe von KMS-Schlüsseln. Mit dieser Funktion können Kunden steuern, wie und wann AWS Dienste auf verschlüsselte Daten zugreifen können, indem sie steuern, wie und wann auf KMS-Schlüssel zugegriffen werden kann.

AWS KMS Architektur.

AWS KMS ist ein mehrstufiger Dienst, der aus mit dem Internet verbundenen AWS KMS Hosts und einer Stufe von besteht. HSMs Die Gruppierung dieser mehrstufigen Hosts bildet den Stack. AWS KMS Alle Anfragen an AWS KMS müssen über das Transport Layer Security-Protokoll (TLS) gestellt und auf einem AWS KMS Host beendet werden. AWS KMS Hosts erlauben TLS nur mit einer Ciphersuite, die Perfect Forward Secrecy bietet. AWS KMS authentifiziert und autorisiert Ihre Anfragen mit denselben Anmelde- und Richtlinienmechanismen von AWS Identity and Access Management (IAM), die für alle anderen API-Operationen verfügbar sind. AWS

AWS KMS Ziele des Entwurfs

AWS KMS wurde entwickelt, um die folgenden Anforderungen zu erfüllen.

Haltbarkeit

Die Haltbarkeit kryptografischer Schlüssel ist so konzipiert, dass sie der Lebensdauer von Diensten mit der höchsten Haltbarkeit entspricht. AWS Ein einzelner kryptografischer Schlüssel kann große Datenmengen verschlüsseln, die sich über eine lange Zeit angesammelt haben.

Vertrauenswürdig

Die Verwendung von Schlüsseln ist durch Zugriffssteuerungsrichtlinien geschützt, die Sie definieren und verwalten. Es gibt keinen Mechanismus, um Klartext-KMS-Schlüssel zu exportieren. Die Vertraulichkeit Ihrer kryptografischen Schlüssel ist von entscheidender Bedeutung. Für die Durchführung administrativer Aktionen am sind mehrere Amazon-Mitarbeiter mit rollenspezifischem Zugriff auf quorumbasierte Zugriffskontrollen erforderlich. HSMs

Niedrige Latenz und hoher Durchsatz

AWS KMS bietet kryptografische Operationen mit Latenz- und Durchsatzniveaus, die für die Verwendung durch andere Dienste in geeignet sind. AWS

Unabhängige Regionen

AWS bietet unabhängige Regionen für Kunden, die den Datenzugriff in verschiedenen Regionen einschränken müssen. Die Schlüsselverwendung kann innerhalb eines AWS-Region isoliert werden.

Sichere Quelle von Zufallszahlen

Da starke Kryptografie von einer wirklich unvorhersehbaren Generierung von Zufallszahlen abhängt, AWS KMS bietet es eine qualitativ hochwertige und validierte Quelle für Zufallszahlen.

Audit

AWS KMS zeichnet die Verwendung und Verwaltung kryptografischer Schlüssel in AWS CloudTrail Protokollen auf. Mithilfe von AWS CloudTrail Protokollen können Sie die Verwendung Ihrer kryptografischen Schlüssel überprüfen, einschließlich der Verwendung von Schlüsseln durch AWS Dienste in Ihrem Namen.

Um diese Ziele zu erreichen, umfasst das AWS KMS System eine Reihe von AWS KMS Operatoren und Service-Host-Betreibern (zusammen „Betreiber“), die „Domains“ verwalten. Eine Domain ist eine regional definierte Gruppe von AWS KMS Servern und HSMs Operatoren. Jeder AWS KMS Operator verfügt über ein Hardware-Token, das ein privates und ein öffentliches key pair enthält, das zur Authentifizierung seiner Aktionen verwendet wird. HSMs Sie verfügen über ein zusätzliches privates und öffentliches key pair, um Verschlüsselungsschlüssel einzurichten, die die HSM-Statussynchronisierung schützen.