Resiliencia en AWS Key Management Service - AWS Key Management Service
Aislamiento regionalDiseño de varios inquilinosPrácticas recomendadas de resiliencia en AWS KMS

Resiliencia en AWS Key Management Service

La infraestructura global de AWS se divide en Regiones de AWS y zonas de disponibilidad. Las Regiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.

Además de la infraestructura global de AWS, AWS KMS ofrece varias características que le ayudan con sus necesidades de resiliencia y copia de seguridad de los datos. Para obtener más información sobre las Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global de AWS.

Aislamiento regional

AWS Key Management Service (AWS KMS) es un servicio regional autosuficiente que está disponible en todas las Regiones de AWS. El diseño aislado regionalmente de AWS KMS garantiza que un problema de disponibilidad en una Región de AWS no puede afectar la operación de AWS KMS en cualquier otra región. AWS KMS está diseñado para garantizar un tiempo de inactividad planificado nulo, con todas las actualizaciones de software y las operaciones de escalado realizadas sin problemas e imperceptiblemente.

El Acuerdo de nivel de servicio (SLA) de AWS KMS incluye un compromiso de servicio del 99,999 % para todas las API de KMS. Para cumplir este compromiso, AWS KMS garantiza que todos los datos y la información de autorización necesarios para ejecutar una solicitud de la API estén disponibles en todos los hosts regionales que reciben la solicitud.

La infraestructura de AWS KMS se replica en al menos tres zonas de disponibilidad (AZ) en cada región. Para garantizar que los errores de varios hosts no afecten al rendimiento de AWS KMS, AWS KMS está diseñado para atender el tráfico de clientes de cualquiera de las zonas de disponibilidad de una región.

Los cambios realizados en las propiedades o permisos de una clave de KMS se replican en todos los hosts de la región para garantizar que cualquier host de la región pueda procesar de manera correcta la solicitud posterior. Solicitudes de operaciones criptográficas mediante el uso de la clave de KMS se reenvían a una flota de módulos de seguridad de hardware (HSM) de AWS KMS, cualquiera de los cuales puede realizar la operación con la clave de KMS.

Diseño de varios inquilinos

El diseño de varios inquilinos de AWS KMS permite cumplir el SLA de disponibilidad del 99,999 % y mantener altas tasas de solicitudes, al tiempo que protege la confidencialidad de las claves y los datos.

Se implementan varios mecanismos de cumplimiento de la integridad para garantizar que la clave de KMS especificada para la operación criptográfica sea siempre la que se utiliza.

El material de clave de texto sin formato para las claves de KMS está ampliamente protegido. El material de clave se cifra en el HSM tan pronto como se crea y el material de clave cifrado se mueve de inmediato al almacenamiento seguro y de baja latencia. La clave cifrada se recupera y se descifra dentro del HSM justo a tiempo para su uso. La clave de texto sin formato permanece en la memoria HSM solo durante el tiempo necesario para completar la operación criptográfica. Luego se vuelve a cifrar en el HSM y la clave cifrada se devuelve al almacenamiento. El material de claves de texto sin formato nunca sale de los HSM; nunca se escribe en un almacenamiento persistente.

Prácticas recomendadas de resiliencia en AWS KMS

Para optimizar la resiliencia de los recursos de AWS KMS, tenga en cuenta las siguientes estrategias.

  • Para respaldar la estrategia de copia de seguridad y recuperación de desastres, considere las claves de varias regiones, que son claves de KMS creadas en una Región de AWS y se replican solo en las regiones que especifique. Con claves de varias regiones, puede mover los recursos cifrados entre Regiones de AWS (dentro de la misma partición) sin exponer nunca el texto sin formato y descifrar el recurso, cuando sea necesario, en cualquiera de las regiones de destino. Las claves de varias regiones relacionadas son interoperables porque comparten el mismo material de clave y el mismo ID de clave, pero tienen políticas de clave independientes para el control de acceso de alta resolución. Para obtener más información, consulte Claves de varias regiones en AWS KMS.

  • Para proteger las claves en un servicio de varios inquilinos, como AWS KMS, asegúrese de utilizar los controles de acceso, incluidos políticas de claves y las políticas de IAM. Además, puede enviar las solicitudes a AWS KMS mediante un punto de conexión de interfaz de VPC basado en AWS PrivateLink. Cuando lo hace, toda la comunicación entre la VPC de Amazon y AWS KMS se lleva a cabo completamente dentro de la red de AWS mediante un punto de conexión de AWS KMS dedicado y restringido a la VPC. Puede proteger aún más estas solicitudes al crear una capa de autorización adicional mediante políticas de punto de conexión de VPC. Para obtener más información, consulte Conexión a AWS KMS mediante un punto de conexión de VPC.