Chiamata CreateKey - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Chiamata CreateKey

An AWS KMS key viene generato come risultato di una chiamata alla chiamata CreateKeyAPI.

Di seguito è riportato un sottoinsieme della sintassi della richiesta da CreateKey.

{
  "Description": "string",
  "KeySpec": "string",
  "KeyUsage": "string",
  "Origin": "string";
  "Policy": "string"
}

La richiesta accetta i seguenti dati in formato JSON.

Descrizione

(Facoltativo) Descrizione della chiave. Si consiglia di scegliere una descrizione che consenta di decidere se la chiave è appropriata per una determinata attività.

KeySpec

Specifica il tipo di chiave KMS da creare. Il valore predefinito, SYMMETRIC_DEFAULT, crea una chiave KMS di crittografia simmetrica. Questo parametro è facoltativo per le chiavi di crittografia simmetrica e richiesto per tutte le altre specifiche di chiave.

KeyUsage

Specifica l'utilizzo della chiave. I valori validi sono ENCRYPT_DECRYPT, SIGN_VERIFY o GENERATE_VERIFY_MAC. Il valore predefinito è ENCRYPT_DECRYPT. Questo parametro è facoltativo per le chiavi di crittografia simmetrica e richiesto per tutte le altre specifiche di chiave.

Origin

(Facoltativo) Specifica l’origine del materiale chiave della chiave KMS. Il valore predefinito èAWS_KMS, che indica che AWS KMS genera e gestisce il materiale chiave per la chiave KMS. Altri valori validi includonoEXTERNAL, che rappresenta una chiave KMS creata senza materiale chiave per il materiale chiave importato e AWS_CLOUDHSM che crea una chiave KMS in un archivio chiavi personalizzato supportato da un AWS CloudHSM cluster controllato dall'utente.

Policy

(Facoltativo) Policy da collegare alla chiave. Se la policy viene omessa, la chiave viene creata con la policy di predefinita (seguente) che consente all'account root e i principali IAM con autorizzazioni AWS KMS di gestirla.

Per i dettagli della policy, consulta Policy delle chiavi in AWS KMS e Policy della chiave predefinita nella Guida per gli sviluppatori di AWS Key Management Service .

La richiesta CreateKey restituisce una risposta che include una chiave ARN.

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Se Origin è AWS_KMS, dopo aver creato l'ARN, viene effettuata una richiesta a un HSM AWS KMS su una sessione autenticata per eseguire il provisioning del materiale della chiave (HBK) del modulo di sicurezza hardware (HSM). L'HBK è una chiave a 256 bit associata a questo ID della chiave KMS. Può essere generata solo su un HSM ed è progettata per non essere mai esportata al di fuori del limite HSM in chiaro. L'HBK è crittografato con la chiave di dominio corrente, DK0. Questi token crittografati HBKs sono denominati token a chiave crittografata (). EKTs Sebbene HSMs possano essere configurati per utilizzare una varietà di metodi di key wrapping, l'attuale implementazione utilizza AES-256 in Galois Counter Mode (GCM), uno schema di crittografia autenticato. Questa modalità di crittografia autenticata consente di proteggere alcuni metadati dei token delle chiavi esportate in cleartext.

Questo è rappresentato stilisticamente come:

EKT = Encrypt(DK0, HBK)

Alle chiavi KMS e alle successive vengono fornite due forme fondamentali di protezione HBKs: le politiche di autorizzazione impostate sulle chiavi KMS e le protezioni crittografiche sulle relative chiavi. HBKs Le sezioni rimanenti descrivono le protezioni crittografiche e la sicurezza delle funzioni di gestione in. AWS KMS

Oltre all'ARN, è possibile creare un nome significativo e associarlo alla chiave KMS creando un alias per la chiave. Una volta che un alias è stato associato a una chiave KMS, l'alias può essere utilizzato per identificare la chiave KMS nelle operazioni di crittografia. Per ulteriori informazioni, consulta Using aliases (Utilizzo di alias) nella Guida per lo sviluppatore di AWS Key Management Service .

L'uso delle chiavi KMS è correlato a più livelli di autorizzazioni. AWS KMS abilita politiche di autorizzazione separate tra il contenuto crittografato e la chiave KMS. Ad esempio, un oggetto Amazon Simple Storage Service (Amazon S3) crittografato con envelope AWS KMS eredita la policy sul bucket Amazon S3. Tuttavia, l'accesso alla chiave di crittografia necessaria è determinato dalla policy di accesso sulla chiave KMS. Per informazioni sull'autorizzazione delle chiavi KMS, consulta Autenticazione e controllo degli accessi per AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .