Chiavi gestite dal cliente Chiavi gestite da AWS Chiavi di proprietà di AWS AWS KMS key gerarchia Identificatori chiave () KeyId

AWS KMS keys

Le chiavi KMS create e gestite per essere utilizzate nelle vostre applicazioni crittografiche sono di un tipo noto come chiavi gestite dal cliente. Le chiavi gestite dal cliente possono essere utilizzate anche in combinazione con AWS servizi che utilizzano le chiavi KMS per crittografare i dati archiviati dal servizio per conto dell'utente. Le chiavi gestite dal cliente sono consigliate ai clienti che desiderano il pieno controllo sul ciclo di vita e sull'utilizzo delle proprie chiavi. È previsto un costo mensile per avere una chiave gestita dal cliente nel proprio account. Inoltre, le richieste di utilizzo e/o gestione della chiave comportano un costo di utilizzo. Per maggiori dettagli, consulta la sezione AWS Key Management Service Prezzi.

Ci sono casi in cui un cliente potrebbe desiderare che un AWS servizio crittografi i propri dati, ma non vuole il sovraccarico di gestione delle chiavi e non vuole pagare per una chiave. An Chiave gestita da AWSè una chiave KMS presente nel tuo account, ma può essere utilizzata solo in determinate circostanze. In particolare, può essere utilizzata solo nel contesto del AWS servizio in cui operi e può essere utilizzata solo dai responsabili all'interno dell'account in cui esiste la chiave. Non puoi gestire nulla sul ciclo di vita o sulle autorizzazioni di queste chiavi. <service code>Come potete notare, quando utilizzate le funzionalità di crittografia nei AWS servizi Chiavi gestite da AWS, questi utilizzano un alias nel formato «aws». Ad esempio, una aws/ebs chiave può essere utilizzata solo per crittografare i volumi EBS e solo per i volumi utilizzati dai responsabili IAM nello stesso account della chiave. Pensa a una Chiave gestita da AWS che sia destinata ad essere utilizzata solo dagli utenti del tuo account per le risorse del tuo account. Non puoi condividere risorse crittografate con e Chiave gestita da AWS con altri account. Sebbene nel tuo account possa esistere gratuitamente, ogni utilizzo di questo tipo di chiave ti viene addebitato dal AWS servizio assegnato alla chiave. Chiave gestita da AWS

Chiavi gestite da AWS sono un tipo di chiave legacy che non viene più creato per nuovi AWS servizi a partire dal 2021. Invece, i AWS servizi nuovi (e legacy) utilizzano il cosiddetto «an» Chiave di proprietà di AWSper crittografare i dati dei clienti per impostazione predefinita. An Chiave di proprietà di AWS è una chiave KMS contenuta in un account gestito dal AWS servizio, in modo che gli operatori del servizio abbiano la possibilità di gestirne il ciclo di vita e le autorizzazioni di utilizzo. Grazie all'utilizzo Chiavi di proprietà di AWS, AWS i servizi possono crittografare i dati in modo trasparente e consentire una facile condivisione dei dati tra account o tra regioni diverse senza che l'utente debba preoccuparsi delle autorizzazioni chiave. Utilizzali Chiavi di proprietà di AWS per encryption-by-default carichi di lavoro che forniscono una protezione dei dati più semplice e automatizzata. Poiché queste chiavi sono possedute e gestite da AWS, non ti viene addebitato alcun costo per la loro esistenza o il loro utilizzo, non puoi modificarne le politiche, non puoi controllare le attività su queste chiavi e non puoi eliminarle. Utilizzate le chiavi gestite dal cliente quando il controllo è importante, ma usatele Chiavi di proprietà di AWS quando la praticità è più importante.

	Chiavi gestite dal cliente	Chiavi gestite da AWS	Chiavi di proprietà di AWS
Policy della chiave	Controllato esclusivamente dal cliente	Controllato dal servizio; visualizzabile dal cliente	Controllato esclusivamente e visualizzabile solo dal AWS servizio che crittografa i dati
Registrazione di log	CloudTrail percorso del cliente o datastore di eventi	CloudTrail percorso del cliente o datastore di eventi	Non visualizzabile dal cliente
Gestione del ciclo di vita	Il cliente gestisce la rotazione, l'eliminazione e l'ubicazione regionale	AWS KMS gestisce la rotazione (annuale), l'eliminazione e la sede regionale	Servizio AWS gestisce la rotazione, l'eliminazione e la posizione regionale
Prezzi	Canone mensile per l'esistenza delle chiavi (proporzionale a ora). Addebitato anche per l'utilizzo delle chiavi	Nessun canone mensile, ma al chiamante viene addebitato l'utilizzo dell'API su queste chiavi	Nessun addebito per il cliente

Le chiavi KMS create dall'utente sono chiavi gestite dal cliente. I Servizi AWS che utilizzano le chiavi KMS per crittografare le risorse di servizio spesso creano le chiavi per conto dell'utente. Le chiavi KMS Servizi AWS create nel tuo AWS account sono Chiavi gestite da AWS. Le chiavi KMS che vengono Servizi AWS create in un account di servizio sono. Chiavi di proprietà di AWS

Tipo di chiave KMS	Può visualizzare i metadati della chiave KMS	Può gestire la chiave KMS	Utilizzata solo per il mio Account AWS	Rotazione automatica	Prezzi
Chiave gestita dal cliente	Sì	Sì	Sì	Facoltativo.	Canone mensile (proporzionale a ora) Tariffa per uso
Chiave gestita da AWS	Sì	No	Sì	Campo obbligatorio. Ogni anno (circa 365 giorni).	Nessuna tariffa mensile Tariffa per uso (alcuni Servizi AWS pagano questa tariffa per tuo conto)
Chiave di proprietà di AWS	No	No	No	Servizio AWS Gestisce la strategia di rotazione.	Nessuna tariffa

Tipo di chiave KMS

Può visualizzare i metadati della chiave KMS

Può gestire la chiave KMS

Utilizzata solo per il mio Account AWS

Rotazione automatica

Prezzi

Chiave gestita dal cliente

Sì

Facoltativo.

Canone mensile (proporzionale a ora)

Tariffa per uso

Chiave gestita da AWS

Sì

Campo obbligatorio. Ogni anno (circa 365 giorni).

Nessuna tariffa mensile

Tariffa per uso (alcuni Servizi AWS pagano questa tariffa per tuo conto)

Chiave di proprietà di AWS

Servizio AWS Gestisce la strategia di rotazione.

Nessuna tariffa

AWS I servizi che si AWS KMS integrano con differiscono per il supporto per le chiavi KMS. Per impostazione predefinita, alcuni AWS servizi crittografano i dati con un Chiave di proprietà di AWS o un. Chiave gestita da AWS Alcuni AWS servizi supportano le chiavi gestite dal cliente. Altri AWS servizi invece supportano tutti i tipi di chiavi KMS per offrire la praticità di una Chiave di proprietà di AWS, la visibilità di una Chiave gestita da AWS o il controllo di una chiave gestita dal cliente. Per informazioni dettagliate sulle opzioni di crittografia offerte da un AWS servizio, consulta l'argomento relativo alla crittografia dei dati inattivi nella guida per l'utente o nella guida per gli sviluppatori del servizio.

Chiavi gestite dal cliente

Le chiavi KMS create dall'utente sono chiavi gestite dal cliente. Le chiavi gestite dal cliente sono chiavi KMS nell'create, possedute e gestite dall'utente. Account AWS L'utente ha il controllo completo su queste chiavi KMS, tra cui la definizione e il mantenimento delle policy chiave, delle policy IAM e delle concessioni, la loro attivazione e disattivazione, la rotazione del materiale crittografico, l'aggiunta di tag, la creazione di alias relativi alle chiavi KMS e la programmazione di chiavi KMS per l'eliminazione.

Le chiavi gestite dal cliente vengono visualizzate nella pagina chiavi gestite dal cliente della AWS Management Console per AWS KMS. Per identificare definitivamente una chiave gestita dal cliente utilizza l'DescribeKeyoperazione. Per le chiavi gestite dal cliente, il valore del campo KeyManager della risposta di DescribeKey è CUSTOMER.

Si possono utilizzare chiavi gestite dal cliente in operazioni di crittografia e verificarne l'uso nei registri AWS CloudTrail . Inoltre, molti servizi AWS che si integrano con AWS KMS consentono di specificare una chiave gestita dal cliente per proteggere i dati archiviati e gestiti per l'utente.

Le chiavi gestite dal cliente sono soggette a una tariffa mensile e a una tariffa qualora l'utilizzo superi i termini del piano gratuito. Sono conteggiati nelle AWS KMS quote per l'account. Per i dettagli, vedere le sezioni Prezzi AWS Key Management Service e Quote.

Chiavi gestite da AWS

Chiavi gestite da AWSLe sono chiavi KMS nel tuo account create, gestite e utilizzate a tuo nome da un AWS servizio integrato con AWS KMS.

Alcuni AWS servizi consentono di scegliere una Chiave gestita da AWS o una chiave gestita dal cliente per proteggere le risorse in quel determinato servizio. In generale, a meno che non sia richiesto di controllare la chiave crittografica che protegge le risorse, una Chiave gestita da AWS è una buona scelta. Non è necessario creare o mantenere la chiave o la relativa policy delle chiavi e non è mai previsto un canone mensile per una Chiave gestita da AWS.

Hai il permesso di visualizzarle Chiavi gestite da AWS nel tuo account, visualizzare le relative politiche chiave e controllarne l'utilizzo nei AWS CloudTrail log. Tuttavia, non puoi modificare le proprietà delle Chiavi gestite da AWS, ruotarle, modificarne policy delle chiavi o pianificarne l'eliminazione. Inoltre, non puoi utilizzare le direttamente Chiavi gestite da AWS nelle operazioni di crittografia; il servizio che le crea le utilizza per tuo conto.

Le politiche di controllo delle risorse dell'organizzazione non si applicano a Chiavi gestite da AWS.

Chiavi gestite da AWS appaiono nella Chiavi gestite da AWSpagina del AWS Management Console modulo AWS KMS. È inoltre possibile identificarli Chiavi gestite da AWS tramite i relativi alias che hanno il formatoaws/service-name, ad esempio. aws/redshift Per identificare definitivamente un Chiavi gestite da AWS, utilizzate l'DescribeKeyoperazione. Per le Chiavi gestite da AWS, il valore del campo KeyManager della risposta DescribeKey è AWS.

Tutte le Chiavi gestite da AWS vengono ruotate automaticamente ogni anno. Non è possibile modificare questo programma di rotazione.

Nota

A maggio 2022, AWS KMS ha modificato il programma di rotazione delle Chiavi gestite da AWS passando da ogni tre anni (circa 1.095 giorni) a ogni anno (circa 365 giorni).

Chiavi gestite da AWS Le nuove vengono ruotate automaticamente un anno dopo la loro creazione e successivamente all'incirca ogni anno.

Chiavi gestite da AWS Le esistenti vengono ruotate automaticamente un anno dopo l'ultima rotazione e successivamente ogni anno.

Non è previsto alcun canone mensile per Chiavi gestite da AWS. Possono essere soggette a tariffe se l'utilizzo supera i termini del piano gratuito, ma alcuni AWS servizi coprono questi costi per l'utente. Per informazioni dettagliate, consulta l'argomento Crittografia dei dati inattivi nella guida per l'utente o nella guida per gli sviluppatori del servizio. Per informazioni dettagliate, consulta Prezzi di AWS Key Management Service.

Chiavi gestite da AWS Le non vengono conteggiate nelle quote delle risorse per quanto riguarda il numero di chiavi KMS in ciascuna Regione dell'account. Tuttavia, quando vengono utilizzate per conto di un principale nel tuo account, le chiavi KMS vengono conteggiate ai fini delle quote di richiesta. Per informazioni dettagliate, consultare Quote.

Chiavi di proprietà di AWS

Chiavi di proprietà di AWSLe sono una raccolta di chiavi KMS che un AWS servizio possiede e gestisce per l'utilizzo in più Account AWS account. Sebbene non Chiavi di proprietà di AWS siano presenti nel tuo account Account AWS, un AWS servizio può Chiave di proprietà di AWS utilizzarlo per proteggere le risorse del tuo account.

Alcuni AWS servizi consentono di selezionare una Chiave di proprietà di AWS o una o una chiave gestita dal cliente. In generale, a meno che non sia richiesto di eseguire un audit o controllare la chiave crittografica che protegge le risorse, una Chiave di proprietà di AWS è una buona scelta. Chiavi di proprietà di AWS Le sono completamente gratuite (senza canoni mensili o costi di utilizzo), non contano ai fini delle AWS KMS quote per il tuo account e sono facili da usare. Non è necessario creare o mantenere la chiave o la relativa policy delle chiavi.

La rotazione delle Chiavi di proprietà di AWS varia a seconda dei servizi. Per informazioni sulla rotazione di un particolare Chiave di proprietà di AWS, consulta l'argomento relativo alla crittografia dei dati inattivi nella guida per l'utente o nella guida per gli sviluppatori del servizio.

AWS KMS key gerarchia

La gerarchia delle chiavi inizia con una chiave logica di primo livello, una. AWS KMS key Una chiave KMS rappresenta un container per il materiale della chiave di primo livello ed è definita in modo univoco all'interno dello spazio dei nomi del servizio AWS con un Amazon Resource Name (ARN). L'ARN include un identificatore di chiave generato in modo univoco, un ID chiave. Una chiave KMS viene creata in base a una richiesta avviata dall'utente tramite. AWS KMS Alla ricezione, AWS KMS richiede la creazione di una chiave di supporto HSM (HBK) iniziale da inserire nel container della chiave KMS. L'HBK viene generata su una HSM nel dominio ed è progettata per non essere mai esportata da HSM in testo normale. Invece, l'HBK viene esportata crittografata in chiavi di dominio gestite da HSM. Queste HBKs vengono esportate vengono definite come token di chiave esportati (). EKTs

L'EKT viene esportato in uno spazio di archiviazione altamente durevole e a bassa latenza. Si supponga, ad esempio, di ricevere un ARN per la chiave logica KMS. Questo rappresenta la parte superiore di una gerarchia di chiavi, o contesto crittografico. È possibile creare più chiavi KMS all'interno dell'account e impostare policy sulle chiavi KMS come qualsiasi altra risorsa specificata AWS .

All'interno della gerarchia di una chiave KMS specifica, l'HBK può essere considerata come una versione della chiave KMS. Quando si desidera ruotare la chiave KMS tramite AWS KMS, viene creata una nuova HBK che viene associata alla chiave KMS come HBK attiva per la chiave KMS. HBKs Le meno recenti vengono conservate e possono essere utilizzatei per decrittografare e verificare i dati precedentemente protetti. Ma solo la chiave di crittografia attiva può essere utilizzata per proteggere nuove informazioni.

È possibile effettuare richieste tramite AWS KMS per utilizzare le chiavi KMS per proteggere direttamente le informazioni o richiedere ulteriori chiavi generate da HSM protette con la chiave KMS. Queste chiavi sono chiamate chiavi dati del cliente, o CDKs. CDKs può essere restituito crittografato come testo cifrato (CT), in testo normale o con entrambe le opzioni. Tutti gli oggetti crittografati con una chiave KMS (dati forniti dal cliente o chiavi generate da HSM) possono essere decrittografati solo su una HSM tramite una chiamata con. AWS KMS

Il testo cifrato restituito, o il payload decrittografato, non viene mai memorizzato all'interno di. AWS KMS Le informazioni vengono restituite tramite la connessione TLS a AWS KMS. Questo vale anche per le chiamate effettuate dai AWS servizi per tuo conto.

La gerarchia delle chiavi e le proprietà della chiave specifiche vengono visualizzate nella tabella seguente.

Chiave	Descrizione	Ciclo di vita
Chiave di dominio	Una chiave AES-GCM a 256 bit solo in memoria di un HSM utilizzato per avvolgere le versioni delle chiavi KMS, le chiavi di supporto HSM.	Rotazione giornaliera¹
Materiale della chiave HSM	Una chiave simmetrica a 256 bit o RSA o chiave privata della curva ellittica, utilizzata per proteggere i dati e le chiavi dei clienti e archiviata crittografata con le chiavi di dominio. Una o più chiavi di supporto HSM comprendono la chiave KMS, rappresentata da keyId.	Rotazione annuale² (config. facoltativa)
Chiave di crittografia derivata	Una chiave AES-GCM a 256 bit solo in memoria di un HSM utilizzato per crittografare i dati e le chiavi dei clienti. Derivato da una HBK per ogni crittografia.	Usato una volta per crittografare e rigenerato sulla decrittografia
Chiave dei dati del cliente	Chiave simmetrica o asimmetrica definita dall'utente esportata da HSM in testo normale e cifrato. Crittografata con una chiave di supporto HSM e restituita agli utenti autorizzati sul canale TLS.	Rotazione e utilizzo controllati dall'applicazione

¹ di tanto in tanto AWS KMS potrebbe ridurre la rotazione delle chiavi di dominio al massimo a una settimana per tenere conto delle attività di amministrazione e configurazione del dominio.

² Le di default Chiavi gestite da AWS create e gestite da per tuo AWS KMS conto vengono ruotate ogni anno.

Identificatori chiave () KeyId

Gli identificatori delle chiavi fungono da nomi per le tue chiavi KMS. Consentono di riconoscere le chiavi KMS nella console. Puoi utilizzarli per indicare quali chiavi KMS vuoi utilizzare nelle operazioni API AWS KMS , nelle policy chiave, nelle policy IAM e nelle concessioni. Gli identificatori delle chiavi non sono in alcun modo correlati al materiale chiave associato alla chiave KMS.

AWS KMS definisce vari identificatori di chiave. Quando crei una chiave KMS, AWS KMS genera un ARN di chiave e un ID chiave, che sono proprietà della chiave KMS. Quando crei un alias, AWS KMS genera un ARN dell'alias in base al nome alias definito da te. È possibile visualizzare la chiave e gli identificatori dell'alias nella AWS Management Console e nell' AWS KMS API.

Nella AWS KMS console puoi visualizzare e filtrare le chiavi KMS in base all'ARN di chiave, all'ID chiave o al nome alias ed eseguire l'ordinamento per ID chiave e nome alias. Per informazioni su come individuare gli identificatori della chiave nella console, consulta Trova l'ID della chiave e l'ARN della chiave.

Nell' AWS KMS API, i parametri utilizzati per identificare una chiave KMS hanno un nome KeyId o una variante, ad esempio o. TargetKeyId DestinationKeyId Tuttavia, i valori di tali parametri non sono limitati alla chiave IDs. Alcuni possono prendere qualsiasi identificatore di chiave valido. Per informazioni sui valori di ciascun parametro, consulta la descrizione dei parametri nella documentazione di riferimento dell' AWS Key Management Service API.

Nota

Quando utilizzi l' AWS KMS API, presta attenzione all'identificatore della chiave utilizzato. Diverse APIs richiedono identificatori di chiave diversi. In generale, utilizza l'identificatore di chiave più completo e pratico per il processo.

AWS KMS supporta i seguenti identificatori di chiave.

ARN della chiave

L'ARN di chiave è il nome della risorsa Amazon (ARN) di una chiave KMS. Si tratta di un identificatore univoco e completo per la chiave KMS. Un ARN della chiave include l' Account AWS, la Regione e l'ID chiave. Per informazioni su come individuare l'ARN di una chiave KMS, consulta Trova l'ID della chiave e l'ARN della chiave.

Il formato di un ARN della chiave è il seguente:


arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Di seguito è riportato un esempio di ARN della chiave per una chiave KMS per una singola Regione.


arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

L'key-idelemento della chiave ARNs delle chiavi multiregionali inizia con il mrk- prefisso. Di seguito è riportato un esempio di ARN della chiave per una chiave KMS in più Regioni.


arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

ID chiave

L'ID chiave identifica in modo univoco una chiave KMS all'interno di un account e di una Regione. Per informazioni su come individuare l'ID chiave di una chiave KMS, consulta Trova l'ID della chiave e l'ARN della chiave.

Di seguito è riportato un esempio di ID chiave per una chiave KMS per una singola Regione.


1234abcd-12ab-34cd-56ef-1234567890ab

La chiave IDs delle chiavi multiregionali inizia con il prefisso. mrk- Di seguito è riportato un esempio di ARN della chiave per una chiave KMS in più Regioni.


mrk-1234abcd12ab34cd56ef1234567890ab

ARN dell'alias

L'ARN dell'alias è l'Amazon Resource Name (ARN) di un alias. AWS KMS Si tratta di un identificatore univoco e completo per l'alias e per la chiave KMS che rappresenta. Un ARN dell'alias include Account AWS l', la Regione e il nome alias.

In qualsiasi momento, un ARN di alias identifica una particolare chiave KMS. Tuttavia, poiché puoi modificare la chiave KMS associata all'alias, l'ARN di alias può identificare chiavi KMS diverse in momenti diversi. Per informazioni su come individuare l'ARN di alias di una chiave KMS, consulta Trova il nome dell'alias e l'alias ARN per una chiave KMS.

Il formato di un ARN dell'alias è il seguente:


arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Di seguito è riportato l'ARN dell'alias per un ExampleAlias fittizio.


arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

Nome alias

Il nome alias è una stringa di massimo 256 caratteri. Il nome alias identifica in modo univoco una chiave KMS associata all'interno di un account e di una regione. Nell' AWS KMS API, i nomi degli alias iniziano sempre conalias/. Per informazioni sulla ricerca del nome dell'alias di una chiave KMS, consulta Trova il nome dell'alias e l'alias ARN per una chiave KMS.

Il formato di un nome alias è il seguente:


alias/<alias-name>

Ad esempio:


alias/ExampleAlias

Il prefisso aws/ di un nome alias è riservato alle Chiavi gestite da AWS. Non è possibile creare un alias con questo prefisso. Ad esempio, il nome alias della Chiave gestita da AWS per Amazon Simple Storage Service (Amazon S3) è il seguente.


alias/aws/s3

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concetti

Chiavi asimmetriche