As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Introdução aos detalhes criptográficos de AWS KMS
<a name="intro"></a>

AWS Key Management Service (AWS KMS) fornece uma interface web para gerar e gerenciar chaves criptográficas e opera como um provedor de serviços criptográficos para proteger dados. AWS KMS oferece serviços tradicionais de gerenciamento de chaves integrados aos AWS serviços para fornecer uma visão consistente das chaves dos clientes AWS, com gerenciamento e auditoria centralizados. Este whitepaper fornece uma descrição detalhada das operações criptográficas do AWS KMS para ajudá-lo a avaliar os recursos oferecidos pelo serviço.

AWS KMS [inclui uma interface web por meio da Console de gerenciamento da AWS interface de linha de comando e operações de RESTful API para solicitar operações criptográficas de uma frota distribuída de módulos de segurança de hardware validados pelo FIPS 140-3 () [HSMs1].](kms-bibliography.md#fips-hsms) O AWS KMS HSM é um dispositivo criptográfico de hardware autônomo com vários chips projetado para fornecer funções criptográficas dedicadas para atender aos requisitos de segurança e escalabilidade do. AWS KMS Você pode estabelecer sua própria hierarquia criptográfica baseada em HSM sob chaves gerenciadas como AWS KMS keys. Essas chaves são disponibilizadas somente no HSMs e somente na memória pelo tempo necessário para processar sua solicitação criptográfica. Você pode criar várias chaves KMS, cada uma representada por seu ID de chave. Somente nas funções e contas AWS do IAM administradas por cada cliente, as chaves KMS do cliente podem ser criadas, excluídas ou usadas para criptografar, descriptografar, assinar ou verificar dados. Você pode definir controles de acesso sobre quem pode gerenciar and/or o uso de chaves KMS criando uma política anexada à chave. Essas políticas permitem que você defina usos específicos de aplicação para suas chaves para cada operação de API.

Além disso, a maioria dos AWS serviços oferece suporte à criptografia de dados em repouso usando chaves KMS. Esse recurso permite que os clientes controlem como e quando AWS os serviços podem acessar dados criptografados, controlando como e quando as chaves KMS podem ser acessadas. 

![\[AWS KMS arquitetura.\]](http://docs.aws.amazon.com/pt_br/kms/latest/cryptographic-details/images/KMS-Architecture.png)


AWS KMS é um serviço hierárquico que consiste em AWS KMS hosts voltados para a web e um nível de. HSMs O agrupamento desses hosts em camadas forma a AWS KMS pilha. Todas as solicitações AWS KMS devem ser feitas pelo protocolo Transport Layer Security (TLS) e terminar em um AWS KMS host. AWS KMS [os hosts só permitem TLS com um conjunto de cifras que fornece sigilo direto perfeito.](http://dx.doi.org/10.6028/NIST.SP.800-52r2) AWS KMS autentica e autoriza suas solicitações usando os mesmos mecanismos de credenciais e políticas do AWS Identity and Access Management (IAM) que estão disponíveis para todas as outras AWS operações de API.

# Conceitos básicos
<a name="basic-concepts"></a>

Aprender alguns termos e conceitos básicos ajudará você a aproveitar ao máximo AWS Key Management Service. 

**AWS KMS key**  
AWS KMS está substituindo o termo *chave mestra do cliente (CMK)* por uma *AWS KMS key*chave *KMS.* O conceito não mudou. Para evitar alterações significativas, AWS KMS está mantendo algumas variações desse termo.
Uma chave lógica que representa o topo da hierarquia de chaves. Uma chave do KMS recebe um nome do recurso da Amazon (ARN) que inclui um identificador de chave exclusivo ou ID de chave. AWS KMS keys têm três tipos:  
+ **Chave do cliente:** os clientes criam e controlam o ciclo de vida e as principais políticas de chaves gerenciadas pelo cliente. Todas as solicitações feitas com base nessas chaves são registradas como CloudTrail eventos.
+ **Chaves gerenciadas pela AWS**— AWS cria e controla o ciclo de vida e as principais políticas de Chaves gerenciadas pela AWS, que são recursos do cliente. Conta da AWS Os clientes podem visualizar políticas e CloudTrail eventos de acesso Chaves gerenciadas pela AWS, mas não podem gerenciar nenhum aspecto dessas chaves. Todas as solicitações feitas com base nessas chaves são registradas como CloudTrail eventos.
+ **Chaves pertencentes à AWS**— Essas chaves são criadas e usadas exclusivamente AWS para operações internas de criptografia em diferentes AWS serviços. Os clientes não têm visibilidade das principais políticas ou do Chave pertencente à AWS uso em CloudTrail.

**Alias**  
Um nome fácil de usar que está associado a uma chave do KMS. O alias pode ser usado de forma intercambiável com o ID da chave em muitas das operações da API. AWS KMS 

**Permissões**  
Uma política anexada a uma chave KMS que define permissões na chave. A política padrão permite que todos os principais que você defina, além de permitir que eles adicionem políticas do IAM que façam referência Conta da AWS à chave.

**Concessões**  
A permissão delegada para usar uma chave KMS quando os principais do IAM pretendidos ou a duração do uso não é conhecida no início e, portanto, não pode ser adicionada a uma chave ou política do IAM. Um dos usos das concessões é definir permissões com escopo reduzido sobre como um AWS serviço pode usar uma chave KMS. O serviço pode precisar usar sua chave para fazer trabalho assíncrono em seu nome em dados criptografados na ausência de uma chamada de API com assinatura direta sua.

**Chaves de dados**  
Chaves criptográficas geradas em HSMs, protegidas por uma chave KMS. AWS KMS permite que entidades autorizadas obtenham chaves de dados protegidas por uma chave KMS. Elas podem ser retornadas como chaves de dados de texto simples (não criptografadas) e como chaves de dados criptografadas. As chaves de dados podem ser simétricas ou assimétricas (com o retorno das partes públicas e privadas).

**Texto cifrado**  
A saída criptografada do AWS KMS, às vezes chamada de texto cifrado do cliente, para eliminar a confusão. O texto cifrado contém dados criptografados com informações adicionais que identificam a chave KMS a ser usada no processo de descriptografia. As chaves de dados criptografados são um exemplo comum de texto cifrado produzido ao usar uma chave KMS, mas quaisquer dados com tamanho inferior a 4 KB podem ser criptografados sob uma chave KMS para produzir um texto cifrado.

**Contexto de criptografia**  
Um mapa de pares de chave-valor de informações adicionais associadas AWS KMS a informações protegidas. AWS KMS usa criptografia autenticada para proteger as chaves de dados. O contexto de criptografia é incorporado ao AAD da criptografia autenticada em textos cifrados AWS KMS—criptografados. Essas informações de contexto são opcionais e não são retornadas ao solicitar uma chave (ou uma operação de criptografia). Mas se for usado, esse valor de contexto é necessário para concluir com êxito uma operação de descriptografia. Um uso pretendido do contexto de criptografia é fornecer informações adicionais autenticadas. Essas informações podem ajudar você a aplicar políticas e a serem incluídas nos AWS CloudTrail registros. Por exemplo, você pode usar um par chave-valor de \$1"key name":"satellite uplink key"\$1 para nomear a chave de dados. O uso subsequente da chave cria uma AWS CloudTrail entrada que inclui “nome da chave”: “chave de uplink de satélite”. Essas informações adicionais podem fornecer um contexto útil para entender por que uma determinada chave KMS foi usada.

**Chave pública**  
Ao usar cifras assimétricas (RSA ou curva elíptica), a chave pública é o “componente público” de um par de chaves público-privadas. A chave pública pode ser compartilhada e distribuída para entidades que precisam criptografar dados para o proprietário do par de chaves público-privadas. Para operações de assinatura digital, a chave pública é usada para verificar a assinatura.

**Chave privada**  
Ao usar cifras assimétricas (RSA ou curva elíptica), a chave privada é o “componente privado” de um par de chaves público-privadas. A chave privada é usada para descriptografar dados ou criar assinaturas digitais. Semelhante às chaves KMS simétricas, as chaves privadas são criptografadas em. HSMs Elas são descriptografadas somente na memória de curto prazo do HSM e somente pelo tempo necessário para processar sua solicitação criptográfica.

# AWS KMS metas de design
<a name="design-goals"></a>

AWS KMS foi projetado para atender aos seguintes requisitos.

**Durabilidade**  
A durabilidade das chaves criptográficas foi projetada para ser igual à dos serviços de maior durabilidade em AWS. Uma única chave criptográfica pode criptografar grandes volumes dos seus dados acumulados ao longo de um longo período de tempo. 

**Confiável**  
O uso de chaves é protegido por políticas de controle de acesso que você define e gerencia. Não há mecanismo para exportar chaves KMS de texto simples. A confidencialidade das suas chaves criptográficas é crucial. Vários funcionários da Amazon com acesso específico por função aos controles de acesso baseados em quórum são obrigados a realizar ações administrativas no. HSMs 

**Baixa latência e alto throughput**  
AWS KMS fornece operações criptográficas em níveis de latência e taxa de transferência adequados para uso por outros serviços em. AWS

**Regiões independentes**  
AWS fornece regiões independentes para clientes que precisam restringir o acesso aos dados em diferentes regiões. O uso da chave pode ser isolado dentro de um Região da AWS.

**Fonte segura de números aleatórios**  
Como a criptografia forte depende da geração de números aleatórios verdadeiramente imprevisíveis, o AWS KMS fornece uma fonte de alta qualidade e validada de números aleatórios. 

**Auditoria**  
AWS KMS registra o uso e o gerenciamento de chaves criptográficas em AWS CloudTrail registros. Você pode usar AWS CloudTrail registros para inspecionar o uso de suas chaves criptográficas, incluindo o uso de chaves por AWS serviços em seu nome.

Para atingir esses objetivos, o AWS KMS sistema inclui um conjunto de AWS KMS operadores e operadores de hospedagem de serviços (coletivamente, “operadores”) que administram “domínios”. Um domínio é um conjunto de AWS KMS servidores e operadores definidos regionalmente. HSMs Cada AWS KMS operador tem um token de hardware que contém um par de chaves pública e privada que é usado para autenticar suas ações. Eles HSMs têm um par adicional de chaves públicas e privadas para estabelecer chaves de criptografia que protejam a sincronização do estado do HSM.

Este paper ilustra como AWS KMS protege suas chaves e outros dados que você deseja criptografar. Neste documento, as chaves de criptografia ou os dados que você deseja criptografar são chamados de “segredos” ou “material secreto”.