As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS KMS key hierarquia
Sua hierarquia de chaves começa com uma chave lógica de nível superior, uma. AWS KMS key Uma chave KMS representa um contêiner para o material de chave de nível superior e é definida exclusivamente dentro do namespace de serviço AWS com um Nome do Recurso Amazon (ARN). O ARN inclui um identificador de chave gerado exclusivamente, um ID de chave. Uma chave KMS é criada com base em uma solicitação iniciada pelo usuário por meio de. AWS KMS Após a recepção, AWS KMS solicita a criação de uma chave de apoio inicial do HSM (HBK) para ser colocada no contêiner da chave KMS. O HBK é gerado em um HSM no domínio e foi projetado para nunca ser exportado do HSM em texto simples. Em vez disso, o HBK é exportado criptografado em chaves de domínio gerenciadas por HSM. Esses exportados HBKs são chamados de tokens de chave exportados ()EKTs.
O EKT é exportado para um armazenamento altamente durável e de baixa latência. Por exemplo, suponha que você receba um ARN para a chave KMS lógica. Para você, isso representa o topo de uma hierarquia de chaves, ou contexto criptográfico. Você pode criar várias chaves KMS em sua conta e definir políticas para suas chaves KMS como qualquer outro recurso AWS nomeado.
Dentro da hierarquia de uma chave KMS específica, o HBK pode ser considerado uma versão da chave KMS. Quando você deseja alternar a chave KMS AWS KMS, um novo HBK é criado e associado à chave KMS como o HBK ativo para a chave KMS. Os mais antigos HBKs são preservados e podem ser usados para descriptografar e verificar dados previamente protegidos. Mas somente a chave criptográfica ativa pode ser usada para proteger novas informações.
Você pode fazer solicitações AWS KMS para usar suas chaves KMS para proteger diretamente as informações ou solicitar chaves adicionais geradas pelo HSM que estejam protegidas por sua chave KMS. Essas chaves são chamadas de chaves de dados do cliente ou CDKs. CDKs pode ser retornado criptografado como texto cifrado (CT), em texto simples ou ambos. Todos os objetos criptografados em uma chave KMS (dados fornecidos pelo cliente ou chaves geradas pelo HSM) só podem ser descriptografados em um HSM por meio de uma chamada. AWS KMS
O texto cifrado retornado, ou a carga útil descriptografada, nunca é armazenado nele. AWS KMS As informações são retornadas a você através da sua conexão TLS com o AWS KMS. Isso também se aplica às chamadas feitas pelos AWS serviços em seu nome.
A hierarquia de chaves e as propriedades específicas de chave aparecem na tabela a seguir.
| Chave | Descrição | Ciclo de vida |
|---|---|---|
|
Chave de domínio |
Uma chave AES-GCM de 256 bits somente na memória de um HSM usado para quebrar versões das chaves KMS, as chaves de reserva HSM. |
Alternado diariamente1 |
|
Chave de reserva HSM |
Uma chave simétrica de 256 bits ou chave privada RSA ou curva elíptica, usada para proteger dados e chaves do cliente e armazenada criptografada sob chaves de domínio. Uma ou mais chaves de apoio HSM formam a chave KMS, representada pelo keyID. |
Alternadas anualmente2 (configuração opcional) |
|
Chave de criptografia derivada |
Uma chave AES-GCM de 256 bits somente na memória de um HSM usado para criptografar dados e chaves do cliente. Derivado de um HBK para cada criptografia. |
Usado uma vez por criptografia e regenerado ao descriptografar |
|
Chave de dados do cliente |
Chave simétrica ou assimétrica definida pelo usuário exportada do HSM em texto simples e texto cifrado. Criptografado com uma chave de reserva HSM e retornado aos usuários autorizados pelo canal TLS. |
Alternância e uso controlados por aplicação |
De tempos em tempos, é AWS KMS possível reduzir a rotação da chave de domínio para, no máximo, uma vez por semana, para contabilizar as tarefas de administração e configuração do domínio.
2 Os padrões Chaves gerenciadas pela AWS criados e gerenciados por AWS KMS em seu nome são alternados automaticamente anualmente.
