Resiliência no AWS Key Management Service - AWS Key Management Service
Isolamento regionalDesign de vários locatáriosPráticas recomendadas de resiliência no AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Resiliência no AWS Key Management Service

A infraestrutura global da AWS se baseia em Regiões da AWS e zonas de disponibilidade. A Regiões da AWS oferece várias zonas de disponibilidade separadas e isoladas fisicamente que são conectadas com baixa latência, altas taxas de throughput e em redes altamente redundantes. Com as Zonas de Disponibilidade, é possível projetar e operar aplicações e bancos de dados que executem o failover automaticamente entre as Zonas de Disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

Além da infraestrutura global da AWS, o AWS KMS oferece vários atributos para ajudar a oferecer suporte às suas necessidades de resiliência de dados e backup. Para obter mais informações sobre Regiões da AWS e zonas de disponibilidade, consulte Infraestrutura global da AWS.

Isolamento regional

O AWS Key Management Service (AWS KMS) é um serviço regional autossustentável que está disponível em todas as Regiões da AWS. O design regionalmente isolado do AWS KMS garante que um problema de disponibilidade em uma Região da AWS não possa afetar a operação do AWS KMS em nenhuma outra região. O AWS KMS foi projetado para garantir zero de tempo de inatividade planejada, com todas as atualizações de software e operações de dimensionamento realizadas de maneira impecável e imperceptível.

O Acordo de Serviço (SLA) do AWS KMS inclui um compromisso de serviço de 99,999% para todas as APIs do KMS. Para cumprir esse compromisso, o AWS KMS garante que todos os dados e informações de autorização necessários para executar uma solicitação de API estejam disponíveis em todos os hosts regionais que recebem a solicitação.

A infraestrutura do AWS KMS é replicada em pelo menos três zonas de disponibilidade (AZ) em cada região. Para garantir que várias falhas de host não afetem a performance do AWS KMS, o AWS KMS foi projetado para atender ao tráfego de clientes de qualquer uma das AZs em uma região.

As alterações feitas nas propriedades ou permissões de uma chave do KMS são replicadas para todos os hosts na região a fim de garantir que a solicitação subsequente possa ser processada corretamente por qualquer host na região. Solicitações de operações criptográficas usando sua chave do KMS são encaminhadas para uma frota de hardware security modules (HSM – Módulo de segurança de hardware) do AWS KMS, e qualquer um deles pode executar a operação com a chave do KMS.

Design de vários locatários

O design de vários locatários do AWS KMS permite que o serviço cumpra o SLA de 99,999% de disponibilidade e mantenha altas taxas de solicitação enquanto protege a confidencialidade de suas chaves e dados.

Há vários mecanismos de imposição de integridade implantados para garantir que a chave do KMS especificada para a operação criptográfica sempre seja a chave usada.

O material da chave em texto não criptografado para suas chaves do KMS é extensivamente protegido. Assim que é criado, o material da chave é criptografado no HSM e o material de chave criptografado é imediatamente movido para armazenamento seguro e de baixa latência. A chave criptografada é recuperada e descriptografada no HSM no momento do uso. A chave em texto não criptografado permanece na memória do HSM apenas pelo tempo necessário para a conclusão da operação criptográfica. Em seguida, ela é criptografada novamente no HSM e a chave criptografada é devolvida para o armazenamento. O material de chave em texto não criptografado nunca deixa os HSMs e nunca é gravado no armazenamento persistente.

Práticas recomendadas de resiliência no AWS KMS

Considere o uso das seguintes estratégias para otimizar a resiliência de seus recursos do AWS KMS.

  • Para apoiar sua estratégia de backup e recuperação de desastres, considere o uso de chaves de várias regiões, que são chaves do KMS criadas em uma Região da AWS e replicadas somente para regiões que você especifica. Com chaves de várias regiões, você pode mover recursos criptografados entre Regiões da AWS (dentro da mesma partição) sem nunca expor o texto não criptografado, e, quando necessário, descriptografar o recurso em qualquer uma de suas regiões de destino. As chaves de várias regiões relacionadas são interoperáveis porque compartilham o mesmo material de chave e ID de chave, mas têm políticas independentes de chave para controle de acesso em alta resolução. Para obter detalhes, consulte Chaves de várias regiões em AWS KMS.

  • Para proteger suas chaves em um serviço de vários locatários como o AWS KMS, certifique-se de usar controles de acesso, incluindo políticas de chaves e políticas do IAM. Além disso, você pode enviar suas solicitações para o AWS KMS usando um endpoint de interface de VPC habilitado pelo AWS PrivateLink. Se você fizer isso, toda a comunicação entre seu Amazon VPC e o AWS KMS será realizada inteiramente na rede da AWS usando um endpoint dedicado do AWS KMS restrito à sua VPC. É possível proteger adicionalmente essas solicitações criando uma camada adicional de autorização usando políticas de endpoint da VPC. Para obter mais detalhes, consulte Conectar-se ao AWS KMS por meio de um endpoint da VPC.