Proteger o material de chave importada
O material de chave importada é protegido em trânsito e em repouso. Antes de importar o material da chave, criptografe (ou “empacote”) o material da chave com a chave pública de um par de chaves RSA gerado em módulos de segurança de hardware (HSMs) do AWS KMS validados pelo Programa de Validação do Módulo Criptográfico FIPS 140-3
Após o recebimento, o AWS KMS descriptografa o material da chave com a chave privada correspondente em um HSM do AWS KMS e o recriptografa sob uma chave simétrica AES que existe somente na memória volátil do HSM. O material de chave nunca sai do HSM em texto sem formatação. Ele é descriptografado somente enquanto está em uso e somente dentro dos HSMs do AWS KMS.
O uso da chave do KMS com material de chave importado é determinado exclusivamente pelas políticas de controle de acesso que você define na chave do KMS. Além disso, é possível usar aliases e tags para identificar e controlar o acesso à chave do KMS. É possível habilitar e desabilitar a chave, visualizar e monitorar a chave usando serviços como o AWS CloudTrail.
No entanto, você mantém a única cópia à prova de falhas do seu material de chave. Em troca desta medida adicional de controle, você é responsável pela durabilidade e disponibilidade gerais do material de chaves. O AWS KMS foi projetado para manter o material de chaves importado altamente disponível. No entanto, o AWS KMS não mantém a durabilidade do material de chave importada no mesmo nível que o material de chave gerado pelo AWS KMS.
Essa diferença em durabilidade é importante nos seguintes casos:
-
Ao definir um tempo de validade para o material de chave importado, o AWS KMS exclui esse material depois que ele expira. O AWS KMS não exclui a chave do KMS ou seus metadados. Você pode criar um alarme do Amazon CloudWatch que envia uma notificação quando o material de chaves importado estiver se aproximando da data de expiração.
Não é possível excluir o material de chave gerado pelo AWS KMS para uma chave do KMS nem definir o material de chave do AWS KMS para expirar.
-
Quando você exclui manualmente o material de chave importado, o AWS KMS exclui esse material, mas não exclui a chave do KMS ou seus metadados. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após o qual o AWS KMS exclui permanentemente a chave do KMS, seus metadados e o material de chave.
-
No improvável evento de determinadas falhas regionais afetarem o AWS KMS (tais como uma queda de energia), o AWS KMS não poderá restaurar automaticamente seu material de chave importado. No entanto, o AWS KMS pode restaurar a chave do KMS e os seus metadados.
É necessário reter uma cópia do material de chave importada fora da AWS em um sistema controlado por você. Recomendamos armazenar uma cópia exportável do material de chave importado em um sistema de gerenciamento de chaves, como um HSM. Como prática recomendada, você deve armazenar uma referência ao ARN da chave do KMS e ao ID do material de chave gerado pelo AWS KMS junto com a cópia exportável do material de chave. Se o material de chave importado for excluído ou expirar, a chave do KMS associada se tornará inutilizável até que você reimporte o mesmo material de chave. Se o material de chave importada for perdido permanentemente, todo texto cifrado criptografado sob a chave do KMS será irrecuperável.
Importante
As chaves de criptografia simétrica de região única podem ter vários materiais de chave associados a elas. A chave do KMS inteira se torna inutilizável assim que você exclui qualquer um desses materiais de chave ou se algum desses materiais de chave expirar (a menos que o material de chave excluído ou expirado esteja em PENDING_ROTATION). Você deve reimportar qualquer material de chave expirado ou excluído associado a essa chave antes que a chave se torne utilizável para operações criptográficas.
