Funções
O KMS é um serviço de nuvem seguro, confiável e fácil de usar que ajuda os usuários a criar, gerenciar e proteger chaves de maneira centralizada.
Ele usa módulos de segurança de hardware (HSMs) para proteger as chaves. Todas as CMKs são protegidas por chaves raiz nos HSMs para evitar vazamento de chaves.
Ele também controla o acesso a chaves e registra todas as operações em chaves com logs rastreáveis. Além disso, fornece registros de uso de todas as chaves, atendendo aos requisitos de auditoria e conformidade regulatória.
Funções
- No console do KMS, você pode executar as seguintes operações em CMKs:
- Criar, consultar, habilitar, desabilitar, agendar a exclusão e cancelar a exclusão de CMKs
- Modificar o alias e a descrição de CMKs
- Usar a ferramenta on-line para criptografar e descriptografar pequenos volumes de dados
- Adicionar, pesquisar, editar e excluir tags
- Criar, cancelar e consultar concessões
- Você pode usar a API para executar as seguintes operações:
- Criar, criptografar ou descriptografar chaves de criptografia de dados (DEKs)
- Concessões de retirada
- Assinar ou verificar a assinatura de mensagens ou resumos de mensagens
Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.
- Gerar hardware verdadeiro número aleatório.
Você pode gerar números aleatórios de 512-bit usando a API do KMS. Os números aleatórios verdadeiros de hardware de 512-bit podem ser usados como ou servir como base para materiais de chave e parâmetros de criptografia. Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.
Algoritmos criptográficos suportados pelo KMS
As chaves simétricas criadas no console do KMS usam o algoritmo AES-256. As chaves assimétricas criadas pelo KMS oferecem suporte aos algoritmos RSA e ECC.
Tipo de chave |
Tipo de algoritmo |
Especificações de chave |
Descrição |
Utilização |
---|---|---|---|---|
Chave simétrica |
AES |
AES_256 |
Chave simétrica de AES |
Criptografa e descriptografa uma pequena quantidade de dados ou chaves de dados. |
Chaves assimétricas |
RSA |
|
Senha assimétrica de RSA |
Criptografa e descriptografa uma pequena quantidade de dados ou cria assinaturas digitais. |
ECC |
|
Curva elíptica recomendada pelo NIST |
Assinatura digital |
Tabela 2 descreve os algoritmos de criptografia e descriptografia suportados para chaves importadas pelo usuário. Somente chaves simétricas de 256-bit podem ser importadas.
Algoritmo |
Descrição |
Configuração |
---|---|---|
RSAES_OAEP_SHA_256 |
Algoritmo de criptografia RSA que usa OAEP e tem a função de hash SHA-256 |
Selecione um algoritmo de criptografia com base nas funções do HSM. Se os HSMs oferecerem suporte ao algoritmo RSAES_OAEP_SHA_256, use RSAES_OAEP_SHA_256 para criptografar materiais de chave.
AVISO:
O algoritmo de criptografia RSAES_OAEP_SHA_1 não é mais seguro. Tenha cuidado ao realizar esta operação. |
RSAES_OAEP_SHA_1 |
Algoritmo de encriptação RSA que utiliza Preenchimento de criptografia assimétrica ideal (OAEP) e tem a função de hash SHA-1 |