Veröffentlicht am: Apr 20, 2022
Mit AWS Key Management Service (AWS KMS) können Sie KMS-Schlüssel erstellen, die zum Generieren und Verifizieren von Hash-basiertem Nachrichtenauthentifizierungscode (HMACs) verwendet werden können. HMACs sind ein leistungsfähiger kryptografischer Baustein, der geheimes Schlüsselmaterial in eine Hash-Funktion einbezieht, um einen eindeutigen verschlüsselten Nachrichtenauthentifizierungscode zu entwickeln. HMAC-KMS-Schlüssel können nur innerhalb FIPS-140-2-validierten HSM-Sicherheitsgrenze in AWS KMS generiert und verwendet werden. Im Gegensatz zur Verwendung von Klartext-HMAC-Schlüsseln in lokaler Anwendungssoftware kann mit dieser Architektur das Risiko, dass diese geheimen Schlüssel kompromittiert werden, minimiert werden.
HMACs bieten eine schnelle Möglichkeit, Daten wie Web-API-Anfragen, Kreditkartennummern, Bankleitzahlen oder persönlich identifizierbare Informationen (PII) zu signieren oder zu tokenisieren. Da HMACs symmetrische Kryptographie verwenden, sind sie in der Regel leistungsfähiger als Signieralgorithmen, die hingegen asymmetrische Kryptographie wie RSA oder ECC verwenden. HMACs werden häufig bei mehreren Internetstandards und Kommunikationsprotokollen wie JSON Web Tokens (JWT) verwendet. Die KMS-Schlüssel und die HMAC-Algorithmen in AWS KMS erfüllen die in RFC 2104 definierten Industriestandards. Wie bei jeder anderen Art von KMS-Schlüssel können Sie durch die Definition von KMS-Schlüssel- und/oder IAM-Richtlinien steuern, wem die Ausführung von HMAC-Funktionen unter welchen Bedingungen erlaubt ist.
Die KMS HMAC APIs sind derzeit in ausgewählten Regionen verfügbar. Informationen zum Support von Regionen und eine Übersicht über die neue HMAC-Funktion finden Sie im KMS-Entwicklerhandbuch.
27. April 2022: Eine frühere Version dieses Beitrags wurde im Web-Token-Standard für „Java“ falsch referenziert. Wir haben diese Referenz zum JSON Web Token (JWT)-Standard korrigiert.