Domande generali

D: Cos'è AWS Key Management Service (KMS)?
AWS KMS è un servizio gestito che consente di crittografare i dati in modo semplice e rapido. AWS KMS fornisce una soluzione di storage, gestione e auditing delle chiavi altamente disponibile per consentirti di crittografare i dati all'interno delle tue applicazioni e controllare la crittografia dei dati archiviati tramite i servizi AWS.

D: Qual è il vantaggio di utilizzare AWS KMS?
Gli sviluppatori che devono crittografare i dati nelle applicazioni devono utilizzare Encryption SDK di AWS con il supporto di AWS KMS per semplificare l’utilizzo e la protezione delle chiavi di crittografia. Gli amministratori IT che desiderano avvalersi di un’infrastruttura scalabile di gestione delle chiavi per supportare gli sviluppatori e le relative applicazioni devono utilizzare AWS KMS per ridurre i carichi operativi e i costi di licenza. I responsabili della verifica della sicurezza dei dati a livello di standard normativi e di conformità devono utilizzare AWS KMS per verificare che i dati siano crittografati in modo uniforme nelle applicazioni dove tali dati vengono impiegati e archiviati.

D: Come si inizia a usare AWS KMS?
Il modo più semplice per iniziare a usare AWS KMS è quello di scegliere di crittografare i dati all’interno dei servizi AWS supportati tramite le chiavi master gestite da AWS che vengono create automaticamente nel tuo account per ogni servizio. Se desideri il pieno controllo sulla gestione delle tue chiavi, compresa la capacità di condividerne l'accesso attraverso account o servizi, puoi creare delle tue chiavi master in KMS. Puoi anche utilizzare le chiavi master create in KMS direttamente nelle tue applicazioni. Ad AWS KMS è possibile accedere dalla console KMS raggruppata sotto Sicurezza, identità e compliance nella home page dei servizi AWS della console AWS. Alle API KMS è possibile accedere direttamente anche tramite la CLI AWS KMS o SDK AWS per l'accesso programmatico. Le API KMS possono essere usate indirettamente per crittografare i dati all'interno delle tue applicazioni tramite Encryption SDK di AWS. Per ulteriori informazioni, visita la pagina Nozioni di base.

D: In quali regioni è disponibile KMS?
Per informazioni sulla disponibilità di KMS, vedere l’elenco globale di regioni nella pagina Prodotti e servizi per regione.

D: Quali sono le principali funzionalità di gestione disponibili in AWS KMS?
In AWS KMS è possibile eseguire le principali funzioni di gestione elencate di seguito:

  • Creare chiavi con alias e descrizione univoci
  • Importare il tuo materiale di cifratura
  • Definire gli utenti e i ruoli IAM autorizzati a gestire le chiavi
  • Definire gli utenti e i ruoli IAM che possono utilizzare le chiavi per crittografare e decrittografare i dati
  • Impostare la rotazione automatica delle chiavi in AWS su base annua
  • Disabilitare temporaneamente le chiavi in modo che non possano venire utilizzate da altri utenti
  • Riabilitare le chiavi disabilitate
  • Eliminare le chiavi non più utilizzate
  • Eseguire l’audit dell’utilizzo delle chiavi mediante l’analisi dei log in AWS CloudTrail
  • Creare storage per chiavi personalizzate*
  • Collegare e scollegare storage per chiavi personalizzate*
  • Eliminare storage per chiavi personalizzate*

* L'uso di storage per chiavi personalizzate richiede che nell'account siano disponibili risorse CloudHSM.

D: Come funziona AWS KMS?
AWS KMS consente di archiviare e gestire le chiavi a livello centralizzato e in modo sicuro. Sono note come CMK, ovvero chiavi master del cliente. Puoi generare CMK in KMS, in un cluster AWS CloudHSM oppure importarle dalla tua infrastruttura di gestione delle chiavi. Queste chiavi master sono protette da moduli di sicurezza hardware (HSM) e vengono utilizzate sempre e solo all'interno di questi moduli. Puoi inviare direttamente al KMS i dati da crittografare o decrittografare utilizzando queste chiavi master. Queste chiavi richiedono l'impostazione di policy di utilizzo per stabilire gli utenti che possono usarle per crittografare e decrittografare i dati e a quali condizioni.

AWS KMS è integrato con i servizi AWS e i toolkit lato client che, per crittografare i dati, utilizzano un metodo noto come crittografia tramite la tecnica basata su envelope. Con questo metodo, KMS genera chiavi di dati che vengono utilizzate per crittografare i dati e che vengono crittografate esse stesse mediante le chiavi master in KMS. Le chiavi di dati non vengono conservate o gestite da KMS. I servizi AWS crittografano i dati e archiviano una copia crittografata della chiave dei dati assieme ai dati che protegge. Quando un servizio deve decrittografare i tuoi dati, chiede a KMS di decrittografare la chiave dei dati utilizzando la tua chiave master. Se l'utente che richiede dati dal servizio AWS è autorizzato a decrittografarli secondo la policy della chiave master, il servizio riceverà la chiave dei dati decrittografata da KMS con la quale può decrittografare i dati e restituirli come testo in chiaro. Tutte le richieste di utilizzo delle chiavi master vengono registrate in AWS CloudTrail per permettere di capire chi ha usato determinate chiavi, in che contesto e quando.

D: Dove vengono archiviati i dati crittografati in caso di utilizzo di AWS KMS?
In genere esistono tre scenari per il modo in cui i dati vengono crittografati tramite AWS KMS. Innanzitutto, puoi utilizzare le API KMS direttamente per crittografare e decrittografare i dati utilizzando le tue chiavi master archiviate in KMS. In secondo luogo, puoi scegliere di far crittografare i tuoi dati dai servizi AWS utilizzando le tue chiavi master conservate in KMS. In questo caso i dati vengono crittografati utilizzando le chiavi dei dati protette dalle tue chiavi master in KMS. In terzo luogo, puoi usare Encryption SDK di AWS che è integrato con AWS KMS per eseguire la crittografia all'interno delle tue applicazioni, indipendentemente dal fatto che operino o no in AWS.

D: Quali sono i servizi AWS Cloud integrati con AWS KMS?
AWS KMS è integrato perfettamente con la maggior parte degli altri servizi AWS per semplificare le procedure di crittografia dei dati in questi servizi, in cui è sufficiente spuntare una casella. In alcuni casi i dati vengono crittografati per impostazione predefinita utilizzando le chiavi archiviate in KMS ma che sono di proprietà e gestite dal servizio AWS in questione. In molti casi sei tu ad avere la proprietà e la gestione delle chiavi master all'interno del tuo account. Alcuni servizi ti offrono la possibilità di gestire tu stesso le chiavi o di demandare questo compito al servizio. Consulta l'elenco dei servizi AWS attualmente integrati con KMS. Per ulteriori informazioni su come i servizi integrati utilizzano AWS KMS, consulta la Guida per lo sviluppatore di AWS KMS.

D: Perché utilizzare la crittografia tramite la tecnica basata su envelope? Perché non è sufficiente inviare i dati ad AWS KMS per crittografarli direttamente?
Anche se AWS KMS è in grado di supportare l’invio di dati inferiori a 4 KB da crittografare direttamente, la crittografia tramite la tecnica basata su envelope offre vantaggi significativi a livello di prestazioni. I dati crittografati direttamente da AWS KMS devono prima essere trasferiti mediante la rete. La crittografia tramite la tecnica basata su envelope riduce il carico della rete, dato che sulla rete transitano solo la richiesta e la consegna della chiave di dati molto più piccola. La chiave dati viene utilizzata localmente nella tua applicazione o nel servizio AWS di crittografia, evitando di dover inviare l'intero blocco di dati a KMS e subire la latenza della rete.

D: Qual è la differenza tra una chiave master che creo io e quelle create automaticamente per me da altri servizi AWS?
Puoi selezionare una specifica chiave master del cliente (CMK) da utilizzare quando desideri che un servizio AWS crittografi i dati al posto tuo. In questo caso si parla di CMK gestite dal cliente sulle quali hai il pieno controllo. Sei tu che definisci il controllo dell'accesso e la policy di utilizzo per ogni chiave e puoi concedere ad altri account e servizi le autorizzazioni per utilizzarle. Se non specifichi una CMK, il servizio in questione ne creerà una gestita da AWS, la prima volta che proverai a creare una risorsa crittografata all'interno di quel servizio. AWS gestirà le policy associate alle CMK gestite da AWS per conto tuo. Puoi tenere traccia delle chiavi gestite da AWS nel tuo account. Qualsiasi utilizzo viene registrato in AWS CloudTrail, ma non hai il controllo diretto sulle chiavi.

D: Perché dovrei creare le mie chiavi master del cliente?
La creazione di una tua CMK in AWS KMS ti consente di avere un maggiore controllo rispetto a quello che hai con le CMK gestite da AWS. Quando crei una CMK gestita dal cliente puoi scegliere di usare il materiale di cifratura generato da AWS KMS, all'interno di un cluster AWS CloudHSM, oppure di importare il tuo. Puoi definire un alias e una descrizione per la chiave e scegliere che la chiave venga ruotata una volta all’anno se è stata generata da AWS KMS. Puoi inoltre definire tutti i permessi per la chiave in modo da controllare chi può utilizzarla o gestirla.

D: È possibile importare chiavi in AWS KMS?
Sì. È possibile importare in AWS KMS una copia delle chiavi da un'infrastruttura di gestione delle chiavi esistente per utilizzarle con tutti i servizi AWS con cui si integra e con le tue applicazioni.

D: Qual è il vantaggio di usare una chiave importata?
Puoi usare una chiave importata per avere un maggiore controllo su creazione, ciclo di vita, gestione e durabilità di una chiave in AWS KMS. L'importazione delle chiavi permette di soddisfare con maggiore semplicità i requisiti di conformità, tra cui è talvolta inclusa la possibilità di generare e conservare una copia sicura della chiave all'interno dell'infrastruttura e di eliminare immediatamente la copia importata dall'infrastruttura AWS.

D: Quali tipi di chiave è possibile importare?
Puoi importare chiavi simmetriche a 256 bit.

D: In che modo la chiave importata in AWS KMS viene protetta durante il transito?
Durante l'importazione, la chiave deve essere protetta da una chiave pubblica fornita da AWS KMS usando uno dei due schermi RSA PKCS#1. In questo modo la chiave crittografata può essere decrittografata esclusivamente da AWS KMS.

D: Qual è la differenza tra una chiave importata e una generata in AWS KMS?
Esistono due differenze principali:

  1. Tu hai la responsabilità di conservare una copia protetta delle chiavi importate nell'infrastruttura di gestione delle chiavi così da poterle reimportare in qualsiasi momento. AWS, tuttavia, garantisce la disponibilità, sicurezza e durabilità delle chiavi generate da AWS KMS per tuo conto fino a quando non ne programmi l'eliminazione.
  2. Puoi impostare un periodo di scadenza per una chiave importata. AWS KMS eliminerà automaticamente il materiale di cifratura dopo la scadenza. Puoi anche eliminare il materiale di cifratura importato on demand. In entrambi i casi, il materiale di cifratura viene eliminato, ma il riferimento CMK in KMS e i metadati associati vengono conservati, per cui in futuro il materiale di cifratura può essere reimportato. Le chiavi generate da AWS KMS non hanno una data di scadenza e non possono essere cancellate subito perché vi è un periodo di attesa obbligatorio che varia da 7 a 30 giorni. Tutte le CMK gestite dal cliente, indipendentemente dal fatto che il materiale di cifratura sia stato importato o no, possono essere disabilitate manualmente o programmate per essere cancellate. In questo caso, viene eliminata la CMK stessa, non solo il materiale di cifratura sottostante.

D: Posso ruotare le mie chiavi?
Sì. Puoi richiedere che sia AWS KMS a ruotare automaticamente le CMK ogni anno, a condizione che siano state generate da questo servizio. La rotazione automatica delle chiavi non è supportata per le chiavi importate o generate in un cluster AWS CloudHSM utilizzando la funzione di storage per chiavi personalizzate di KMS. Se scegli di importare chiavi in AWS KMS o di usare uno storage per chiavi personalizzate, puoi ruotarle manualmente ogni volta che vuoi creando una nuova CMK e mappando un alias dalla vecchia chiave a quella nuova.

D: È necessario rieseguire la crittografia dei dati dopo la rotazione delle chiavi in AWS KMS?
Se scegli che sia AWS KMS a ruotare automaticamente le chiavi, non è necessario che crittografi nuovamente i dati. AWS KMS conserva automaticamente le versioni precedenti delle chiavi da usare per decrittografare i dati crittografati in base a una versione precedente di una chiave. Tutte le nuove richieste di crittografia in base a una chiave in AWS KMS vengono crittografate con la versione più recente della chiave.

Se ruoti manualmente le chiavi dello storage per le chiavi personalizzate o importate, potresti dover crittografare nuovamente i tuoi dati a seconda che tu decida di mantenere disponibili le versioni precedenti delle chiavi.

D: Posso eliminare una chiave da AWS KMS?
Sì. Puoi programmare l'eliminazione di una chiave master creata in AWS KMS e dei relativi metadati per un periodo compreso tra i 7 e 30 giorni. Il periodo di attesa definito consente di verificare l’eventuale impatto dell’eliminazione di una chiave sulle applicazioni e sugli utenti che la utilizzano. Il periodo di attesa predefinito è di 30 giorni. Puoi annullare l’eliminazione della chiave durante il periodo di attesa. Se per una chiave è stata pianificata l’eliminazione, tale chiave può essere utilizzata solo dopo aver annullato l’eliminazione durante il periodo di attesa. Se l’operazione di eliminazione non viene annullata, la chiave verrà eliminata alla scadenza del periodo di attesa configurato. Una volta eliminata, la chiave non potrà più essere utilizzata. Tutti i dati protetti mediante una chiave master eliminata risulteranno inaccessibili.

Per le chiavi CMK con materiale di cifratura importato, esistono due metodi per eliminare il materiale di cifratura senza eliminare l'ID della chiave o i relativi metadati. Il primo metodo prevede di eliminare su richiesta il materiale di cifratura importato senza periodo di attesa. Il secondo consiste nel definire, al momento dell'importazione del materiale di cifratura nella chiave CMK, una data di scadenza basata sul periodo in cui prevedi di utilizzare il materiale di cifratura importato. Nel caso in cui occorresse utilizzarlo ancora, potrai comunque importarlo nuovamente nella chiave CMK.

D: Quale procedura bisogna seguire se il materiale di cifratura importato scade o viene eliminato per errore?
Puoi reimportare una copia del materiale di cifratura con un periodo di scadenza valido in AWS KMS sotto la chiave master originale.

D: È possibile essere avvisati quando occorre importare nuovamente la chiave?
Sì. Una volta importata la chiave in una chiave master del cliente, inizierai a ricevere con una frequenza di pochi minuti una notifica di parametro di Amazon CloudWatch che indicherà il tempo rimanente alla sua scadenza. Riceverai inoltre una notifica di evento di Amazon CloudWatch al momento della sua scadenza. Puoi creare una funzione basata su tali parametri o eventi per reimportare automaticamente la chiave con un nuovo periodo di scadenza per non metterne a repentaglio la disponibilità.

D: Posso utilizzare AWS KMS per semplificare la gestione della crittografia dei dati all’esterno dei servizi cloud AWS?
Sì. AWS KMS è supportato nei kit SDK AWS, Encryption SDK di AWS, Amazon DynamoDB Client-side Encryption e Amazon S3 Encryption Client, per facilitare la crittografia dei dati all'interno delle applicazioni ogni volta che sono in esecuzione. Per ulteriori informazioni, visita il sito Web AWS Crypto Tools e Developing on AWS

D: C'è un limite al numero di chiavi che posso creare in AWS KMS?
Puoi creare fino a 1.000 chiavi master del cliente per account per regione. Dal momento che tale limite è dato dalla somma delle chiavi master del cliente, sia abilitate che disabilitate, si consiglia di eliminare le chiavi disabilitate che non usi più. Le chiavi master predefinite gestite da AWS create automaticamente per l’utilizzo all’interno dei servizi AWS supportati non vengono considerate per il conteggio di questo limite. Non esiste alcun limite al numero di chiavi dati che possono essere derivate in base a una chiave master e utilizzate nell’applicazione o dai servizi AWS per crittografare automaticamente i dati. Puoi richiedere un aumento del limite per le chiavi master del cliente visitando l’AWS Support Center.

Funzionalità di storage per chiavi personalizzate

D: Cos'è uno storage per chiavi personalizzate?
Lo storage per chiavi personalizzate di AWS KMS combina i controlli forniti da AWS CloudHSM con l'integrazione e la facilità d'uso di AWS KMS. Puoi configurare il tuo cluster CloudHSM e autorizzare KMS a utilizzarlo come storage dedicato per le tue chiavi al posto di quello per chiavi predefinite di KMS. Quando crei le chiavi in ​​KMS, puoi scegliere di generare il materiale di cifratura nel tuo cluster CloudHSM. Le chiavi master generate nel tuo storage per chiavi personalizzate non lasciano mai in chiaro gli HSM nel cluster CloudHSM e tutte le operazioni KMS che utilizzano quelle chiavi vengono eseguite solo nei tuoi HSM. Per tutti gli altri aspetti, le chiavi master memorizzate nel tuo storage per chiavi personalizzate sono coerenti con le altre CMK di KMS.

Ulteriori indicazioni per decidere se l'uso di uno storage per chiavi personalizzate è appropriato per te sono disponibili in questoblog.

D: Perché dovrei aver bisogno di usare uno storage per chiavi personalizzate?
Dato che controlli il tuo cluster AWS CloudHSM, puoi scegliere di gestire il ciclo di vita delle tue chiavi master AWS KMS in modo indipendente da KMS. Uno storage per chiavi personalizzate potrebbe essere utile per quattro ragioni. In primo luogo, potrebbero esservi delle chiavi che devono essere esplicitamente protette in un HSM single-tenant o in un HSM sul quale hai il controllo diretto. In secondo luogo potresti avere delle chiavi che devono essere archiviate in un HSM validato secondo FIPS 140-2 livello 3 (gli HSM usati nello storage per chiavi KMS standard sono validati secondo il livello 2 e secondo il livello 3 in diverse categorie). In terzo luogo, potrebbe essere necessario rimuovere immediatamente il materiale di cifratura da KMS e dimostrare di averlo fatto con mezzi indipendenti. Infine, potresti dover essere in grado di controllare l'uso delle tue chiavi indipendentemente da KMS o AWS CloudTrail.

D: Gli storage per chiavi personalizzate influiscono sulla gestione delle chiavi?
Quando si gestiscono le chiavi in uno storage per chiavi personalizzate, esistono due differenze rispetto allo storage per chiavi predefinite di AWS KMS. Il materiale di cifratura non può essere importato nello storage per chiavi personalizzate e KMS non può ruotare automaticamente le chiavi. Per tutto il resto, compreso il tipo di chiavi che possono essere generate, il modo in cui le chiavi utilizzano gli alias e come le policy sono definite, le chiavi conservate in uno storage per chiavi personalizzate sono gestite come qualsiasi altra CMK gestita dal cliente di KMS.

D: Posso usare uno storage per chiavi personalizzate per conservare una chiave master del cliente gestita da AWS?
No, in uno storage per chiavi personalizzate di AWS KMS possono essere conservate e gestite solo le CMK gestite dal cliente. Le CMK gestite da AWS create per tuo conto da altri servizi AWS per crittografare i tuoi dati sono sempre generate e conservate nello storage per chiavi predefinite di KMS.

D: Gli storage per chiavi personalizzate influiscono sull'uso delle chiavi?
No, le richieste dell'API ad AWS KMS relative all'uso di una CMK per crittografare e decrittografare i dati vengono gestite nello stesso modo. I processi di autenticazione e autorizzazione operano indipendentemente da dove è conservata la chiave. Anche tutte le attività che utilizzano una chiave in uno storage per chiavi personalizzate sono registrate in AWS CloudTrail nello stesso modo. Tuttavia, le operazioni effettive di crittografia avvengono esclusivamente nello storage per chiavi personalizzate o in quello per chiavi predefinite di KMS.

D: Come posso controllare l'utilizzo delle chiavi in ​​uno storage per chiavi personalizzate?
Oltre all'attività registrata su AWS CloudTrail da AWS KMS, l'uso di uno storage per chiavi personalizzate fornisce altri tre meccanismi di audit. Innanzitutto, AWS CloudHSM registra anche tutte le attività dell'API su CloudTrail, ad esempio per creare cluster e aggiungere o rimuovere HSM. In secondo luogo, ogni cluster acquisisce anche i propri log locali per registrare l'attività di gestione degli utenti e delle chiavi. In terzo luogo, ogni istanza di CloudHSM copia i log dell'attività di gestione delle chiavi e degli utenti locali in AWS CloudWatch.

D: Che impatto ha l'utilizzo di uno storage per chiavi personalizzate sulla disponibilità delle chiavi?
Se usi uno storage per chiavi personalizzate di AWS KMS hai la responsabilità di garantire che le tue chiavi siano disponibili per l'uso da parte di KMS. Errori di configurazione di CloudHSM e la cancellazione accidentale del materiale di cifratura all'interno di un cluster AWS CloudHSM potrebbero influire sulla disponibilità. Anche il numero di HSM che utilizzi e la tua scelta delle zone di disponibilità (AZ) possono influire sulla resilienza del tuo cluster. Come in qualsiasi sistema di gestione delle chiavi, è importante capire in che modo la disponibilità delle chiavi può incidere sul recupero dei tuoi dati crittografati.

D: Quali sono i limiti delle prestazioni associati a uno storage per chiavi personalizzate?
La frequenza con cui le chiavi memorizzate in uno storage per chiavi personalizzate di AWS KMS possono essere utilizzate tramite le chiamate di API AWS KMS è inferiore a quella delle chiavi memorizzate nello storage per chiavi predefinite di AWS KMS. Per i limiti delle prestazioni correnti, consulta la Guida per lo sviluppatore di KMS.

D: Quali sono i costi associati all'uso di uno storage per chiavi personalizzate?
L'uso di uno storage per chiavi personalizzate non incide sui prezzi di AWS KMS. Tuttavia, ogni storage per chiavi personalizzate richiede che il cluster AWS CloudHSM contenga almeno due HSM. Questi HSM vengono addebitati in base ai prezzi di AWS CloudHSM standard. L'uso di uno storage per chiavi personalizzate non comporta ulteriori costi.

D: Quali sono le altre competenze e risorse necessarie per configurare uno storage per chiavi personalizzate?
Gli utenti AWS KMS che desiderano utilizzare uno storage per chiavi personalizzate dovranno impostare uncluster AWS CloudHSM, aggiungere HSM, gestire utenti di HSM ed, eventualmente, ripristinare gli HSM dal backup. Si tratta di attività sensibili per la sicurezza e dovresti assicurarti di disporre delle risorse e dei controlli organizzativi appropriati.

D: Posso importare le chiavi in ​​uno storage per chiavi personalizzate?
No, la possibilità di importare il proprio materiale di cifratura in uno storage per chiavi personalizzate di AWS KMS non è supportata. Le chiavi memorizzate in uno storage per chiavi personalizzate possono essere generate solo negli HSM che formano il cluster AWS CloudHSM.

D: Posso migrare le chiavi tra lo storage per chiavi predefinite di KMS e uno per chiavi personalizzate?
No, la possibilità di migrare le chiavi tra i diversi tipi di storage per chiavi AWS KMS non è attualmente supportata. Tutte le chiavi devono essere create nello storage per chiavi in ​​cui verranno utilizzate, tranne nei casi in cui si importa il proprio materiale di cifratura nello storage per chiavi predefinite di KMS.

D: Posso ruotare le chiavi memorizzate in uno storage per chiavi personalizzate?
La possibilità di ruotare automaticamente il materiale di cifratura in uno storage per chiavi personalizzate di AWS KMS non è supportata. La rotazione delle chiavi deve essere eseguita manualmente creando nuove chiavi e rimappando gli alias delle chiavi di KMS utilizzati dal codice dell'applicazione per usare le nuove chiavi per le future operazioni di crittografia.

D: Posso usare il mio cluster AWS CloudHSM per altre applicazioni?
Sì, AWS KMS non richiede l'accesso esclusivo al tuo cluster AWS CloudHSM. Se disponi già di un cluster, puoi utilizzarlo come storage per chiavi personalizzate e continuare a usarlo per le tue altre applicazioni. Tuttavia, se il tuo cluster supporta carichi di lavoro elevati, non KMS, potresti avere un throughput ridotto per le operazioni che utilizzano le chiavi master di KMS nel tuo storage per chiavi personalizzate. Analogamente, una frequenza di richieste KMS elevata per il tuo storage per chiavi personalizzate potrebbe influire sulle tue altre applicazioni.

D: Come posso avere maggiori informazioni su AWS CloudHSM?
Per una panoramica del servizio, visita il sito Web di AWS CloudHSM, mentre per maggiori dettagli sulla configurazione e l'uso del servizio leggi il Manuale dell'utente di AWS CloudHSM.  

Fatturazione

D: Come viene addebitato e fatturato l'utilizzo di AWS KMS?
Con AWS KMS pagherai solo le risorse utilizzate, senza alcun costo minimo. L'utilizzo del servizio non richiede alcun impegno di lungo termine né costi di configurazione. Alla fine del mese, verrà automaticamente addebitato sulla tua carta di credito il costo delle risorse utilizzate in quel mese.

Ti vengono addebitati i costi mensili per tutte le chiavi master del cliente (CMK) create e per le richieste API inoltrate al servizio, al netto del piano gratuito.

Per informazioni relative ai prezzi, visita la pagina dei prezzi di AWS KMS.

D: È previsto un piano gratuito?
Sì. Grazie al piano di utilizzo gratuito di AWS, puoi iniziare a utilizzare AWS KMS gratuitamente in tutte le regioni. L'archiviazione, nel tuo account, delle chiavi master gestite da AWS create per tuo conto dai servizi AWS è gratuita. È disponibile un piano gratuito che fornisce un numero di richieste mensili gratuite ad AWS KMS. Per informazioni aggiornate sui prezzi e sul piano gratuito, visita la pagina dei prezzi di AWS KMS.

D: I prezzi includono le tasse?
Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Per ulteriori informazioni, fai clic qui.

Sicurezza

D: Chi può utilizzare e gestire le mie chiavi in AWS KMS?
AWS KMS implementa le policy di utilizzo e gestione che decidi di definire. Puoi scegliere di permettere agli utenti e ai ruoli di AWS Identity and Access Management (IAM) inclusi nel tuo account o in altri account di utilizzare e gestire le chiavi.

D: In che modo AWS garantisce la sicurezza delle chiavi master create in AWS KMS?
AWS KMS è progettato in modo che nessuno, nemmeno i dipendenti di AWS, possa recuperare le tue chiavi master in chiaro dal servizio. Il servizio usa infatti moduli di sicurezza hardware (HSM) conformi allo standard FIPS 140-2 per proteggere la riservatezza e l'integrità delle tue chiavi sia che, per crearle, utilizzi AWS KMS o AWS CloudHSM o che tu le importi personalmente nel servizio. Le chiavi in chiaro non escono mai dagli HSM, non vengono mai scritte su disco e vengono utilizzate nella memoria volatile degli HSM solo per il tempo necessario per eseguire l'operazione di crittografia richiesta. Le chiavi di AWS KMS non vengono mai trasmesse all'esterno delle regioni AWS in cui sono state create. Gli aggiornamenti software agli host del servizio e al firmware dei moduli di sicurezza hardware (HSM) di AWS KMS vengono monitorati mediante un processo di controllo multilaterale che viene tenuto sotto controllo e verificato da un gruppo indipendente interno di Amazon e da un laboratorio certificato NIST in conformità con FIPS 140-2.

Per ulteriori informazioni su questi controlli di sicurezza, consulta il whitepaper Dettagli sulla crittografia di AWS KMS. È anche possibile consultare il certificato dei moduli di sicurezza hardware di AWS KMS per lo standard FIPS 140-2 e la relativa informativa sulla sicurezza per ulteriori informazioni su come i moduli siano conformi ai requisiti di sicurezza dello standard FIPS 140-2. Per ulteriori informazioni sui controlli di sicurezza adottati da AWS KMS per proteggere le chiavi master, è inoltre possibile scaricare una copia del report SOC (Service Organization Controls) da AWS Artifact.

D: In che modo è possibile eseguire la migrazione delle chiavi master esistenti di AWS KMS per l'utilizzo con i moduli di sicurezza hardware conformi allo standard FIPS 140-2?
Tutte le chiavi master in AWS KMS, indipendentemente dalla data di creazione o dall'origine, sono automaticamente protette utilizzando moduli di sicurezza hardware conformi allo standard FIPS 140-2. Non è necessaria alcuna operazione manuale per utilizzare tali moduli.

D: Quali regioni AWS dispongono di moduli di sicurezza hardware conformi allo standard FIPS 140-2?
I moduli di sicurezza hardware conformi allo standard FIPS 140-2 sono disponibili in tutte le regioni che offrono AWS KMS.

D: Qual è la differenza tra gli endpoint conformi allo standard FIPS 140-2 e i moduli HSM in AWS KMS conformi allo standard FIPS 140-2?
AWS KMS è un servizio su due livelli. Gli endpoint API ricevono le richieste del client tramite una connessione HTTPS utilizzando solo pacchetti di cifratura TLS che supportino l'opzione PFS (Perfect Forward Secrecy). Questi endpoint API autenticano e autorizzano la richiesta prima di inoltrarla agli HSM di AWS KMS per le operazioni di crittografia, o al tuo cluster AWS CloudHSM se utilizzi la funzionalità dello storage per chiavi personalizzate di KMS.

D: In che modo è possibile inoltrare richieste API in AWS KMS tramite gli endpoint conformi allo standard FIPS 140-2?
È possibile configurare le applicazioni affinché si connettano a agli endpoint HTTPS conformi allo standard FIPS 140-2 univoci della regione. Gli endpoint HTTPS conformi allo standard FIPS 140-2 di AWS KMS sono basati su OpenSSL FIPS Object Module. Per consultare la policy di sicurezza del modulo OpenSSL, consulta la pagina https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Gli endpoint HTTPS conformi allo standard FIPS 140-2 sono disponibili in tutte le regioni di tipo commerciale in cui è disponibile AWS KMS.

È possibile utilizzare AWS KMS per semplificare le procedure di conformità con i requisiti di crittografia e gestione delle chiavi previsti dallo standard PCI DSS (Payment Card Industry Data Security Standard) 3.1?
Sì. AWS KMS dispone delle funzionalità e dei controlli di sicurezza che permettono di facilitare la conformità ai requisiti di crittografia e gestione delle chiavi descritti principalmente nelle sezioni 3.5 e 3.6 dello standard PCI DSS 3.1.

Per ulteriori informazioni sui servizi conformi allo standard PCI DSS in AWS, consulta la sezione Domande frequenti sullo standard PCI DSS.

D: In che modo AWS KMS protegge le chiavi dati esportate e utilizzate nell’applicazione?
Puoi impostare AWS KMS in modo che generi chiavi dati che possono essere restituite per l’utilizzo nella tua applicazione. Le chiavi dati vengono crittografate in base a una chiave master definita in AWS KMS per poter archiviare in modo sicuro la chiave dati crittografata assieme ai dati crittografati. La chiave dati crittografata e pertanto anche i dati di origine possono essere decrittografati solo dagli utenti autorizzati a utilizzare la chiave master originale usata per decrittografare la chiave dati crittografata.

D: Qual è la lunghezza delle chiavi che AWS KMS può generare?
La lunghezza delle chiavi master in AWS KMS è pari a 256 bit. Le chiavi dati possono essere generate con una lunghezza pari a 128 o 256 bit e crittografate in base a una chiave master definita. AWS KMS consente inoltre di generare dati casuali di qualsiasi lunghezza definita che possono essere crittografati.

D: Posso esportare una chiave master da AWS KMS e utilizzarla nelle mie applicazioni?
Le chiavi master vengono create e utilizzate solo all’interno di AWS KMS per garantirne la sicurezza, nonché per consentire l’implementazione uniforme delle policy e fornire un log centralizzato relativo al loro utilizzo.

D: In quale regione geografica vengono memorizzate le chiavi?
Le chiavi generate da AWS KMS vengono memorizzate e utilizzate solo nella regione in cui sono state create. Non è pertanto possibile trasferirle in altre regioni. Ad esempio, le chiavi create nella regione UE (Francoforte) sono memorizzate e utilizzate solo all’interno di tale regione.

D: In che modo posso verificare chi ha utilizzato o modificato la configurazione delle mie chiavi in AWS KMS?
I log disponibili in AWS CloudTrail riportano tutte le richieste dell'API KMS, comprese quelle di gestione (ad esempio creazione, rotazione, disabilitazione e modifiche delle policy) e quelle di crittografia (ad esempio crittografia/decrittografia). Per visualizzare questi log, attiva AWS CloudTrail nel tuo account.

D: Quali sono le differenze tra AWS KMS e AWS CloudHSM?
AWS CloudHSM offre un cluster di moduli di sicurezza hardware single-tenant conformi allo standard FIPS 140-2 livello 3, installato in Amazon Virtual Private Cloud (VPC), che consente di memorizzare e utilizzare le chiavi. Avrai così il controllo completo sulle modalità di utilizzo delle chiavi, mediante un meccanismo di autenticazione indipendente da AWS. L'utilizzo delle chiavi contenute nel cluster di AWS CloudHSM sarà analogo a quello delle applicazioni in esecuzione in Amazon EC2. AWS CloudHSM è perfetto per diversi casi d'uso, ad esempio per la gestione di DRM, infrastrutture a chiave pubblica, firma di documenti e funzionalità di crittografia con interfacce PKCS#11, Java JCE e Microsoft CNG.

AWS KMS permette invece di creare e controllare le chiavi di crittografia usate dalle applicazioni e dai servizi AWS supportati in più regioni in tutto il mondo mediante di un'unica console. Il servizio utilizzare un modulo di sicurezza hardware conforme allo standard FIPS 140-2 per garantire la sicurezza delle chiavi. La gestione centralizzata di tutte le chiavi consente di definire chi può utilizzare e gestire le chiavi e secondo quali condizioni, nonché stabilire ogni quanto devono essere aggiornate. L’integrazione di AWS KMS con AWS CloudTrail ti permette di monitorare l’uso delle chiavi a supporto delle attività di verifica delle normative e della conformità. Interagisci con AWS KMS dalle tue applicazioni utilizzando l'SDK AWS se desideri chiamare direttamente le API del servizio, tramite altri servizi AWS integrati con KMS oppure utilizzando Encryption SDK di AWS se desideri eseguire la crittografia lato client.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Ulteriori informazioni sui prezzi.

Consulta gli esempi di prezzi e calcola i costi.

Scopri di più 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrati per creare un account gratuito

Ottieni accesso istantaneo al piano gratuito di AWS. 

Registrati 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Inizia subito a creare nella console

Inizia subito a creare con AWS Key Management Service nella console AWS

Accedi