Le seguenti domande frequenti non si applicano al servizio AWS KMS nella regione AWS Cina (Pechino), gestita da Sinnet, e nella regione AWS Cina (Ningxia), gestita da NWCD. Consulta il link delle domande frequenti per i contenuti relativi a queste due regioni della Cina.  

Generali

D: cos'è AWS Key Management Service (KMS)?
AWS KMS è un servizio gestito che ti permette di creare e controllare in modo semplice le chiavi utilizzate per le tue operazioni di crittografia. Il servizio fornisce una soluzione di generazione, storage, gestione e auditing delle chiavi altamente disponibile per consentirti di crittografare o di firmare digitalmente i dati all'interno delle tue applicazioni o controllare la crittografia dei dati tramite i servizi AWS.

D: qual è il vantaggio di utilizzare AWS KMS?
Qualora si abbia la necessità di rendere sicuri i dati presenti nei servizi AWS, si dovrebbe utilizzare AWS KMS per gestire in modo centralizzato le chiavi di crittografia che regolano l’accesso ai dati stessi. Gli sviluppatori che devono crittografare i dati nelle applicazioni devono utilizzare Encryption SDK di AWS con AWS KMS per generare in modo semplice, utilizzare e proteggere chiavi di crittografia simmetriche nel tuo codice. Gli sviluppatori che devono firmare digitalmente o verificare i dati utilizzando chiavi asimmetriche, dovrebbero utilizzare il servizio per creare e gestire le chiavi private di cui hai bisogno. Coloro che desiderano avvalersi di un’infrastruttura scalabile di gestione delle chiavi per supportare gli sviluppatori e le relative applicazioni devono utilizzare questo servizio per ridurre i carichi operativi e i costi di licenza. Coloro che hanno la responsabilità di garantire la sicurezza dei dati per scopi normativi o di conformità dovrebbero utilizzare il servizio poiché permette di dimostrare in modo semplice che i dati sono protetti in modo omogeneo. Inoltre, il servizio rientra nell’ambito di applicazione di un vasto gruppo di regimi di conformità regionali e di settore.

D: come si inizia a usare AWS KMS?
Il modo più semplice per iniziare a usare KMS è quello di scegliere di crittografare i dati con un servizio AWS che utilizza le chiavi master gestite da AWS create automaticamente nell’account per ogni servizio. Se desideri il pieno controllo sulla gestione delle chiavi, compresa la capacità di condividerne l'accesso attraverso account o servizi, puoi creare delle chiavi master cliente (CMK) in AWS KMS. Puoi anche utilizzare le CMK create direttamente nelle tue applicazioni. Ad AWS KMS è possibile accedere dalla console KMS raggruppata sotto Sicurezza, identità e compliance nella home page dei servizi AWS della console AWS. Alle API AWS KMS è possibile accedere direttamente anche tramite la CLI AWS KMS o SDK AWS per l'accesso programmatico. Le API AWS KMS possono anche essere usate indirettamente per crittografare i dati all'interno delle tue applicazioni tramite Encryption SDK di AWS. Per ulteriori informazioni, visita la pagina delle Nozioni di base.

D: in quali regioni è disponibile AWS KMS?
Per informazioni sulla disponibilità di KMS, consulta l’elenco globale di regioni nella pagina Prodotti e servizi per regione.

D: quali sono le principali funzionalità di gestione disponibili in AWS KMS?

È possibile eseguire le principali funzioni di gestione elencate di seguito:

  • Creare chiavi simmetriche e asimmetriche in cui il materiale della chiave viene utilizzato esclusivamente all’interno del servizio
  • Creare chiavi simmetriche in cui il materiale delle chiavi viene generato e utilizzato all’interno di uno storage di chiavi sotto il proprio controllo*
  • Importare il materiale delle proprie chiavi simmetriche per utilizzarlo all’interno del servizio
  • Creare coppie di chiavi simmetriche e asimmetriche per l’utilizzo locale all’interno delle proprie applicazioni
  • Definire gli utenti e i ruoli IAM autorizzati a gestire le chiavi
  • Definire gli utenti e i ruoli IAM che possono utilizzare le chiavi per crittografare e decrittografare i dati
  • Scegliere di utilizzare chiavi generate dal servizio per effettuarne la rotazione in modo automatico su base annuale
  • Disabilitare temporaneamente le chiavi in modo che non possano essere utilizzate da altri utenti
  • Riabilitare le chiavi disabilitate
  • Programmare l’eliminazione delle chiavi non più in utilizzo
  • Eseguire l’audit dell’utilizzo delle chiavi mediante l’analisi dei log in AWS CloudTrail

* L'uso di storage per chiavi personalizzate richiede che nell'account siano disponibili risorse CloudHSM.

D: come funziona AWS KMS?
Per cominciare a utilizzare il servizio, l’utente dovrà richiedere la creazione di una chiave master cliente (Customer Master Key, CMK). L’utente sarà in controllo del ciclo di vita della CMK, così come di chi la potrà utilizzare o gestire. Il materiale della chiave per una CMK è generato all’interno dei moduli di sicurezza dell’hardware (Hardware Security Module, HSM) gestiti da AWS KMS. In alternativa, è possibile importare il materiale della chiave dalla propria infrastruttura di gestione delle chiavi e associarlo a una CMK. Inoltre, è possibile generare e utilizzare il materiale delle chiavi all’interno di un cluster di AWS CloudHSM, come parte della funzionalità per lo storage per chiavi personalizzato in AWS KMS.
 
Una volta creata una CMK utilizzando qualsiasi delle tre opzioni supportate, è possibile inviare i dati direttamente al servizio AWS KMS così che siano firmati, verificati, crittografati o decrittati utilizzando tale CMK. Queste chiavi richiedono l'impostazione di policy di utilizzo per stabilire gli utenti che possono eseguire delle azioni e a quali condizioni.

I servizi AWS e i toolkit lato client che, per proteggere i dati, integrano AWS KMS utilizzano un metodo noto come crittografia tramite la tecnica basata su envelope. Grazie a questo metodo, AWS KMS genera le chiavi di dati che vengono utilizzate per crittografare i dati in locale nel servizio AWS o nell’applicazione. Le chiavi dei dati vengono esse stesse crittografate tramite una CMK definita dall’utente. Le chiavi di dati non vengono conservate o gestite da AWS KMS. I servizi AWS crittografano i dati e archiviano una copia crittografata della chiave dei dati assieme ai dati crittografati. Quando un servizio deve decrittografare i tuoi dati, chiede ad AWS KMS di decrittografare la chiave dei dati utilizzando la tua CMK. Se l'utente che richiede dati dal servizio AWS è autorizzato a decrittografarli secondo la policy della CMK, il servizio AWS riceverà la chiave dei dati decrittografata da AWS KMS. Il servizio AWS quindi decodifica i dati e li restituisce in testo non crittografato. Tutte le richieste di utilizzo delle CMK vengono registrate in AWS CloudTrail per permettere di capire chi ha usato determinate chiavi, in che contesto e quando.

D: dove vengono archiviati i dati crittografati in caso di utilizzo di AWS KMS?
In genere esistono tre scenari per il modo in cui i dati vengono crittografati tramite AWS KMS. Innanzitutto, puoi utilizzare le API AWS KMS direttamente per crittografare e decrittografare i dati utilizzando le tue CMK archiviate nel servizio. In secondo luogo, puoi scegliere di far crittografare i tuoi dati dai servizi AWS utilizzando le tue CMK conservate nel servizio. In questo caso i dati vengono crittografati utilizzando le chiavi dei dati protette dalle tue CMK. In terzo luogo, puoi usare Encryption SDK di AWS che è integrato con AWS KMS per eseguire la crittografia all'interno delle tue applicazioni, indipendentemente dal fatto che operino o no in AWS.

D: Quali sono i servizi AWS Cloud integrati con AWS KMS?
AWS KMS è integrato perfettamente con la maggior parte degli altri servizi AWS per semplificare le procedure di crittografia dei dati in questi servizi, in cui è sufficiente spuntare una casella. In alcuni casi i dati vengono crittografati per impostazione predefinita utilizzando le chiavi archiviate in AWS KMS ma che sono di proprietà e gestite dal servizio AWS in questione. In molti casi sei tu ad avere la proprietà e la gestione delle CMK all'interno del tuo account. Alcuni servizi ti offrono la possibilità di gestire tu stesso le chiavi o di demandare questo compito al servizio. Consulta l' elenco dei servizi AWS attualmente integrati con AWS KMS. Per ulteriori informazioni su come i servizi integrati utilizzano AWS KMS, consulta la Guida per lo sviluppatore di AWS KMS.

D: Perché utilizzare la crittografia tramite la tecnica basata su envelope? Perché non inviare i dati ad AWS KMS per crittografarli direttamente?
Anche se AWS KMS è in grado di supportare l’invio di dati fino a 4 KB da crittografare direttamente, la crittografia tramite la tecnica basata su envelope offre vantaggi significativi a livello di prestazioni. I dati crittografati direttamente da AWS KMS devono prima essere trasferiti mediante la rete. La crittografia tramite la tecnica basata su envelope riduce il carico della rete, dato che sulla rete transitano solo la richiesta e la consegna della chiave di dati molto più piccola. La chiave dati viene utilizzata localmente nella tua applicazione o nel servizio AWS di crittografia, evitando di dover inviare l'intero blocco di dati ad AWS KMS e subire la latenza della rete.

D: qual è la differenza tra una CMK che creo io e quelle create automaticamente per me da altri servizi AWS?
È possibile selezionare una CMK specifica da utilizzare quando si desidera che il servizio AWS esegua automaticamente la crittografia dei dati. In questo caso si parla di CMK gestite dal cliente sulle quali hai il pieno controllo. Sei tu che definisci il controllo dell'accesso e la policy di utilizzo per ogni chiave e puoi concedere ad altri account e servizi le autorizzazioni per utilizzarle. Se non specifichi una CMK, il servizio in questione ne creerà una gestita da AWS, la prima volta che proverai a creare una risorsa crittografata all'interno di quel servizio. AWS gestirà le policy associate alle CMK gestite da AWS per conto tuo. Puoi tenere traccia delle chiavi gestite da AWS nel tuo account. Qualsiasi utilizzo viene registrato in AWS CloudTrail, ma non hai il controllo diretto sulle chiavi.

D: perché dovrei creare le mie chiavi master del cliente?
La creazione di una tua CMK ti consente di avere un maggiore controllo rispetto a quello che hai con le CMK gestite da AWS. Quando crei una CMK simmetrica gestita dal cliente puoi scegliere di usare il materiale di cifratura generato da AWS KMS, all'interno di un cluster AWS CloudHSM (storage di chiavi personalizzato), oppure di importare il tuo. Puoi definire un alias e una descrizione per la chiave e scegliere che la chiave venga ruotata una volta all’anno se è stata generata da AWS KMS. Puoi inoltre definire tutti i permessi per la chiave in modo da controllare chi può utilizzarla o gestirla. Con le CMK asimmetriche gestite dal cliente, bisognerà fare attenzione a un paio di aspetti nell’ambito della loro gestione: il materiale delle chiavi può essere generato solo all’interno di AWS KMS HSM e non è possibile impostare la rotazione automatica delle chiavi.

D: posso portare le mie chiavi in AWS KMS?
Sì. È possibile importare in AWS KMS una copia delle chiavi da un'infrastruttura di gestione delle chiavi esistente per utilizzarla con il servizio AWS con cui si integra e con le tue applicazioni. Non è possibile importare CMK asimmetriche in AWS KMS.

D: qual è il vantaggio di usare una chiave importata?
Puoi usare una chiave importata per avere un maggiore controllo su creazione, ciclo di vita, gestione e durabilità di una chiave in AWS KMS. L'importazione delle chiavi permette di soddisfare con maggiore semplicità i requisiti di conformità, tra cui è talvolta inclusa la possibilità di generare e conservare una copia sicura della chiave all'interno dell'infrastruttura e di eliminare immediatamente la copia importata dall'infrastruttura AWS.

D: Quali tipi di chiave è possibile importare?
Puoi importare chiavi simmetriche a 256 bit.

D: In che modo la chiave importata in AWS KMS viene protetta durante il transito?
Durante l'importazione, la chiave deve essere protetta da una chiave pubblica fornita da AWS KMS usando uno dei due schermi RSA PKCS#1. In questo modo la chiave crittografata può essere decrittografata esclusivamente da AWS KMS.

D: Qual è la differenza tra una chiave importata e una generata in AWS KMS?
Esistono due differenze principali:

  1. Tu hai la responsabilità di conservare una copia protetta delle chiavi importate nell'infrastruttura di gestione delle chiavi così da poterle reimportare in qualsiasi momento. AWS, tuttavia, garantisce la disponibilità, sicurezza e durabilità delle chiavi generate da AWS KMS per tuo conto fino a quando non ne programmi l'eliminazione.
  2. Puoi impostare un periodo di scadenza per una chiave importata. AWS KMS eliminerà automaticamente il materiale di cifratura dopo la scadenza. Puoi anche eliminare il materiale di cifratura importato on demand. In entrambi i casi, il materiale di cifratura viene eliminato, ma il riferimento CMK in AWS KMS e i metadati associati vengono conservati, per cui in futuro il materiale di cifratura può essere reimportato. Le chiavi generate da AWS KMS non hanno una data di scadenza e non possono essere cancellate subito perché vi è un periodo di attesa obbligatorio che varia da 7 a 30 giorni. Tutte le CMK gestite dal cliente, indipendentemente dal fatto che il materiale di cifratura sia stato importato o no, possono essere disabilitate manualmente o programmate per essere cancellate. In questo caso, viene eliminata la CMK stessa, non solo il materiale di cifratura sottostante.

D: Posso ruotare le mie chiavi?
Sì. Puoi richiedere che sia AWS KMS a ruotare automaticamente le CMK ogni anno, a condizione che siano state generate all’interno dei AWS KMS HSM. La rotazione automatica delle chiavi non è supportata per le chiavi importate, le chiavi asimmetriche o le chiavi generate in un cluster AWS CloudHSM utilizzando la funzione di storage per chiavi personalizzate di AWS KMS. Se scegli di importare chiavi in AWS KMS, di usare chiavi asimmetriche o di utilizzare uno storage per chiavi personalizzate, puoi ruotarle manualmente ogni volta che vuoi creando una nuova CMK e mappando un alias dalla vecchia CMK a quella nuova.

D: È necessario rieseguire la crittografia dei dati dopo la rotazione delle chiavi in AWS KMS?
Se scegli che sia AWS KMS a ruotare automaticamente le chiavi, non è necessario che crittografi nuovamente i dati. AWS KMS conserva automaticamente le versioni precedenti delle chiavi da usare per decrittografare i dati crittografati in base a una versione precedente di una chiave. Tutte le nuove richieste di crittografia in base a una chiave in AWS KMS vengono crittografate con la versione più recente della chiave.

Se ruoti manualmente le chiavi dello storage per le chiavi personalizzate o importate, potresti dover crittografare nuovamente i tuoi dati a seconda che tu decida di mantenere disponibili le versioni precedenti delle chiavi.

D: Posso eliminare una chiave da AWS KMS?
Sì. Puoi programmare l'eliminazione di una chiave master creata in AWS KMS e dei relativi metadati per un periodo compreso tra i 7 e 30 giorni. Il periodo di attesa definito consente di verificare l’eventuale impatto dell’eliminazione di una chiave sulle applicazioni e sugli utenti che la utilizzano. Il periodo di attesa predefinito è di 30 giorni. Puoi annullare l’eliminazione della chiave durante il periodo di attesa. Se per una chiave è stata pianificata l’eliminazione, tale chiave può essere utilizzata solo dopo aver annullato l’eliminazione durante il periodo di attesa. Se l’operazione di eliminazione non viene annullata, la chiave verrà eliminata alla scadenza del periodo di attesa configurato. Una volta eliminata, la chiave non potrà più essere utilizzata. Tutti i dati protetti mediante una chiave master eliminata risulteranno inaccessibili.

Per le chiavi CMK con materiale di cifratura importato, esistono due metodi per eliminare il materiale di cifratura senza eliminare l'ID della chiave o i relativi metadati. Il primo metodo prevede di eliminare su richiesta il materiale di cifratura importato senza periodo di attesa. Il secondo consiste nel definire, al momento dell'importazione del materiale di cifratura nella chiave CMK, una data di scadenza basata sul periodo in cui prevedi di utilizzare il materiale di cifratura importato. Nel caso in cui occorresse utilizzarlo ancora, potrai comunque importarlo nuovamente nella chiave CMK.

D: Quale procedura bisogna seguire se il materiale di cifratura importato scade o viene eliminato per errore?
Puoi reimportare una copia del materiale di cifratura con un periodo di scadenza valido in AWS KMS sotto la chiave master originale.

D: È possibile essere avvisati quando occorre importare nuovamente la chiave?
Sì. Una volta importata la chiave in una chiave master del cliente, inizierai a ricevere con una frequenza di pochi minuti una notifica di parametro di Amazon CloudWatch che indicherà il tempo rimanente alla sua scadenza. Riceverai inoltre una notifica di evento di Amazon CloudWatch al momento della sua scadenza. Puoi creare una funzione basata su tali parametri o eventi per reimportare automaticamente la chiave con un nuovo periodo di scadenza per non metterne a repentaglio la disponibilità.

D: Posso utilizzare AWS KMS per semplificare la gestione della crittografia dei dati all’esterno dei servizi cloud AWS?
Sì. AWS KMS è supportato nei kit SDK AWS, Encryption SDK di AWS, Amazon DynamoDB Client-side Encryption e Amazon S3 Encryption Client, per facilitare la crittografia dei dati all'interno delle applicazioni ogni volta che sono in esecuzione. Per ulteriori informazioni, visita il sito Web AWS Crypto Tools e Developing on AWS

D: C'è un limite al numero di chiavi che posso creare in AWS KMS?
È possibile creare fino a 10.000 CMK per account in ogni regione. Dal momento che tale limite è dato dalla somma delle CMK, sia abilitate che disabilitate, si consiglia di eliminare le chiavi disabilitate che non usi più. Le chiavi CMK predefinite gestite da AWS create automaticamente per l’utilizzo all’interno dei servizi AWS supportati non vengono considerate per il conteggio di questo limite. Non esiste alcun limite al numero di chiavi dati che possono essere derivate in base a una CMK e utilizzate nell’applicazione o dai servizi AWS per crittografare automaticamente i dati. Puoi richiedere un aumento del limite per le CMK visitando l'AWS Support Center.

D: quali tipi di chiavi asimmetriche e algoritmi sono supportati?
AWS KMS supporta chiavi a 256 bit quando si crea una CMK. Le chiavi dati generate e rinviate al chiamante possono essere di 256 bit, 128 bit o di un valore arbitrario fino a 1024 byte. Quando AWS KMS utilizza una CMK a 256 bit per conto dell’utente, viene utilizzato l’algoritmo AWS in modalità Galois Counter (AES-GCM).

D: quali tipi di chiavi asimmetriche sono supportati?
AWS KMS supporta i seguenti tipi di chiavi asimmetriche: RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 e ECC SECG P-256k1.

D: quali tipi di algoritmi di crittografia asimmetrica sono supportati?
AWS KMS supporta gli algoritmi di crittografia RSAES_OAEP_SHA_1 e RSAES_OAEP_SHA_256 con i tipi di chiavi RSA 2048, RSA 3072 e RSA 4096. Gli algoritmi di crittografia non possono essere utilizzati con tipi di chiavi basate su curve ellittiche (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 e ECC SECG P-256k1).

D: quali tipi di algoritmi di firma asimmetrica sono supportati?
Quando si utilizzano i tipi di chiavi RSA, AWS KMS supporta i seguenti algoritmi di firma: RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384 e RSASSA_PKCS1_V1_5_SHA_512.
Quando si utilizzano i tipi di chiavi basati su curve ellittiche, AWS KMS supporta i seguenti algoritmi di firma: ECDSA_SHA_256, ECDSA_SHA_384 e ECDSA_SHA_512.

D: le CMK simmetriche possono essere esportate al di fuori del servizio come testo semplice?
No. Una CMK simmetrica o una porzione privata di una CMK asimmetrica non possono essere esportate come testo semplice dagli HSM. La porzione pubblica di una CMK asimmetrica può essere esportata dalla console o chiamando l’API “GetPublicKey”.

D: le chiavi dati e le coppie di chiavi dati possono essere esportate dagli HSM come testo semplice?
Sì. Le chiavi dati simmetriche possono essere esportate utilizzando l’API “GenerateDataKey” o l’API “GenerateDataKeyWithoutPlaintext”. La porzione privata e pubblicata delle coppie di chiavi dati asimmetriche possono essere entrambe esportate da AWS KMS utilizzando l’API “GenerateDataKeyPair” o “GenerateDataKeypairWithoutPlaintext”.

D: come vengono protette le chiavi dati e le coppie di chiavi dati per l’archiviazione al di fuori del servizio?
La chiave dati asimmetrica o la porzione privata dalla chiave dati asimmetrica vengono crittografate nella CMK simmetrica da te definita quando richiedi ad AWS KMS di generare la chiave dati.

D: come è possibile utilizzare la porzione pubblica di una CMK asimmetrica?
La porzione pubblica del materiale della chiave asimmetrica è generato in AWS KMS e può essere utilizzata per la verifica della firma digitale chiamando l’API “Verify” oppure, per la crittografia della chiave pubblica, l’API “Encrypt”. La chiave pubblica può anche essere utilizzata al di fuori di AWS KMS per la verifica o la crittografia. È possibile chiamare l’API “GetPublicKey” per recuperare la porzione pubblica della CMK asimmetrica.

D: qual è il limite di dimensione per i dati inviati ad AWS KMS per le operazioni asimmetriche?
Il limite di dimensione è di 4 KB. Nel caso si voglia firmare digitalmente dati di dimensioni maggiori di 4 KB, è possibile creare un messaggio di acquisizione dei dati e di inviarlo ad AWS KMS. La firma digitale è creata sulla base dell’acquisizione dei dati e quindi rinviata. Nella richiesta API “Sign”, dovrai specificare se inviare l’intero messaggio o un messaggio di acquisizione come un parametro. Qualsiasi dato inviato alle API “Encrypt”, “Decrypt” o “Re-Encrypt” che utilizzano operazioni asimmetriche deve anche essere di dimensioni inferiori ai 4 KB.

D: come posso distinguere le CMK che ho creato tra simmetriche e asimmetriche?
Nella console, ciascuna chiave avrà un nuovo campo chiamato “Tipo chiave”. Tale campo riporterà le voci “Chiave simmetrica” o “Chiave asimmetrica” per indicare il tipo di chiave. L’API “DescribeKey” risponderà riportando un campo “KeyUsage” che specifica se la chiave può essere utilizzata per firmare o crittografare.

D: È supportata la rotazione automatica delle CMK asimmetriche?
No. La rotazione automatica delle chiavi non è supportata per le CMK asimmetriche. Puoi ruotarle manualmente creando una nuova CMK e mappando l’alias di una chiave esistente a partire dalla vecchia CMK su quella nuova.

D: una CMK asimmetrica singola può essere utilizzata sia per la crittografia che per la firma?
No. Quando si crea una CMK, è necessario specificare se la chiave può essere utilizzata per decrittare o firmare. Una chiave RSA può essere utilizzata per firmare o crittografare, ma non per eseguire entrambe le operazioni allo stesso tempo. I tipi di chiavi a curve ellittiche possono essere utilizzati solo per firmare.

D: vi sono delle restrizioni dei servizi collegate alle chiavi asimmetriche?
Sì. I limiti del tasso di richieste al secondo varia a seconda dei tipi di chiavi e degli algoritmi utilizzati. Per maggiori informazioni, consulta la pagina dei limiti di AWS KMS.

D: le chiavi asimmetriche funzionano con la funzionalità di storage per chiavi personalizzate AWS KMS o la funzionalità di importazione delle chiavi?
No. Non è possibile utilizzare la funzionalità di storage per le chiavi personalizzate con chiavi asimmetriche, così come non è possibile importare chiavi asimmetriche in AWS KMS.

D: posso utilizzare CMK asimmetriche per applicazioni di firma digitale che richiedono certificati digitali?
Non direttamente. AWS KMS non archivia o associa certificati digitali con le CMK asimmetriche che crea. È possibile scegliere di richiedere a un’autorità di certificazione quale ACM PCA di emettere un certificato per la porzione pubblica della tua CMK asimmetrica. Ciò permetterà alle entità che utilizzano la tua chiave pubblica di verificare che questa appartenga realmente a te.

D: per quali casi d’uso dovrei utilizzare un’Autorità di certificazione privata ACM rispetto ad AWS KMS?
Il motivo principale per utilizzare un servizio di un’Autorità di certificazione privata ACM (ACM Private Certificate Authority, CA) è quello di fornire un’infrastruttura per chiavi pubbliche (Public Key Infrastructure, PKI) con lo scopo di identificare le entità e garantire la sicurezza delle connessioni di rete. La PKI fornisce processi e meccanismi, principalmente utilizzando certificati X.509, per dare una struttura alle operazioni crittografiche tramite chiavi pubbliche. I certificati forniscono un’associazione tra un’identità e una chiave pubblica. Il processo di certificazione in un cui un’autorità di certificazione emette un certificato permette all’autorità fidata di dimostrare l’identità di un’altra entità firmando un certificato. La PKI fornisce identità, affidabilità distribuita, gestione per il ciclo di vita delle chiavi e stati dei certificati attraverso revoca. Tali funzioni aggiungono importanti processi e infrastruttura alle chiavi crittografiche asimmetriche e agli algoritmi sottostanti forniti dal servizio AWS KMS.

Un’ACM CA privata ti permette di emettere certificati per identificare server Web e applicativi, mesh di servizi, utenti di VPN, endpoint API interni e dispositivi IoT. I certificati ti permettono di stabilire le identità di tali risorse e creare canali di comunicazioni TLS/SSL crittografati. Qualora tu stia prendendo in considerazione l’utilizzo di chiavi per terminazioni TLS su server Web o applicativi, Elastic Load Balancer, endpoint di API Gateway, istanze EC2 o container, dovresti prendere in considerazione anche l’utilizzo di un’ACM CA privata per emettere certificati e fornire un’infrastruttura PKI.

Per contro, AWS KMS ti permette di generare, gestire e utilizzare chiavi asimmetriche per firme digitali e/o operazioni di crittografia che non richiedono certificati. Sebbene i certificati permettano di verificare l’identità del mittente e del destinatario tra parti non fidate, le operazioni asimmetriche offerte da AWS KMS sono tipicamente utili quando si dispone di altri meccanismi per dimostrare le identità e non è affatto necessario dimostrarle per ottenere i vantaggi in termini di sicurezza che si desiderano.

D: posso utilizzare i miei fornitori di API crittografiche delle mie applicazioni quali OpenSSL, JCE, Bouncy Castle o CNG con AWS KMS?
Non vi sono integrazioni native offerte da AWS KMS per qualsiasi altro fornitore di API crittografiche. È necessario utilizzare le API di AWS KMS direttamente o attraverso l’SDK AWS per integrare le capacità di firma e crittografia all’interno delle tue applicazioni.

D: Amazon AWS KMS offre un contratto sul livello di servizio (SLA)?
Sì. Il contratto sul livello di servizio di AWS KMS offre un credito sui servizi qualora la percentuale di disponibilità del sistema durante un ciclo di fatturazione sia inferiore a quella promessa da Amazon.

Storage per chiavi personalizzate

D: Cos'è uno storage per chiavi personalizzate?
Lo storage per chiavi personalizzate di AWS KMS combina i controlli forniti da AWS CloudHSM con l'integrazione e la facilità d'uso di AWS KMS. Puoi configurare il tuo cluster CloudHSM e autorizzare AWS KMS a utilizzarlo come storage dedicato per le tue chiavi al posto di quello per chiavi predefinite di AWS KMS. Quando crei le chiavi in AWS KMS, puoi scegliere di generare il materiale di cifratura nel tuo cluster CloudHSM. Le CMK generate nel tuo storage per chiavi personalizzate non lasciano mai in chiaro gli HSM nel cluster CloudHSM e tutte le operazioni di AWS KMS che utilizzano quelle chiavi vengono eseguite solo nei tuoi HSM. Per tutti gli altri aspetti, le CMK memorizzate nel tuo storage per chiavi personalizzate sono coerenti con le altre AWS CMK di KMS.

Ulteriori indicazioni per decidere se l'uso di uno storage per chiavi personalizzate è appropriato per te sono disponibili in questoblog.

D: perché dovrei aver bisogno di usare uno storage per chiavi personalizzate?
Dato che controlli il tuo cluster AWS CloudHSM, puoi scegliere di gestire il ciclo di vita delle tue CMK in modo indipendente da AWS KMS. Uno storage per chiavi personalizzate potrebbe essere utile per quattro ragioni. In primo luogo, potrebbero esservi delle chiavi che devono essere esplicitamente protette in un HSM single-tenant o in un HSM sul quale hai il controllo diretto. In secondo luogo potresti avere delle chiavi che devono essere archiviate in un HSM validato secondo FIPS 140-2 livello 3 (gli HSM usati nello storage per chiavi AWS KMS standard validati o in fase di convalida secondo il livello 2 e secondo il livello 3 in diverse categorie). In terzo luogo, potrebbe essere necessario rimuovere immediatamente il materiale di cifratura da AWS KMS e dimostrare di averlo fatto con mezzi indipendenti. Infine, potresti dover essere in grado di controllare l'uso delle tue chiavi indipendentemente da AWS KMS o AWS CloudTrail.

D: gli storage per chiavi personalizzate influiscono sulla gestione delle chiavi?
Quando si gestiscono le chiavi in uno storage per chiavi personalizzate, esistono due differenze rispetto allo storage per chiavi predefinite di AWS KMS. Il materiale di cifratura non può essere importato nello storage per chiavi personalizzate e AWS KMS non può ruotare automaticamente le chiavi. Per tutto il resto, compreso il tipo di chiavi che possono essere generate, il modo in cui le chiavi utilizzano gli alias e come le policy sono definite, le chiavi conservate in uno storage per chiavi personalizzate sono gestite come qualsiasi altra CMK gestita dal cliente di AWS KMS.

D: posso usare uno storage per chiavi personalizzate per conservare una chiave master del cliente gestita da AWS?
No, in uno storage per chiavi personalizzate di AWS KMS possono essere conservate e gestite solo le CMK gestite dal cliente. Le CMK gestite da AWS create per tuo conto da altri servizi AWS per crittografare i tuoi dati sono sempre generate e conservate nello storage per chiavi predefinite di AWS KMS.

D: Gli storage per chiavi personalizzate influiscono sull'uso delle chiavi?
No, le richieste dell'API ad AWS KMS relative all'uso di una CMK per crittografare e decrittografare i dati vengono gestite nello stesso modo. I processi di autenticazione e autorizzazione operano indipendentemente da dove è conservata la chiave. Anche tutte le attività che utilizzano una chiave in uno storage per chiavi personalizzate sono registrate in AWS CloudTrail nello stesso modo. Tuttavia, le operazioni effettive di crittografia avvengono esclusivamente nello storage per chiavi personalizzate o in quello per chiavi predefinite di AWS KMS.

D: Come posso controllare l'utilizzo delle chiavi in uno storage per chiavi personalizzate?
Oltre all'attività registrata su AWS CloudTrail da AWS KMS, l'uso di uno storage per chiavi personalizzate fornisce altri tre meccanismi di audit. Innanzitutto, AWS CloudHSM registra anche tutte le attività dell'API su CloudTrail, ad esempio per creare cluster e aggiungere o rimuovere HSM. In secondo luogo, ogni cluster acquisisce anche i propri log locali per registrare l'attività di gestione degli utenti e delle chiavi. In terzo luogo, ogni istanza di CloudHSM copia i log dell'attività di gestione delle chiavi e degli utenti locali in AWS CloudWatch.

D: Che impatto ha l'utilizzo di uno storage per chiavi personalizzate sulla disponibilità delle chiavi?
Se usi uno storage per chiavi personalizzate di AWS KMS hai la responsabilità di garantire che le tue chiavi siano disponibili per l'uso da parte di AWS KMS. Errori di configurazione di CloudHSM e la cancellazione accidentale del materiale di cifratura all'interno di un cluster AWS CloudHSM potrebbero influire sulla disponibilità. Anche il numero di HSM che utilizzi e la tua scelta delle zone di disponibilità (AZ) possono influire sulla resilienza del tuo cluster. Come in qualsiasi sistema di gestione delle chiavi, è importante capire in che modo la disponibilità delle chiavi può incidere sul recupero dei tuoi dati crittografati.

D: Quali sono i limiti delle prestazioni associati a uno storage per chiavi personalizzate?
La frequenza con cui le chiavi memorizzate in uno storage per chiavi personalizzate di AWS KMS possono essere utilizzate tramite le chiamate di API AWS KMS è inferiore a quella delle chiavi memorizzate nello storage per chiavi predefinite di AWS KMS. Per i limiti delle prestazioni correnti, consulta la Guida per lo sviluppatore di AWS KMS.

D: Quali sono i costi associati all'uso di uno storage per chiavi personalizzate?
L'uso di uno storage per chiavi personalizzate non incide sui prezzi di AWS KMS. Tuttavia, ogni storage per chiavi personalizzate richiede che il cluster AWS CloudHSM contenga almeno due HSM. Questi HSM vengono addebitati in base ai prezzi di AWS CloudHSM standard. L'uso di uno storage per chiavi personalizzate non comporta ulteriori costi.

D: Quali sono le altre competenze e risorse necessarie per configurare uno storage per chiavi personalizzate?
Gli utenti AWS KMS che desiderano utilizzare uno storage per chiavi personalizzate dovranno impostare uncluster AWS CloudHSM, aggiungere HSM, gestire utenti di HSM ed, eventualmente, ripristinare gli HSM dal backup. Si tratta di attività sensibili per la sicurezza e dovresti assicurarti di disporre delle risorse e dei controlli organizzativi appropriati.

D: Posso importare le chiavi in uno storage per chiavi personalizzate?
No, la possibilità di importare il proprio materiale di cifratura in uno storage per chiavi personalizzate di AWS KMS non è supportata. Le chiavi memorizzate in uno storage per chiavi personalizzate possono essere generate solo negli HSM che formano il cluster AWS CloudHSM.

D: Posso migrare le chiavi tra lo storage per chiavi predefinite di AWS KMS e uno per chiavi personalizzate?
No, la possibilità di migrare le chiavi tra i diversi tipi di storage per chiavi AWS KMS non è attualmente supportata. Tutte le chiavi devono essere create nello storage per chiavi in cui verranno utilizzate, tranne nei casi in cui si importa il proprio materiale di cifratura nello storage per chiavi predefinite di AWS KMS.

D: Posso ruotare le chiavi memorizzate in uno storage per chiavi personalizzate?
La possibilità di ruotare automaticamente il materiale di cifratura in uno storage per chiavi personalizzate di AWS KMS non è supportata. La rotazione delle chiavi deve essere eseguita manualmente creando nuove chiavi e rimappando gli alias delle chiavi di AWS KMS utilizzati dal codice dell'applicazione per usare le nuove chiavi per le future operazioni di crittografia.

D: Posso usare il mio cluster AWS CloudHSM per altre applicazioni?
Sì, AWS KMS non richiede l'accesso esclusivo al tuo cluster AWS CloudHSM. Se disponi già di un cluster, puoi utilizzarlo come storage per chiavi personalizzate e continuare a usarlo per le tue altre applicazioni. Tuttavia, se il tuo cluster supporta carichi di lavoro elevati, non AWS KMS, potresti avere un throughput ridotto per le operazioni che utilizzano le CMK nel tuo storage per chiavi personalizzate. Analogamente, una frequenza di richieste AWS KMS elevata per il tuo storage per chiavi personalizzate potrebbe influire sulle tue altre applicazioni.

D: Come posso avere maggiori informazioni su AWS CloudHSM?
Per una panoramica del servizio, visita il sito Web di AWS CloudHSM, mentre per maggiori dettagli sulla configurazione e l'uso del servizio leggi il Manuale dell'utente di AWS CloudHSM.  

Fatturazione

D: Come viene addebitato e fatturato l'utilizzo di AWS KMS?
Con AWS KMS pagherai solo le risorse utilizzate, senza alcun costo minimo. L'utilizzo del servizio non richiede alcun impegno di lungo termine né costi di configurazione. Alla fine del mese, verrà automaticamente addebitato sulla tua carta di credito il costo delle risorse utilizzate in quel mese.

Ti vengono addebitati i costi mensili per tutte le chiavi master del cliente (CMK) create e per le richieste API inoltrate al servizio, al netto del piano gratuito.

Per informazioni relative ai prezzi, visita la pagina dei prezzi di AWS KMS.

D: È previsto un piano gratuito?
Sì. Grazie al piano di utilizzo gratuito di AWS, puoi iniziare a utilizzare AWS KMS gratuitamente in tutte le regioni. L'archiviazione, nel tuo account, delle chiavi master gestite da AWS create per tuo conto dai servizi AWS è gratuita. È disponibile un piano gratuito che fornisce un numero di richieste mensili gratuite al servizio. Per informazioni aggiornate sui prezzi e sul piano gratuito, visita la pagina dei prezzi di AWS KMS.

* Le richieste API che coinvolgono CMK asimmetriche e le richieste alle API “GenerateDataKeyPair” e “GenerateDataKeyPairWithoutPlaintext” non sono incluse nel piano gratuito.

D: I prezzi includono le tasse?
Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Per ulteriori informazioni, fai clic qui.

Sicurezza

D: Chi può utilizzare e gestire le mie chiavi in AWS KMS?
AWS KMS implementa le policy di utilizzo e gestione che decidi di definire. Puoi scegliere di permettere agli utenti e ai ruoli di AWS Identity and Access Management (IAM) inclusi nel tuo account o in altri account di utilizzare e gestire le chiavi.

D: Come AWS garantisce la sicurezza delle CMK che creo?
AWS KMS è progettato in modo che nessuno, nemmeno i dipendenti di AWS, possa ottenere dal servizio le CMK in testo semplice. AWS KMS utilizza moduli di sicurezza hardware (HSM) conformi agli standard FIPS 140-2, o in approvazione, per proteggere la riservatezza e l’integrità delle tue chiavi. Le tue chiavi sono archiviate in questi HSM indipendentemente dal fatto che utilizzi AWS KMS o AWS CloudHSM per creare le tue chiavi o importi il materiale delle chiavi in una CMK. Le CMK in chiaro non escono mai dagli HSM, non vengono mai scritte su disco e vengono utilizzate nella memoria volatile degli HSM solo per il tempo necessario per eseguire l'operazione di crittografia richiesta. Gli aggiornamenti software agli host del servizio e al firmware dei moduli di sicurezza hardware (HSM) di AWS KMS vengono monitorati mediante un processo di controllo multilaterale che viene tenuto sotto controllo e verificato da un gruppo indipendente interno di Amazon e da un laboratorio certificato NIST in conformità con FIPS 140-2.

Per ulteriori informazioni su questi controlli di sicurezza, consulta la documentazione tecnica Dettagli sulla crittografia di AWS KMS. È anche possibile consultare il certificato dei moduli di sicurezza hardware di AWS KMS per lo standard FIPS 140-2 e la relativa informativa sulla sicurezza per ulteriori informazioni su come i moduli siano conformi ai requisiti di sicurezza dello standard FIPS 140-2. Per ulteriori informazioni sui controlli di sicurezza adottati dal servizio per proteggere le CMK, è inoltre possibile scaricare una copia del report SOC (Service Organization Controls) da AWS Artifact.

D: In che modo è possibile eseguire la migrazione delle CMK esistenti per l'utilizzo con i moduli di sicurezza hardware conformi allo standard FIPS 140-2?
Tutte le CMK in AWS KMS, indipendentemente dalla loro data o origine di creazione, vengono automaticamente protette mediante il modulo di sicurezza hardware (HSM) già conforme agli standard FIPS 140-2 o in fase di conformità. Non è necessaria alcuna operazione manuale per utilizzare tali moduli.

D: Quali regioni AWS dispongono di moduli di sicurezza hardware conformi allo standard FIPS 140-2?
I moduli di sicurezza hardware conformi allo standard FIPS 140-2 sono disponibili in tutte le regioni che offrono AWS KMS.

D: Qual è la differenza tra gli endpoint conformi allo standard FIPS 140-2 e i moduli HSM in AWS KMS conformi allo standard FIPS 140-2?
AWS KMS è un servizio su due livelli. Gli endpoint API ricevono le richieste del client tramite una connessione HTTPS utilizzando solo pacchetti di cifratura TLS che supportino l'opzione PFS (Perfect Forward Secrecy). Questi endpoint API autenticano e autorizzano la richiesta prima di inoltrarla agli HSM di AWS KMS per le operazioni di crittografia, o al tuo cluster AWS CloudHSM se utilizzi la funzionalità dello storage per chiavi personalizzate di KMS.

D: In che modo è possibile inoltrare richieste API in AWS KMS tramite gli endpoint conformi allo standard FIPS 140-2?
È possibile configurare le applicazioni affinché si connettano a agli endpoint HTTPS conformi allo standard FIPS 140-2 univoci della regione. Gli endpoint HTTPS conformi allo standard FIPS 140-2 di AWS KMS sono basati su OpenSSL FIPS Object Module. Per consultare la policy di sicurezza del modulo OpenSSL, consulta la pagina https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Gli endpoint HTTPS conformi allo standard FIPS 140-2 sono disponibili in tutte le regioni di tipo commerciale in cui è disponibile AWS KMS.

È possibile utilizzare AWS KMS per semplificare le procedure di conformità con i requisiti di crittografia e gestione delle chiavi previsti dallo standard PCI DSS (Payment Card Industry Data Security Standard) 3.2.1?
Sì. AWS KMS dispone delle funzionalità e dei controlli di sicurezza che permettono di facilitare la conformità ai requisiti di crittografia e gestione delle chiavi descritti principalmente nelle sezioni 3.5 e 3.6 dello standard PCI DSS 3.2.1.

Per ulteriori informazioni sui servizi conformi con lo standard PCI DSS in AWS, consulta la sezione Domande frequenti sullo standard PCI DSS.

D: In che modo AWS KMS protegge le chiavi dati esportate e utilizzate nell’applicazione?
Puoi impostare AWS KMS in modo che generi chiavi dati che possono essere restituite per l’utilizzo nella tua applicazione. Le chiavi dati vengono crittografate in base a una chiave master definita in AWS KMS per poter archiviare in modo sicuro la chiave dati crittografata assieme ai dati crittografati. La chiave dati crittografata e pertanto anche i dati di origine possono essere decrittografati solo dagli utenti autorizzati a utilizzare la chiave master originale usata per decrittografare la chiave dati crittografata.

D: Posso esportare una CMK e utilizzarla nelle mie applicazioni?
No. Le CMK vengono create e utilizzate solo all’interno del servizio per garantirne la sicurezza, nonché per consentire l’implementazione uniforme delle policy e fornire un log centralizzato relativo al loro utilizzo.

D: In quale Regione geografica vengono memorizzate le chiavi?
Una chiave KMS per Regione singola generata da AWS KMS viene archiviata e utilizzata solo nella Regione in cui è stata creata. Con le chiavi multi-Regione AWS KMS puoi scegliere di replicare una chiave primaria multi-Regione in più Regioni all'interno della stessa partizione AWS.

D: In che modo posso verificare chi ha utilizzato o modificato la configurazione delle mie chiavi in AWS KMS?
I log disponibili in AWS CloudTrail riportano tutte le richieste dell'API AWS KMS, comprese quelle di gestione (ad esempio creazione, rotazione, disabilitazione e modifiche delle policy) e quelle di crittografia (ad esempio crittografia/decrittografia). Per visualizzare questi log, attiva AWS CloudTrail nel tuo account.

D: Quali sono le differenze tra AWS KMS e AWS CloudHSM?
AWS CloudHSM offre un cluster di moduli di sicurezza hardware single-tenant conformi allo standard FIPS 140-2 livello 3, installato in Amazon Virtual Private Cloud (VPC), che consente di memorizzare e utilizzare le chiavi. Avrai così il controllo completo sulle modalità di utilizzo delle chiavi, mediante un meccanismo di autenticazione indipendente da AWS. L'utilizzo delle chiavi contenute nel cluster di AWS CloudHSM sarà analogo a quello delle applicazioni in esecuzione in Amazon EC2. AWS CloudHSM è perfetto per diversi casi d'uso, ad esempio per la gestione di DRM, infrastrutture a chiave pubblica, firma di documenti e funzionalità di crittografia con interfacce PKCS#11, Java JCE e Microsoft CNG.

AWS KMS permette invece di creare e controllare le chiavi di crittografia usate dalle applicazioni e dai servizi AWS supportati in più regioni in tutto il mondo mediante di un'unica console. Per proteggere la sicurezza delle chiavi, il servizio utilizza un HSM FIPS già conforme agli standard FIPS 140-2 o che è in fase conformità. La gestione centralizzata di tutte le chiavi consente di definire chi può utilizzare e gestire le chiavi e secondo quali condizioni, nonché stabilire ogni quanto devono essere aggiornate. L’integrazione di AWS KMS con AWS CloudTrail ti permette di monitorare l’uso delle chiavi a supporto delle attività di verifica delle normative e della conformità. Interagisci con AWS KMS dalle tue applicazioni utilizzando l'SDK AWS se desideri chiamare direttamente le API del servizio, tramite altri servizi AWS integrati con AWS KMS oppure utilizzando Encryption SDK di AWS se desideri eseguire la crittografia lato client.

Standard Product Icons (Features) Squid Ink
Ulteriori informazioni sui prezzi

Consulta gli esempi di prezzi e calcola i costi.

Scopri di più 
Sign up for a free account
Registrati per creare un account gratuito

Ottieni l'accesso immediato al piano gratuito di AWS. 

Registrati 
Standard Product Icons (Start Building) Squid Ink
Inizia subito nella console

Inizia subito a creare con AWS Key Management Service nella console AWS

Accedi