Prova AWS Key Management Service

Nozioni di base su AWS
Oppure accedi alla Console

Crea gratuitamente il tuo account Amazon Web Services e ricevi 12 mesi di accesso gratuito a prodotti e servizi.

Visualizza i dettagli del piano gratuito di AWS »


AWS KMS è un servizio gestito di crittografia che consente di crittografare i dati in modo semplice e rapido. AWS KMS rappresenta una soluzione di storage, gestione e audit a elevata disponibilità che consente di crittografare i dati a livello di servizi AWS e nelle applicazioni di proprietà.

Gli sviluppatori che devono crittografare i dati nelle applicazioni devono utilizzare gli SDK AWS con il supporto di AWS KMS per semplificare l’utilizzo e la protezione delle chiavi di crittografia. Gli amministratori IT che desiderano avvalersi di un’infrastruttura scalabile di gestione delle chiavi per supportare gli sviluppatori e le relative applicazioni devono utilizzare AWS KMS per ridurre i costi operativi e di licenza. I responsabili della verifica della sicurezza dei dati a livello di standard normativi e di conformità devono utilizzare AWS KMS per verificare che i dati siano crittografati in modo uniforme nelle applicazioni dove tali dati vengono impiegati e archiviati.

Il modo più semplice per iniziare a usare AWS KMS è selezionare la casella di controllo per eseguire la crittografia dei dati all’interno dei servizi AWS supportati e utilizzare le chiavi predefinite create nell’account per il servizio specifico. Per disporre di un maggiore controllo sulla gestione di tali chiavi, è possibile creare chiavi in AWS KMS e assegnarle per l’uso nei servizi AWS supportati durante la creazione delle risorse crittografate, nonché utilizzarle direttamente all’interno delle applicazioni di proprietà. Per accedere ad AWS KMS, utilizzare la sezione “Encryption Keys” nella console di AWS Identity and Access Management (IAM) per l’accesso basato sul Web e l’interfaccia della riga di comando di AWS KMS o l’SDK AWS per l’accesso programmatico. Per ulteriori informazioni, visita la pagina Nozioni di base.

Per informazioni sulla disponibilità di KMS, vedere l’elenco globale di regioni nella pagina Prodotti e servizi per regione.

In AWS KMS è possibile eseguire le principali funzioni di gestione elencate di seguito:

  • Creare chiavi con alias e descrizione univoci
  • Importare chiavi preesistenti
  • Definire gli utenti e ruoli IAM autorizzati a gestire le chiavi
  • Definire gli utenti e i ruoli IAM che possono utilizzare le chiavi per crittografare e decrittografare i dati
  • Impostare la rotazione automatica delle chiavi in AWS su base annua
  • Disabilitare temporaneamente le chiavi in modo che non possano venire utilizzate da altri utenti
  • Riabilitare le chiavi disabilitate
  • Eliminare le chiavi non più utilizzate
  • Eseguire l’audit dell’utilizzo delle chiavi mediante l’analisi dei log in AWS CloudTrail

AWS KMS consente di archiviare e gestire le chiavi a livello centralizzato e in modo sicuro. È possibile generare chiavi usando KMS o importarle dall'infrastruttura di gestione delle chiavi esistente. Queste chiavi possono essere utilizzate all'interno delle applicazioni e dei servizi AWS supportati per proteggere i dati anche se verranno sempre gestite mediante KMS AWS. Inviare i dati a AWS KMS affinché possano essere crittografati o decrittografati utilizzando le chiavi pertinenti. Per tali chiavi è necessario impostare policy di utilizzo per definire gli utenti che possono usare tali chiavi per crittografare e decrittografare i dati. Tutte le richieste di utilizzo delle chiavi vengono registrate in AWS CloudTrail in modo da essere in grado di analizzare i dati relativi al loro utilizzo in un secondo momento.

È possibile utilizzare AWS KMS per aiutare a crittografare i dati a livello locale nelle applicazioni oppure impostare l'esecuzione della crittografia all'interno di un servizio AWS supportato. Puoi utilizzare un kit SDK AWS con il supporto per AWS KMS per eseguire la crittografia a ogni esecuzione delle applicazioni. Puoi inoltre richiedere ai servizi AWS supportati di crittografare i dati al momento della memorizzazione. In AWS CloudTrail sono disponibili log di accesso che consentono di eseguire l’audit delle modalità di utilizzo delle chiavi in qualsiasi scenario d’uso.

AWS Key Management Service è perfettamente integrato con numerosi altri servizi AWS in modo da semplificare al massimo le procedure di crittografia dei dati e di selezione delle chiavi master che si desidera utilizzare in tali servizi. Per un elenco dei servizi AWS attualmente integrati con KMS, visita la pagina Dettagli del prodotto. L’utilizzo di tutte le chiavi all’interno dei servizi integrati viene registrato nei log di AWS CloudTrail. Per ulteriori informazioni su come i servizi integrati utilizzano AWS KMS, consulta AWS KMS Developer’s Guide.

Per proteggere i dati, tutti i servizi cloud AWS integrati con AWS KMS utilizzano un metodo definito “crittografia tramite la tecnica basata su envelope”. Questo tipo di crittografia è un metodo ottimale per crittografare i dati che utilizzano chiavi diverse. Il servizio AWS genera e utilizza una chiave dati per crittografare ogni dato o ogni risorsa. La chiave dati viene crittografata in base a una chiave master definita in AWS KMS. La chiave dati crittografata viene quindi archiviata dal servizio AWS. Quando il servizio AWS deve decrittografare dati, la chiave dati crittografata viene inoltrata ad AWS KMS e decrittografata in base alla chiave master usata in origine per crittografare i dati, consentendo al servizio di procedere alla decrittografia dei dati.

Se AWS KMS è in grado di supportare l’invio di dati con una dimensione minore di 4 KB da crittografare, la crittografia tramite la tecnica basata su envelope è in grado di offrire vantaggi significativi a livello di prestazioni. I dati crittografati direttamente da KMS devono prima essere trasferiti mediante la rete. La crittografia tramite la tecnica basata su envelope consente di ridurre il carico della rete associato all’applicazione o al servizio cloud AWS. Sono interessati dal trasferimento mediante la rete solo la richiesta e l’adempimento della chiave dati con KMS. Dal momento che la chiave dati viene sempre archiviata in formato crittografato, è più semplice e sicuro distribuire tale chiave laddove necessario in quanto non viene mai esposta. Le chiavi dati crittografate vengono inviate ad AWS KMS e decrittografate in base alle chiave master in modo da consentire la decrittografia dei dati. La chiave dati è disponibile direttamente nell’applicazione senza dover inviare l’intero blocco di dati ad AWS KMS e incorrere in una possibile latenza della rete.

È possibile selezionare una chiave master specifica da utilizzare quando si desidera che il servizio AWS esegua automaticamente la crittografia dei dati. Per comodità, nel tuo account viene creata una chiave master predefinita per ogni servizio la prima volta che cerchi di creare una risorsa crittografata. Questa chiave è gestita da AWS KMS, ma puoi sempre verificarne l’utilizzo in AWS CloudTrail. In alternativa, puoi creare una chiave master personalizzata in AWS KMS in modo da poterla utilizzare in seguito nelle tue applicazioni oppure all'interno di un servizio AWS supportato. Se necessario, AWS aggiornerà le policy nelle chiavi master predefinite per abilitare automaticamente le nuove funzionalità nei servizi supportati. AWS non modifica le policy nelle chiavi create.

La creazione di una chiave in AWS KMS consente di avere un maggiore controllo rispetto al livello di controllo disponibile in caso di utilizzo delle chiavi master predefinite del servizio. Quando crei una chiave master personalizzata per il cliente, puoi utilizzare materiale di cifratura generato da KMS o importare materiale di cifratura esistente, definire un alias e una descrizione e impostare la modifica automatica annuale della chiave (solo se il materiale di cifratura usato è quello generato in KMS). Puoi inoltre definire i permessi per la chiave in modo da controllare chi può utilizzare e gestire la chiave stessa. L’attività di gestione e utilizzo associata alla chiave può essere monitorata in AWS CloudTrail.

Sì. È possibile importare in KMS una copia delle chiavi da un'infrastruttura di gestione delle chiavi esistente per utilizzarle con tutti i servizi AWS con cui si integra e con le tue applicazioni.

Puoi usare una chiave importata per avere un maggiore controllo su creazione, ciclo di vita e durabilità di una chiave in KMS. L'importazione delle chiavi permette di soddisfare con maggiore semplicità i requisiti di conformità, tra cui è talvolta inclusa la possibilità di generare e conservare una copia sicura della chiave all'interno dell'infrastruttura e di eliminare la copia importata su richiesta dall'infrastruttura AWS quando non è più necessaria.

Puoi importare chiavi simmetriche a 256 bit.

Durante l'importazione, la chiave deve essere protetta da una chiave pubblica fornita da KMS usando uno dei due algoritmi RSA PKCS#1. In questo modo la chiave crittografata può essere decrittografata esclusivamente da KMS.

Le differenze tra le chiavi importate e quelle generate da KMS sono essenzialmente due:
  1. È necessario conservare una copia protetta delle chiavi importate nell'infrastruttura di gestione delle chiavi locale per poterle reimportare in qualsiasi momento. AWS garantisce disponibilità, sicurezza e durabilità delle chiavi generate da KMS fino a quando non ne viene programmata l'eliminazione.
  2. È possibile impostare un periodo di scadenza per una chiave importata in modo che venga automaticamente eliminata da KMS dopo un determinato intervallo di tempo. È anche possibile eliminare una chiave importata on demand senza eliminare la relativa chiave CMK. Inoltre, è possibile disabilitare o eliminare manualmente in qualsiasi momento una chiave CMK con una chiave importata. Per una chiave generata da KMS è possibile esclusivamente disabilitata o programmata per l'eliminazione; non è possibile assegnarvi un periodo di scadenza.

Sì. Puoi richiedere la modifica automatica annuale delle chiavi generate da KMS. La rotazione automatica delle chiavi non è supportata per le chiavi importate. Se scegli di importare chiavi in KMS, puoi modificarle manualmente in qualsiasi momento.

Se scegli di richiedere la modifica automatica delle chiavi generate da KMS, non è necessario crittografare nuovamente i dati. AWS KMS conserva le versioni precedenti delle chiavi per poterle utilizzare per la decrittografia dei dati crittografati in base a una versione precedente di una chiave. Tutte le nuove richieste di crittografia in base a una chiave in AWS KMS vengono eseguite in base alla versione più recente di tale chiave.

Se modifichi manualmente le tue chiavi, potrebbe essere necessario crittografare nuovamente i dati, a seconda della configurazione specifica dell'applicazione.  

Sì. Puoi programmare l'eliminazione di una chiave master creata in KMS e dei relativi metadati per un periodo tra i 7 e 30 giorni. Il periodo di attesa definito consente di verificare l’eventuale impatto dell’eliminazione di una chiave sulle applicazioni e sugli utenti che la utilizzano. Il periodo di attesa predefinito è pari a 30 giorni. Durante il periodo di attesa è possibile annullare l’eliminazione pianificata. Se per una chiave è stata pianificata l’eliminazione, tale chiave può essere utilizzata solo dopo aver annullato l’eliminazione durante il periodo di attesa. Se l’operazione di eliminazione non viene annullata, la chiave verrà eliminata alla scadenza del periodo di attesa configurato. Una volta eliminata, la chiave non potrà più essere utilizzata. Tutti i dati protetti mediante una chiave master eliminata risulteranno inaccessibili.

Per le chiavi CMK con materiale di cifratura importato, esistono due metodi per eliminare il materiale di cifratura senza eliminare l'ID della chiave o i relativi metadati. Il primo metodo prevede di eliminare su richiesta il materiale di cifratura importato senza periodo di attesa. Il secondo consiste nel definire, al momento dell'importazione del materiale di cifratura nella chiave CMK, una data di scadenza basata sul periodo in cui prevedi di utilizzare il materiale di cifratura importato. Nel caso in cui occorresse utilizzarlo ancora, potrai comunque importarlo nuovamente nella chiave CMK.

Puoi reimportare una copia del materiale di cifratura con un periodo di scadenza valido in KMS sotto la chiave master originale.

Sì. Una volta importata la chiave in una chiave master del cliente, inizierai a ricevere con una frequenza di pochi minuti una notifica di parametro di Amazon CloudWatch che indicherà il tempo rimanente alla sua scadenza. Riceverai inoltre una notifica di evento di Amazon CloudWatch al momento della sua scadenza. Puoi creare una funzione basata su tali parametri o eventi per reimportare automaticamente la chiave con un nuovo periodo di scadenza per non metterne a repentaglio la disponibilità. 

Sì. AWS KMS è supportato nei kit SDK AWS, Encryption SDK di AWS in Amazon S3 Encryption Client, consentendo di semplificare la crittografia dei dati all'interno delle applicazioni in esecuzione. Il kit SDK AWS nelle piattaforme Java, Ruby e .NET, supporta le API AWS KMS. Per ulteriori informazioni, visita il sito Web Developing on AWS.

Puoi creare fino a 1.000 chiavi master del cliente per account per regione. Dal momento che tale limite è dato dalla somma delle chiavi mater del cliente sia abilitate che disabilitate, si consiglia di eliminare le chiavi disabilitate non più necessarie. Le chiavi master predefinite create automaticamente per l’utilizzo all’interno dei servizi AWS supportati non vengono considerate per il conteggio di questo limite. Non esiste alcun limite al numero di chiavi dati che possono essere derivate in base a una chiave master e utilizzate nell’applicazione o dai servizi AWS per crittografare automaticamente i dati. Puoi richiedere un aumento del limite per le chiavi master del cliente visitando l’AWS Support Center.

Con AWS KMS pagherai solo le risorse utilizzate, senza alcun costo minimo. L'utilizzo del servizio non richiede alcun impegno di lungo termine né costi di configurazione. Alla fine del mese, verrà addebitato sulla carta di credito il costo delle risorse utilizzate in quel mese.

Vengono addebitati i costi mensili per tutte le chiavi master del cliente create e per le richieste API inoltrate al servizio, al netto del piano gratuito.

Per informazioni relative ai prezzi, visita la pagina dei prezzi di AWS KMS.

Sì. Grazie al piano di utilizzo gratuito di AWS, è possibile iniziare a utilizzare AWS KMS gratuitamente in tutte le regioni. Nel tuo account lo storage delle chiavi master predefinite create automaticamente è gratuito. È disponibile un piano gratuito che fornisce anche un numero di richieste gratuite ad AWS KMS al mese. Per informazioni aggiornate sui prezzi e sul piano gratuito, visita la pagina dei prezzi di AWS KMS.

Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Per ulteriori informazioni, fai clic qui.

AWS KMS implementa le policy di utilizzo e gestione che decidi di definire. Puoi scegliere di permettere agli utenti e ai ruoli di AWS Identity and Access Management (IAM) inclusi nel tuo account o in altri account di utilizzare e gestire le chiavi.

AWS KMS è stato progettato in modo da non consentire a nessuno di accedere alle tue chiavi master. Il servizio è stato sviluppato su sistemi progettati per proteggere le chiavi master con tecniche di protezione avanzate, ad esempio la disattivazione dello storage delle chiavi master non crittografate su disco, la disattivazione dell’archiviazione delle chiavi in memoria e la limitazione dei sistemi che possono connettersi al dispositivo. L’accesso al software di aggiornamento nel servizio viene controllato mediante un processo di approvazione a più livelli che viene monitorato e controllato da un gruppo indipendente interno di Amazon.

Per ulteriori informazioni su questi controlli di sicurezza, consulta il whitepaper AWS KMS Cryptographic Details. Per ulteriori informazioni sui controlli di sicurezza adottati da AWS per proteggere i dati e le chiavi master, è inoltre possibile richiedere una copia del report SOC (Service Organization Controls) ad AWS Compliance.

 

Sì. In KMS è stata convalidata la disponibilità delle funzionalità e dei controlli di sicurezza che consentono di garantire la conformità con i requisiti di crittografia e gestione delle chiavi (in precedenza descritti nelle sezioni 3.5 e 3.6 dello standard PCI DSS 3.1).

Per ulteriori informazioni sui servizi conformi con lo standard PCI DSS in AWS, consulta la sezione Domande frequenti sullo standard PCI DSS.

Puoi impostare AWS KMS in modo che generi chiavi dati che possono essere restituite per l’utilizzo nella tua applicazione. Le chiavi dati vengono crittografate in base a una chiave master definita in AWS KMS in modo da poter archiviare in modo sicuro la chiave dati crittografata assieme ai dati crittografati. La chiave dati crittografata e pertanto anche i dati di origine possono essere decrittografati solo dagli utenti autorizzati a utilizzare la chiave master originale usata per crittografare la chiave dati.

La lunghezza delle chiavi master in AWS KMS è pari a 256 bit. Le chiavi dati possono essere generate con una lunghezza pari a 128 o 256 bit e crittografate in base a una chiave master definita. AWS KMS consente inoltre di generare dati casuali di qualsiasi lunghezza definita che possono essere crittografati.

No. Le chiavi master vengono create e utilizzate solo all’interno di AWS KMS per garantirne la sicurezza, nonché per consentire l’implementazione uniforme delle policy e fornire un log centralizzato relativo al loro utilizzo.

Le chiavi vengono memorizzate e utilizzate solo nella regione in cui sono state create. Non è pertanto possibile trasferirle in altre regioni. Ad esempio, le chiavi create nella regione UE (Francoforte) sono memorizzate e utilizzate solo all’interno di tale regione.

I log disponibili in AWS CloudTrail riportano le richieste relative alle chiavi master, comprese le richieste di gestione (ad esempio creazione, rotazione, disabilitazione e modifiche delle policy) e le richieste di crittografia (ad esempio crittografia/decrittografia). Per visualizzare questi log, attiva AWS CloudTrail nel tuo account.

AWS CloudHSM offre un HSM (Hardware Security Module) single-tenant convalidato FIPS 140-2 di livello 3, installato in Amazon Virtual Private Cloud VPC, che consente di memorizzare e utilizzare le chiavi. Grazie ad AWS CloudHSM avrai il controllo totale delle chiavi e del software dell’applicazione che le utilizza. Inoltre, è possibile usare AWS CloudHSM per supportare una varietà di casi d’uso e di applicazioni, come Digital Rights Management (DRM), Public Key Infrastructure (PKI), funzioni crittografiche asimmetriche, la firma di documenti e alte prestazioni nell’accelerazione della crittografia nel VPC.

AWS KMS ti permette invece di controllare le chiavi di crittografia usate dalle applicazioni e dai servizi AWS supportati in più regioni in tutto il mondo avvalendoti di un’unica console. La gestione centralizzata di tutte le chiavi in AWS KMS ti consente di definire chi può utilizzare e gestire le chiavi, nonché definire la relativa rotazione. L’integrazione di AWS KMS con AWS CloudTrail ti permette di monitorare l’uso delle chiavi a supporto delle attività di verifica delle normative e della conformità.