Panoramica

AWS Key Management Service (KMS) offre funzionalità di controllo centralizzato delle chiavi di crittografia utilizzate per proteggere i dati. AWS KMS è integrato nei servizi AWS e questo facilita la crittografia dei dati archiviati in questi servizi e il controllo dell’accesso alle chiavi di decrittografia. AWS KMS è integrato con AWS CloudTrail e ciò consente di monitorare gli utenti che impiegano le chiavi, le risorse su cui vengono utilizzate e quando. AWS KMS consente agli sviluppatori di aggiungere facilmente una funzionalità di crittografia al codice delle applicazioni direttamente attraverso le API dei servizi di crittografia e decrittografia o integrandola a Encryption SDK di AWS.

Gestione centralizzata delle chiavi

AWS Key Management Service garantisce un controllo centralizzato di tutte le chiavi di crittografia. Le chiavi master del cliente (CMK) permettono controllare l’accesso alle chiavi di crittografia dei dati usate per crittografare e decrittografare i tuoi dati. Puoi creare nuove chiavi master in qualsiasi momento e controllare chi ha accesso a tali chiavi e con quali servizi puoi utilizzarle. Puoi anche importare le chiavi dall’infrastruttura di gestione chiavi all’interno di AWS KMS o usare le chiavi presenti nel cluster AWS CloudHSM e gestirle da AWS KSM. Puoi gestire le tue chiavi master e controllarne l’utilizzo dalla Console di gestione AWS, usando SDK AWS o l’interfaccia a riga di comando (CLI) AWS.

Le chiavi in AWS KMS, sia che siano state create in KMS, in un cluster CloudHSM o importate direttamente da te, sono archiviate in uno storage estremamente durevole in formato crittografato, così da poterle usare quando servono. Puoi impostare AWS KMS in modo che esegua la rotazione automatica delle chiavi master create in KMS una volta all'anno senza dover crittografare nuovamente i dati già codificati in base alla chiave master. Non dovrai tenere traccia delle versioni precedenti delle chiavi master perché tali chiavi risulteranno sempre disponibili in KMS per decrittografare i dati precedentemente crittografati.

Integrazione con i servizi AWS

AWS KMS è integrato con la maggior parte dei servizi AWS. Grazie a questa integrazione, puoi utilizzare le chiavi master di KMS per crittografare i dati memorizzati all’interno dei servizi interessati. Quando desideri crittografare i dati in un servizio, puoi scegliere di utilizzare una chiave master gestita da AWS creata automaticamente per te da quel servizio in KMS. Puoi controllare l’utilizzo della chiave ma questa viene gestita per tuo conto dal servizio.

Se hai bisogno di controllare direttamente il ciclo di vita di una chiave master o desideri autorizzare l’accesso ad altri account, puoi creare e gestire le tue chiavi master che i servizi AWS possono usare per tuo conto. Queste chiavi master gestite dai clienti garantiscono pieno controllo sulle autorizzazioni di accesso stabilendo chi può usare la chiave e a quali condizioni.

Servizi AWS integrati con KMS
Alexa for Business* Amazon EMR Amazon SageMaker AWS CodeDeploy
Amazon Athena Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS CodePipeline

Amazon Aurora

Amazon Glacier Amazon Simple Notification Service (SNS) AWS Database Migration Service
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Simple Queue Service (SQS) AWS Glue
Amazon Comprehend* Amazon Kinesis Firehose Amazon Translate AWS Lambda
Amazon Connect Amazon Kinesis Video Streams Amazon WorkMail AWS Secrets Manager
Amazon DocumentDB Amazon Lex Amazon WorkSpaces AWS Systems Manager
Amazon DynamoDB* Amazon Lightsail* AWS Backup AWS Snowball
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) AWS Certificate Manager* AWS Snowball Edge
Amazon EBS Amazon Neptune AWS Cloud9* AWS Snowmobile
Amazon EFS Amazon Redshift AWS CloudTrail AWS Storage Gateway
Amazon Elastic Transcoder Amazon Relational Database Service (RDS) AWS CodeBuild AWS X-Ray
Amazon Elasticsearch Service Amazon S3 AWS CodeCommit*
AWS X-Ray

*Supporta solo chiavi KMS gestite da AWS.

I servizi AWS non elencati sopra crittografano automaticamente i dati degli utenti usando chiavi che il servizio possiede e gestisce.

Funzionalità di audit

Se hai abilitato AWS CloudTrail per il tuo account AWS, ogni richiesta ad AWS KMS viene registrata in un file di log che viene trasmesso al bucket di Amazon S3 specificato al momento dell’abilitazione di AWS CloudTrail. Le informazioni registrate includono i dettagli relativi a utente, chiave (se necessario), operazione API, data e ora di utilizzo di tale chiave.

Scalabilità, durabilità ed elevata disponibilità

AWS KMS è un servizio completamente gestito. Se fai ampio uso della funzionalità di crittografia, KMS ricalibra automaticamente le risorse in base alle tue esigenze. AWS KMS ti consente di gestire migliaia di chiavi master nel tuo account e di usarle in qualsiasi momento. AWS KMS stabilisce dei limiti predefiniti per il numero di chiavi e la frequenza di richieste, ma possono essere aumentati in caso di necessità.

Le chiavi master create in AWS KMS o quelle create per tuo conto da altri servizi AWS non possono essere esportate dai servizi. KMS si assume quindi la responsabilità della loro durabilità. Per garantire la costante disponibilità delle chiavi e dei dati, KMS memorizza più copie delle versioni crittografate delle chiavi in sistemi caratterizzati da una durabilità pari al 99,999999999%.

Importando le chiavi in KMS mantieni una copia sicura delle chiavi master; in questo modo puoi reimportarle se non sono disponibili quando ne hai bisogno. Se usi la funzionalità di storage per chiavi personalizzate in KMS per creare le tue chiavi master in un cluster AWS CloudHSM, verrà effettuato un backup automatico delle copie crittografate delle tue chiavi e avrai pieno controllo sul processo di recupero.

AWS KMS è progettato per essere un servizio a disponibilità elevata con un endpoint API regionale. Dal momento che la maggior parte dei servizi AWS utilizza AWS KMS per la crittografia e decrittografia, questi è strutturato in modo da fornire un livello di durabilità adatto a supportare il resto di AWS ed è coperto dal Contratto sul livello di servizio di AWS KMS.

Sicurezza

AWS KMS è progettato in modo che nessuno, nemmeno i dipendenti di AWS, possa ottenere dal servizio le chiavi in testo semplice. Il servizio usa infatti moduli di sicurezza hardware conformi allo standard FIPS 140-2 per proteggere la riservatezza e l'integrità delle chiavi, sia che vengano create da KMS per tuo conto sia che vengano create in un cluster AWS CloudHSM o importate nel servizio. Le chiavi in testo semplice non vengono mai scritte su disco e vengono utilizzate solo nella memoria volatile dei moduli HSM per l'intervallo di tempo strettamente necessario per eseguire l'operazione di crittografia richiesta. Le chiavi create da KMS non sono mai trasmesse al di fuori della regione AWS in cui sono state create e possono essere utilizzate esclusivamente in tale regione. Gli aggiornamenti al firmware dei moduli di sicurezza hardware (HSM) di AWS KMS vengono monitorati mediante un processo di controllo multilaterale che viene tenuto sotto controllo e verificato da un gruppo indipendente interno di Amazon e da un laboratorio certificato NIST in conformità con FIPS 140-2.

Per maggiori informazioni sulla struttura di AWS KMS e la crittografia usata per proteggere le tue chiavi, leggi il whitepaper su AWS Key Management Service Cryptographic Details.

Funzionalità di storage per chiavi personalizzate

AWS KMS offre la possibilità ti creare il tuo storage per chiavi usando i moduli HSM controllati da te. Ogni storage per chiavi personalizzate è supportato da un cluster AWS CloudHSM. Quando crei una chiave master del cliente (CMK) in uno storage per chiavi personalizzate, KMS genera e archivia materiale non estraibile per la CMK in un cluster AWS CloudHSM di tua proprietà e sotto la tua gestione. Quando usi una chiave CMK KMS in uno storage per chiavi personalizzate, le operazioni di crittografia mediante quella chiave vengono effettuate esclusivamente nel tuo cluster CloudHSM.

Le chiavi master archiviate in uno storage per chiavi personalizzate invece che nello storage KMS predefinito sono gestite nello stesso modo di qualsiasi chiave master in KMS e possono essere usate da qualsiasi servizio AWS che crittografa dati e supporta chiavi CMK gestite dal cliente.

L’uso di una chiave personalizzata prevede il costo aggiuntivo del cluster CloudHSM e ti rende responsabile della disponibilità del materiale della chiave in quel cluster. Per sapere se la funzionalità di storage per chiavi personalizzate può rappresentare una buona soluzione per i tuoi requisiti, puoi leggere questo blog.

Conformità

I controlli di sicurezza e qualità in AWS KMS sono stati convalidati e certificati in base ai seguenti schemi di conformità:

Product-Page_Standard-Icons_01_Product-Features_SqInk
Ulteriori informazioni sui prezzi dei prodotti

Consulta gli esempi di prezzi e calcola i costi.

Ulteriori informazioni 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrati per creare un account gratuito

Ottieni accesso istantaneo al piano gratuito di AWS. 

Registrati 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Inizia subito a creare nella console

Inizia subito a creare con AWS Key Management Service nella console AWS

Accedi