Panoramica

AWS Key Management Service (KMS) offre funzionalità di controllo centralizzato delle chiavi di crittografia utilizzate per proteggere i dati. Il servizio è integrato in altri servizi AWS e questo facilita la crittografia dei dati archiviati in questi servizi e il controllo dell’accesso alle chiavi di decrittografia. AWS KMS è anche integrato con AWS CloudTrail e ciò consente di monitorare gli utenti che impiegano le chiavi, le risorse su cui vengono utilizzate e quando. AWS KMS consente agli sviluppatori di aggiungere facilmente la funzionalità di crittografia o firma digitale al codice dell'applicazione direttamente o utilizzando AWS SDK. AWS Encryption SDK supporta AWS KMS come provider di chiavi root per gli sviluppatori che devono crittografare/decrittografare i dati localmente all'interno delle loro applicazioni

Gestione centralizzata delle chiavi

AWS KMS fornisce un controllo centralizzato sul ciclo di vita e sulle autorizzazioni delle chiavi. È possibile creare nuove chiavi in base alle proprie esigenze e controllare chi può gestire le chiavi in modo separato rispetto a chi può utilizzarle. In alternativa all'utilizzo delle chiavi generate da AWS KMS, è possibile importare le chiavi dalla propria infrastruttura di gestione delle chiavi o utilizzare le chiavi archiviate nel cluster AWS CloudHSM. È possibile scegliere la rotazione automatica delle chiavi master generate in AWS KMS una volta all'anno senza la necessità di crittografare nuovamente i dati crittografati in precedenza. Il servizio mantiene automaticamente le versioni precedenti della chiave root disponibili per decrittografare i dati crittografati in precedenza. Puoi gestire le tue chiavi root e verificarne l’utilizzo dalla Console di gestione AWS o usando AWS SDK o AWS Command Line Interface (CLI).

* L'opzione di importazione delle chiavi non è disponibile per le chiavi asimmetriche.

Integrazione con i servizi AWS

AWS KMS si integra con i servizi AWS per crittografare i dati a riposo o per facilitare la firma e la verifica utilizzando una chiave AWS KMS. Per proteggere i dati a riposo, i servizi AWS integrati utilizzano la crittografia basata su envelope, in cui una chiave di dati viene utilizzata per crittografare i dati ed è essa stessa crittografata in una chiave KMS archiviata in AWS KMS. Per la firma e la verifica, i servizi AWS integrati utilizzano una coppi di chiavi da una chiave KMS asimmetrica in AWS KMS. Per maggiori dettagli su come un servizio integrato utilizza AWS KMS, consulta la documentazione del tuo servizio AWS.

Esistono due tipi di risorse chiave KMS che possono essere create nel tuo account AWS: (i) Una chiave KMS gestita da AWS può essere creata automaticamente quando necessario. È possibile elencare o inventariare le chiavi KMS gestite da AWS e ricevere un registro del loro utilizzo in AWS CloudTrail, ma le autorizzazioni per la risorsa sono gestite dal servizio AWS con cui è stata creata per essere utilizzata. (ii) Una chiave KMS gestita dal cliente offre il massimo grado di controllo sulle autorizzazioni e sul ciclo di vita della chiave.

Servizi AWS integrati con AWS KMS
Alexa for Business[1] Amazon Forecast Amazon Nimble Studio AWS CloudHSM[2]
Amazon AppFlow Amazon Fraud Detector Amazon Personalize AWS CloudTrail
Amazon Athena Amazon FSx Amazon QLDB AWS CodeArtifact
Amazon Aurora Amazon GuardDuty Amazon Redshift AWS CodeBuild
Amazon CloudWatch Logs Amazon HealthLake Amazon Rekognition AWS CodeCommit[1]
Amazon CloudWatch Synthetics Amazon Inspector Amazon Relational Database Service (RDS) AWS CodePipeline
Amazon CodeGuru Amazon Kendra Amazon Route 53 AWS Control Tower
Amazon Comprehend Amazon Keyspaces (per Apache Cassandra) Amazon S3 AWS Database Migration Service
Amazon Connect Amazon Kinesis Data Streams Amazon SageMaker Ripristino di emergenza di AWS Elastic
Profili cliente Amazon Connect Amazon Kinesis Firehose Amazon Simple Email Service (SES) AWS Elemental MediaTailor
Amazon Connect Voice ID Flusso di video Amazon Kinesis Amazon Simple Notification Service (SNS) AWS Glue
Amazon Connect Wisdom Amazon Lex Amazon Simple Queue Service (SQS) AWS Glue DataBrew
Amazon DocumentDB Amazon Lightsail[1] Amazon Textract AWS IoT SiteWise
Amazon DynamoDB Amazon Location Service Amazon Timestream AWS Lambda
Amazon DynamoDB Accelerator (DAX)[1] Amazon Lookout for Equipment Amazon Transcribe AWS License Manager
Amazon EBS Amazon Lookout for Metrics Amazon Translate Firewall di rete AWS
Amazon EC2 Image Builder Amazon Lookout for Vision Amazon WorkMail AWS Proton
Amazon EFS Amazon Macie Amazon WorkSpaces Gestione dei segreti AWS
Amazon Elastic Container Registry (ECR) Blockchain gestita da Amazon Amazon WorkSpaces Web AWS Snowball
Amazon Elastic Kubernetes Service (EKS) Amazon Managed Service per Prometheus AWS Audit Manager AWS Snowball Edge
Amazon Elastic Transcoder Amazon Managed Streaming for Kafka (MSK) AWS Application Cost Profiler AWS Snowcone
Amazon ElastiCache Amazon Managed Workflows for Apache Airflow (MWAA) AWS Application Migration Service AWS Snowmobile
Amazon OpenSearch Amazon MemoryDB AWS App Runner AWS Storage Gateway
Amazon EMR Amazon Monitron AWS Backup AWS Systems Manager
Amazon EMR Serverless Amazon MQ AWS Certificate Manager[1] AWS X-Ray
Amazon FinSpace Amazon Neptune AWS Cloud9[1]  

[1] Supporta solo chiavi gestite da AWS.

[2] AWS KMS supporta archiviazioni per chiavi personalizzate supportate da un cluster AWS CloudHSM.

[3] Per l'elenco dei servizi integrati con AWS KMS nella regione AWS Cina (Pechino), gestita da Sinnet e nella regione AWS Cina (Ningxia), gestita da NWCD, visita la sezione Integrazione del servizio AWS KMS in Cina.

I servizi AWS non elencati sopra crittografano i dati degli utenti usando chiavi che il rispettivo servizio possiede e gestisce.

Funzionalità di audit

Se hai abilitato AWS CloudTrail per il tuo account AWS, ogni richiesta ad AWS KMS viene registrata in un file di log che viene trasmesso al bucket di Amazon S3 specificato al momento dell’abilitazione di AWS CloudTrail. Le informazioni registrate includono i dettagli relativi a utente, chiave (se necessario), operazione API, data e ora di utilizzo di tale chiave.

Scalabilità, durabilità ed elevata disponibilità

AWS KMS è un servizio completamente gestito. Se fai ampio uso della funzionalità di crittografia, il servizio ridimensiona automaticamente le risorse in base alle tue esigenze. Consente di gestire migliaia di chiavi KMS nel tuo account e di usarle in qualsiasi momento. Stabilisce dei limiti di default per il numero di chiavi e la frequenza di richieste, ma possono essere aumentati in caso di necessità.

Le chiavi KMS create o quelle create per conto tuo da altri servizi AWS non possono essere esportate dal servizio. AWS KMS si assume quindi la responsabilità della loro durabilità. Per garantire la costante disponibilità delle chiavi e dei dati, KMS memorizza più copie delle versioni crittografate delle chiavi in sistemi caratterizzati da una durabilità pari al 99,999999999%.

Importando le chiavi nel servizio, puoi mantenere una copia sicura delle chiavi KMS, in modo da reimportarle se non sono disponibili quando ne hai bisogno. Se usi le caratteristiche di archiviazione per chiavi personalizzate per creare le tue chiavi KMS in un cluster AWS CloudHSM, verrà effettuato un backup automatico delle copie crittografate delle tue chiavi e avrai pieno controllo sul processo di recupero.

Per dati crittografati o flussi di lavoro di firma digitale che si spostano tra le Regioni (disaster recovery, architetture ad alta disponibilità multi-Regione, tabelle globali DynamoDB e firme digitali coerenti distribuite a livello globale), è possibile creare chiavi multi-Regione KMS, un set di chiavi interoperabili con lo stesso materiale chiave e ID chiave che possono essere replicati in più Regioni.

AWS KMS è progettato per essere un servizio a disponibilità elevata con un endpoint API regionale. Dal momento che la maggior parte dei servizi AWS utilizza la crittografia e la decrittografia, questo è strutturato in modo da fornire un livello di disponibilità adatto a supportare il resto di AWS ed è coperto dall’Accordo sul livello di servizio (SLA) di AWS KMS.

Sicurezza

AWS KMS è progettato in modo che nessuno, nemmeno i dipendenti di AWS, possa ottenere dal servizio le chiavi in chiaro. Il servizio utilizza moduli di sicurezza hardware (HSM) conformi agli standard FIPS 140-2, o in fase di conformità, per proteggere la riservatezza e l’integrità delle tue chiavi. Le chiavi in chiaro non vengono mai scritte su disco e vengono utilizzate solo nella memoria volatile dei moduli HSM per l'intervallo di tempo strettamente necessario per eseguire l'operazione di crittografia richiesta. Ciò è vero indipendentemente dal fatto che tu richieda a AWS KMS di creare chiavi per tuo conto, importarle nel servizio o crearle in un cluster AWS CloudHSM utilizzando la funzionalità di archivio delle chiavi personalizzate. Le chiavi create dal servizio AWS KMS non sono mai trasmesse al di fuori della regione AWS in cui sono state create e possono essere utilizzate esclusivamente in tale regione. Gli aggiornamenti al firmware dei moduli di sicurezza hardware (HSM) di AWS KMS vengono monitorati mediante un processo di controllo multilaterale che viene tenuto sotto controllo e verificato da un gruppo indipendente interno di Amazon e da un laboratorio accreditato NIST in conformità con FIPS 140-2.

Per maggiori informazioni sulla struttura di AWS KMS e la crittografia usata per proteggere le tue chiavi, consulta i dettagli sulle Informazioni sulla crittografia di AWS Key Management Service.

* Nella regione AWS Cina (Pechino), gestita da Sinnet, e nella regione AWS Cina (Ningxia), gestita da NWCD, i moduli di sicurezza hardware sono approvati dal governo cinese (non conformi allo standard FIPS 140-2) e il whitepaper sopra menzionato non si applica. 

Storage per chiavi personalizzate

AWS KMS offre la possibilità ti creare il tuo storage per chiavi usando i moduli HSM controllati da te. Ogni archiviazione per chiavi personalizzate è supportata da un cluster AWS CloudHSM. Quando crei una chiave KMS in un’archiviazione per chiavi personalizzate, il servizio genera e archivia materiale per la chiave KMS in un cluster AWS CloudHSM di tua proprietà e sotto la tua gestione. Quando usi una chiave KMS in un’archiviazione per chiavi personalizzate, le operazioni di crittografia mediante quella chiave vengono effettuate esclusivamente nel tuo cluster AWS CloudHSM.

Le chiavi KMS archiviate in un’archiviazione per chiavi personalizzate sono gestite come qualsiasi altra chiave KMS e possono essere utilizzate con qualsiasi servizio AWS che si integra con AWS KMS.

L’uso di un archivio per chiavi personalizzate prevede il costo aggiuntivo del cluster AWS CloudHSM e ti rende responsabile della disponibilità del materiale della chiave in quel cluster. Per sapere se la funzionalità di archiviazione per chiavi personalizzate può rappresentare una buona soluzione per i tuoi requisiti, puoi leggere questo blog.

* La funzionalità di archiviazione per chiavi personalizzate non è disponibile nella regione AWS Cina (Pechino), gestita da Sinnet, né nella regione AWS Cina (Ningxia), gestita da NWCD.

** L’opzione di archiviazione per chiavi personalizzate non è disponibile per chiavi KMS asimmetriche.

Chiavi asimmetriche

AWS KMS offre la possibilità di creare e utilizzare chiavi KMS asimmetriche e coppie di chiavi dati. È possibile definire una chiave KMS da utilizzare come coppia di chiavi di firma o coppia di chiavi di crittografia La generazione di coppie di chiavi e le operazioni di crittografia asimmetrica che utilizzano queste chiavi KMS vengono eseguite all'interno degli HSM. Puoi richiedere la parte pubblica della chiave KMS asimmetrica per l'utilizzo nelle applicazioni locali, mentre la parte privata non esce mai il servizio.

È inoltre possibile richiedere al servizio di generare una coppia di chiavi dati asimmetriche. Questa operazione restituisce una copia in chiaro della chiave pubblica e della chiave privata, nonché una copia della chiave privata crittografata con una chiave KMS simmetrica specifica. È possibile utilizzare la chiave pubblica o privata in chiaro nell'applicazione locale e memorizzare la copia crittografata della chiave privata per un uso futuro.

** Le chiavi asimmetriche non sono supportate con la funzionalità di storage per chiavi personalizzate.

HMAC

Puoi generare e verificare il codice di autenticazione dei messaggi basato su hash (HMAC) dai moduli di sicurezza hardware (HSM) convalidati per FIPS 140-2 di KMS. Gli HMAC sono un blocco crittografico che incorpora il materiale della chiave segreta all'interno di una funzione hash per creare un codice di autenticazione del messaggio con chiave univoco. Le chiavi KMS HMAC offrono un vantaggio rispetto alle HMAC del software applicativo perché il materiale delle chiavi viene generato e utilizzato interamente all'interno di AWS KMS e sono soggette ai controlli di accesso impostati sulla chiave. Le chiavi KMS HMAC e gli algoritmi HMAC utilizzati da AWS KMS sono conformi agli standard di settore definiti in RFC 2104. Le chiavi KMS HMAC vengono generate nei moduli di sicurezza hardware AWS KMS certificati nell'ambito del programma di convalida dei moduli crittografici FIPS 140-2 (tranne nelle regioni Cina (Pechino) e Cina (Ningxia)) e non lasciano mai AWS KMS non crittografato.

** Le chiavi HMAC di AWS KMS non sono supportate negli archivi di chiavi personalizzate.

Conformità

I controlli di sicurezza e qualità in AWS KMS sono stati convalidati e certificati in base ai seguenti standard di conformità:

 
Ecco un elenco di altri standard di conformità per cui AWS KMS è conforme e certificato.
 
* Lo standard FIPS 140-2 non si applica al servizio AWS KMS nelle regioni della Cina. I moduli di sicurezza hardware sono invece approvati dal governo cinese per l’utilizzo nelle regioni della Cina.
Standard Product Icons (Features) Squid Ink
Ulteriori informazioni sui prezzi dei prodotti

Consulta gli esempi di prezzi e calcola i costi.

Ulteriori informazioni 
Sign up for a free account
Registrati per creare un account gratuito

Ottieni l'accesso immediato al piano gratuito di AWS. 

Registrati 
Standard Product Icons (Start Building) Squid Ink
Inizia subito nella console

Inizia subito a creare con AWS Key Management Service nella console AWS

Accedi