Panoramica

AWS Key Management Service (KMS) offre funzionalità di controllo centralizzato delle chiavi di crittografia utilizzate per proteggere i dati. Il servizio è integrato in altri servizi AWS e questo facilita la crittografia dei dati archiviati in questi servizi e il controllo dell’accesso alle chiavi di decrittografia. AWS KMS è integrato con AWS CloudTrail e ciò consente di monitorare gli utenti che impiegano le chiavi, le risorse su cui vengono utilizzate e quando. AWS KMS consente agli sviluppatori di aggiungere facilmente la funzionalità di crittografia o firma digitale al codice dell'applicazione direttamente o utilizzando AWS SDK. AWS Encryption SDK supporta AWS KMS come provider di chiavi master per gli sviluppatori che devono crittografare/decrittografare i dati localmente all'interno delle loro applicazioni

Gestione centralizzata delle chiavi

AWS KMS fornisce un controllo centralizzato sul ciclo di vita e sulle autorizzazioni delle chiavi. È possibile creare nuove chiavi in base alle proprie esigenze e controllare chi può gestire le chiavi rispetto a chi può utilizzarle. In alternativa all'utilizzo delle chiavi generate da AWS KMS, è possibile importare le chiavi dalla propria infrastruttura di gestione delle chiavi o utilizzare le chiavi archiviate nel cluster AWS CloudHSM. È possibile scegliere la rotazione automatica delle chiavi master generate in AWS KMS una volta all'anno senza la necessità di crittografare nuovamente i dati crittografati in precedenza. Il servizio mantiene automaticamente le versioni precedenti della chiave master disponibili per decrittografare i dati crittografati in precedenza. Puoi gestire le tue chiavi master e controllarne l’utilizzo dalla Console di gestione AWS, usando SDK AWS o l’interfaccia a riga di comando (CLI) AWS.

* L'opzione di importazione delle chiavi non è disponibile per le chiavi asimmetriche.

Integrazione con i servizi AWS

AWS KMS è integrato con la maggior parte dei servizi AWS. Queste integrazioni utilizzano la crittografia tramite la tecnica envelope, in cui una chiave di crittografia dei dati utilizzata dal servizio AWS per crittografare i dati è protetta con una chiave master cliente (Customer Master Key, CMK) archiviata in AWS KMS. Esistono due tipi di CMK: (i) una CMK gestita da AWS che viene creata automaticamente quando si crea per la prima volta una risorsa crittografata in un servizio AWS. È possibile tenere traccia dell'utilizzo di una CMK gestita da AWS ma il ciclo di vita e le autorizzazioni della chiave vengono gestiti per conto dell'utente. (ii) una CMK gestita dal cliente che solo l’utente può creare. Le CMK gestite dai clienti garantiscono pieno controllo sul ciclo di vita e sulle autorizzazioni che determinano chi può usare la chiave e a quali condizioni.

Servizi AWS integrati con AWS KMS
Alexa for Business* Amazon Elasticsearch Amazon Redshift AWS CodeBuild
Amazon AppFlow Amazon EMR Amazon Relational Database Service (RDS) AWS CodeCommit*
Amazon Athena Amazon Forecast Amazon S3 AWS CodeDeploy
Amazon Aurora Amazon Fraud Detector Amazon SageMaker AWS CodePipeline
Amazon CloudWatch logs Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS Database Migration Service
Amazon Comprehend Amazon GuardDuty Amazon Simple Notification Service (SNS) AWS Glue
Amazon Connect Amazon Kendra Amazon Simple Queue Service (SQS) AWS Lambda
Amazon DocumentDB Amazon Kinesis Data Streams Amazon Timestream AWS Secrets Manager
Amazon DynamoDB Accelerator (DAX)* Amazon Kinesis Firehose Amazon Transcribe AWS Snowball
Amazon DynamoDB Amazon Kinesis Video Streams Amazon Translate AWS Snowball Edge
Amazon EBS Amazon Lex Amazon WorkMail AWS Snowcone
Amazon EC2 Image Builder Amazon Lightsail* Amazon WorkSpaces AWS Snowmobile
Amazon EFS Amazon Macie AWS Backup AWS Storage Gateway
Amazon Elastic Container Registry (ECR) Amazon Managed Streaming for Kafka (MSK) AWS Certificate Manager* AWS Systems Manager
Amazon Elastic Kubernetes Service (EKS) Amazon MQ AWS Cloud9* AWS X-Ray
Amazon Elastic Transcoder Amazon Neptune AWS CloudTrail  
Amazon ElastiCache Amazon Personalize AWS CodeArtifact  

*Supporta solo chiavi AWS KMS gestite da AWS.

** Per l'elenco dei servizi integrati con AWS KMS nella regione AWS Cina (Pechino), gestita da Sinnet e nella regione AWS Cina (Ningxia), gestita da NWCD, visita la sezione Integrazione del servizio AWS KMS in Cina.

I servizi AWS non elencati sopra crittografano i dati degli utenti usando chiavi che il rispettivo servizio possiede e gestisce.

Funzionalità di audit

Se hai abilitato AWS CloudTrail per il tuo account AWS, ogni richiesta ad AWS KMS viene registrata in un file di log che viene trasmesso al bucket di Amazon S3 specificato al momento dell’abilitazione di AWS CloudTrail. Le informazioni registrate includono i dettagli relativi a utente, chiave (se necessario), operazione API, data e ora di utilizzo di tale chiave.

Scalabilità, durabilità ed elevata disponibilità

AWS KMS è un servizio completamente gestito. Se fai ampio uso della funzionalità di crittografia, il servizio ridimensiona automaticamente le risorse in base alle tue esigenze. Consente di gestire migliaia di CMK nel tuo account e di usarle in qualsiasi momento. Stabilisce dei limiti predefiniti per il numero di chiavi e la frequenza di richieste, ma possono essere aumentati in caso di necessità.

Le CMK create o quelle create per conto tuo da altri servizi AWS non possono essere esportate dal servizio. AWS KMS si assume quindi la responsabilità della loro durabilità. Per garantire la costante disponibilità delle chiavi e dei dati, KMS memorizza più copie delle versioni crittografate delle chiavi in sistemi caratterizzati da una durabilità pari al 99,999999999%.

Importando le chiavi nel servizio, puoi mantenere una copia sicura delle CMK; in questo modo puoi reimportarle se non sono disponibili quando ne hai bisogno. Se usi la funzionalità di storage per chiavi personalizzate per creare le tue CMK in un cluster AWS CloudHSM, verrà effettuato un backup automatico delle copie crittografate delle tue chiavi e avrai pieno controllo sul processo di recupero.

AWS KMS è progettato per essere un servizio a disponibilità elevata con un endpoint API regionale. Dal momento che la maggior parte dei servizi AWS utilizza la crittografia e la decrittografia, questo è strutturato in modo da fornire un livello di disponibilità adatto a supportare il resto di AWS ed è coperto dal Contratto sul livello di servizio di AWS KMS.

Sicurezza

AWS KMS è progettato in modo che nessuno, nemmeno i dipendenti di AWS, possa ottenere dal servizio le chiavi in chiaro. Il servizio utilizza moduli di sicurezza hardware (HSM) conformi agli standard FIPS 140-2, o in fase di conformità, per proteggere la riservatezza e l’integrità delle tue chiavi. Ciò è vero indipendentemente dal fatto che tu richieda a AWS KMS di creare chiavi per tuo conto, crearle in un cluster AWS CloudHSM o importarle nel servizio. Le chiavi in chiaro non vengono mai scritte su disco e vengono utilizzate solo nella memoria volatile dei moduli HSM per l'intervallo di tempo strettamente necessario per eseguire l'operazione di crittografia richiesta. Le chiavi create dal servizio AWS KMS non sono mai trasmesse al di fuori della regione AWS in cui sono state create e possono essere utilizzate esclusivamente in tale regione. Gli aggiornamenti al firmware dei moduli di sicurezza hardware (HSM) di AWS KMS vengono monitorati mediante un processo di controllo multilaterale che viene tenuto sotto controllo e verificato da un gruppo indipendente interno di Amazon e da un laboratorio accreditato NIST in conformità con FIPS 140-2.

Per maggiori informazioni sulla struttura di AWS KMS e la crittografia usata per proteggere le tue chiavi, leggi il whitepaper sulle Informazioni sulla crittografia di AWS Key Management Service.

* Nella regione AWS Cina (Pechino), gestita da Sinnet, e nella regione AWS Cina (Ningxia), gestita da NWCD, i moduli di sicurezza hardware sono approvati dal governo cinese (non conformi allo standard FIPS 140-2) e il whitepaper sopra menzionato non si applica. 

Storage per chiavi personalizzate

AWS KMS offre la possibilità ti creare il tuo storage per chiavi usando i moduli HSM controllati da te. Ogni storage per chiavi personalizzate è supportato da un cluster AWS CloudHSM. Quando crei una CMK in uno storage per chiavi personalizzate, il servizio genera e archivia materiale per la CMK in un cluster AWS CloudHSM di tua proprietà e sotto la tua gestione. Quando usi una chiave CMK in uno storage per chiavi personalizzate, le operazioni di crittografia mediante quella chiave vengono effettuate esclusivamente nel tuo cluster AWS CloudHSM.

Le CMK archiviate in uno storage per chiavi personalizzate sono gestite come qualsiasi altra CMK e possono essere utilizzate con qualsiasi servizio AWS che si integra con KMS AWS.

L’uso di uno storage per chiavi personalizzate prevede il costo aggiuntivo del cluster AWS CloudHSM e ti rende responsabile della disponibilità del materiale della chiave in quel cluster. Per sapere se la funzionalità di storage per chiavi personalizzate può rappresentare una buona soluzione per i tuoi requisiti, puoi leggere questo blog.

* La funzionalità di storage per chiavi personalizzate non è disponibile nella regione AWS Cina (Pechino), gestita da Sinnet, né nella regione AWS Cina (Ningxia), gestita da NWCD.

** Lo’opzione di storage per chiavi personalizzate non è disponibile per CMK asimmetriche.

Chiavi asimmetriche

AWS KMS offre la possibilità di creare e utilizzare CMK asimmetriche e coppie di chiavi dati. È possibile definire una CMK da utilizzare come coppia di chiavi di firma o coppia di chiavi di crittografia La generazione di coppie di chiavi e le operazioni di crittografia asimmetrica che utilizzano queste CMK vengono eseguite all'interno degli HSM. Puoi richiedere la parte pubblica della CMK asimmetrica per l'utilizzo nelle applicazioni locali, mentre la parte privata non esce mai il servizio.

È inoltre possibile richiedere al servizio di generare una coppia di chiavi dati asimmetriche. Questa operazione restituisce una copia in chiaro della chiave pubblica e della chiave privata, nonché una copia della chiave privata crittografata con una CMK simmetrica specifica. È possibile utilizzare la chiave pubblica o privata in chiaro nell'applicazione locale e memorizzare la copia crittografata della chiave privata per un uso futuro.

Le chiavi asimmetriche sono ora disponibili nella regione AWS Cina (Pechino), gestita da Sinnet, e nella regione AWS Cina (Ningxia), gestita da NWCD

** Le chiavi asimmetriche non sono supportate con la funzionalità di storage per chiavi personalizzate.

Conformità

I controlli di sicurezza e qualità in AWS KMS sono stati convalidati e certificati in base ai seguenti standard di conformità:

 
Ecco un elenco di altri standard di conformità per cui AWS KMS è conforme e certificato.
 
* Lo standard FIPS 140-2 non si applica al servizio AWS KMS nelle regioni della Cina. I moduli di sicurezza hardware sono invece approvati dal governo cinese per l’utilizzo nelle regioni della Cina.
Product-Page_Standard-Icons_01_Product-Features_SqInk
Ulteriori informazioni sui prezzi dei prodotti

Consulta gli esempi di prezzi e calcola i costi.

Ulteriori informazioni 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrati per creare un account gratuito

Ottieni l'accesso istantaneo al piano gratuito di AWS. 

Registrati 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Inizia subito nella console

Inizia subito a creare con AWS Key Management Service nella console AWS

Accedi