Panoramica

AWS Key Management Service (KMS) offre funzionalità di controllo centralizzato delle chiavi di crittografia utilizzate per proteggere i dati. Il servizio è integrato in altri servizi AWS e questo facilita la crittografia dei dati archiviati in questi servizi e il controllo dell’accesso alle chiavi di decrittografia. AWS KMS è anche integrato con AWS CloudTrail e ciò consente di monitorare gli utenti che impiegano le chiavi, le risorse su cui vengono utilizzate e quando. AWS KMS consente agli sviluppatori di aggiungere facilmente la funzionalità di crittografia o firma digitale al codice dell'applicazione direttamente o utilizzando AWS SDK. AWS Encryption SDK supporta AWS KMS come provider di chiavi master per gli sviluppatori che devono crittografare/decrittografare i dati localmente all'interno delle loro applicazioni

Gestione centralizzata delle chiavi

AWS KMS fornisce un controllo centralizzato sul ciclo di vita e sulle autorizzazioni delle chiavi. È possibile creare nuove chiavi in base alle proprie esigenze e controllare chi può gestire le chiavi in modo separato rispetto a chi può utilizzarle. In alternativa all'utilizzo delle chiavi generate da AWS KMS, è possibile importare le chiavi dalla propria infrastruttura di gestione delle chiavi o utilizzare le chiavi archiviate nel cluster AWS CloudHSM. È possibile scegliere la rotazione automatica delle chiavi master generate in AWS KMS una volta all'anno senza la necessità di crittografare nuovamente i dati crittografati in precedenza. Il servizio mantiene automaticamente le versioni precedenti della chiave master disponibili per decrittografare i dati crittografati in precedenza. Puoi gestire le tue chiavi master e controllarne l’utilizzo dalla Console di gestione AWS, usando SDK AWS o l’interfaccia a riga di comando (CLI) AWS.

* L'opzione di importazione delle chiavi non è disponibile per le chiavi asimmetriche.

Integrazione con i servizi AWS

AWS KMS si integra con i servizi AWS per crittografare i dati inattivi o per facilitare la firma e la verifica utilizzando una chiave master del cliente (CMK) AWS KMS. Per proteggere i dati inattivi, i servizi AWS integrati utilizzano la crittografia basata su envelope, in cui una chiave di dati viene utilizzata per crittografare i dati ed è essa stessa crittografata in una chiave CMK archiviata in AWS KMS. Per la firma e la verifica, i servizi AWS integrati utilizzano una coppi di chiavi da una chiave CMK asimmetrica in AWS KMS. Per maggiori dettagli su come un servizio integrato utilizza AWS KMS, consulta la documentazione del tuo servizio AWS.

Esistono due tipi di risorse CMK che possono essere create nel tuo account AWS: (i) Una chiave CMK gestita da AWS può essere creata automaticamente quando necessario. Puoi elencare o inventariare le chiavi CMLK gestite da AWS e ricevere un record del loro utilizzo in AWS CloudTrail, ma le autorizzazioni per la risorsa sono gestite dal servizio AWS con cui è stata creata per essere utilizzata. (ii) Una chiave CMK gestita dal cliente offre il massimo grado di controllo sulle autorizzazioni e sul ciclo di vita della chiave.

Servizi AWS integrati con AWS KMS
Alexa for Business* Amazon EMR Amazon Relational Database Service (RDS) AWS CodeArtifact
Amazon AppFlow Amazon Forecast Amazon Route 53 AWS CodeBuild
Amazon Athena Amazon Fraud Detector Amazon S3 AWS CodeCommit*
Amazon Aurora Amazon FSx for Windows File Server Amazon SageMaker AWS CodePipeline
Amazon CloudWatch Logs Amazon GuardDuty Amazon Simple Email Service (SES) AWS Database Migration Service
Amazon Comprehend Amazon Kendra Amazon Simple Notification Service (SNS) AWS Glue
Amazon Connect Amazon Kinesis Data Streams Amazon Simple Queue Service (SQS) AWS Glue DataBrew
Profili dei clienti Amazon Connect Amazon Kinesis Firehose Amazon Textract AWS IoT SiteWise
Amazon DocumentDB Amazon Kinesis Video Streams Amazon Timestream AWS Lambda
Amazon DynamoDB Amazon Lex Amazon Transcribe AWS License Manager
Amazon DynamoDB Accelerator (DAX)* Amazon Lightsail* Amazon Translate AWS Secrets Manager
Amazon EBS Amazon Macie Amazon WorkMail AWS Snowball
Amazon EC2 Image Builder Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces AWS Snowball Edge
Amazon EFS Amazon Managed Workflows for Apache Airflow (MWAA) AWS Audit Manager AWS Snowcone
Amazon Elastic Container Registry (ECR) Amazon Monitron AWS Backup AWS Snowmobile
Amazon Elastic Kubernetes Service (EKS) Amazon MQ AWS Certificate Manager* AWS Storage Gateway
Amazon Elastic Transcoder Amazon Neptune AWS Cloud9* AWS Systems Manager
Amazon ElastiCache Amazon Personalize AWS CloudHSM AWS X-Ray
Amazon Elasticsearch Amazon Redshift AWS CloudTrail  

 

*Supporta solo chiavi AWS KMS gestite da AWS.

** Per l'elenco dei servizi integrati con AWS KMS nella regione AWS Cina (Pechino), gestita da Sinnet e nella regione AWS Cina (Ningxia), gestita da NWCD, visita la sezione Integrazione del servizio AWS KMS in Cina.

I servizi AWS non elencati sopra crittografano i dati degli utenti usando chiavi che il rispettivo servizio possiede e gestisce.

Funzionalità di audit

Se hai abilitato AWS CloudTrail per il tuo account AWS, ogni richiesta ad AWS KMS viene registrata in un file di log che viene trasmesso al bucket di Amazon S3 specificato al momento dell’abilitazione di AWS CloudTrail. Le informazioni registrate includono i dettagli relativi a utente, chiave (se necessario), operazione API, data e ora di utilizzo di tale chiave.

Scalabilità, durabilità ed elevata disponibilità

AWS KMS è un servizio completamente gestito. Se fai ampio uso della funzionalità di crittografia, il servizio ridimensiona automaticamente le risorse in base alle tue esigenze. Consente di gestire migliaia di CMK nel tuo account e di usarle in qualsiasi momento. Stabilisce dei limiti predefiniti per il numero di chiavi e la frequenza di richieste, ma possono essere aumentati in caso di necessità.

Le CMK create o quelle create per conto tuo da altri servizi AWS non possono essere esportate dal servizio. AWS KMS si assume quindi la responsabilità della loro durabilità. Per garantire la costante disponibilità delle chiavi e dei dati, KMS memorizza più copie delle versioni crittografate delle chiavi in sistemi caratterizzati da una durabilità pari al 99,999999999%.

Importando le chiavi nel servizio, puoi mantenere una copia sicura delle CMK; in questo modo puoi reimportarle se non sono disponibili quando ne hai bisogno. Se usi la funzionalità di storage per chiavi personalizzate per creare le tue CMK in un cluster AWS CloudHSM, verrà effettuato un backup automatico delle copie crittografate delle tue chiavi e avrai pieno controllo sul processo di recupero.

AWS KMS è progettato per essere un servizio a disponibilità elevata con un endpoint API regionale. Dal momento che la maggior parte dei servizi AWS utilizza la crittografia e la decrittografia, questo è strutturato in modo da fornire un livello di disponibilità adatto a supportare il resto di AWS ed è coperto dal Contratto sul livello di servizio di AWS KMS.

Sicurezza

AWS KMS è progettato in modo che nessuno, nemmeno i dipendenti di AWS, possa ottenere dal servizio le chiavi in chiaro. Il servizio utilizza moduli di sicurezza hardware (HSM) conformi agli standard FIPS 140-2, o in fase di conformità, per proteggere la riservatezza e l’integrità delle tue chiavi. Le chiavi in chiaro non vengono mai scritte su disco e vengono utilizzate solo nella memoria volatile dei moduli HSM per l'intervallo di tempo strettamente necessario per eseguire l'operazione di crittografia richiesta. Ciò è vero indipendentemente dal fatto che tu richieda a AWS KMS di creare chiavi per tuo conto, importarle nel servizio o crearle in un cluster AWS CloudHSM utilizzando la funzionalità di archivio delle chiavi personalizzate. Le chiavi create dal servizio AWS KMS non sono mai trasmesse al di fuori della regione AWS in cui sono state create e possono essere utilizzate esclusivamente in tale regione. Gli aggiornamenti al firmware dei moduli di sicurezza hardware (HSM) di AWS KMS vengono monitorati mediante un processo di controllo multilaterale che viene tenuto sotto controllo e verificato da un gruppo indipendente interno di Amazon e da un laboratorio accreditato NIST in conformità con FIPS 140-2.

Per maggiori informazioni sulla struttura di AWS KMS e la crittografia usata per proteggere le tue chiavi, consulta i dettagli sulle Informazioni sulla crittografia di AWS Key Management Service.

* Nella regione AWS Cina (Pechino), gestita da Sinnet, e nella regione AWS Cina (Ningxia), gestita da NWCD, i moduli di sicurezza hardware sono approvati dal governo cinese (non conformi allo standard FIPS 140-2) e il whitepaper sopra menzionato non si applica. 

Storage per chiavi personalizzate

AWS KMS offre la possibilità ti creare il tuo storage per chiavi usando i moduli HSM controllati da te. Ogni storage per chiavi personalizzate è supportato da un cluster AWS CloudHSM. Quando crei una CMK in uno storage per chiavi personalizzate, il servizio genera e archivia materiale per la CMK in un cluster AWS CloudHSM di tua proprietà e sotto la tua gestione. Quando usi una chiave CMK in uno storage per chiavi personalizzate, le operazioni di crittografia mediante quella chiave vengono effettuate esclusivamente nel tuo cluster AWS CloudHSM.

Le CMK archiviate in uno storage per chiavi personalizzate sono gestite come qualsiasi altra CMK e possono essere utilizzate con qualsiasi servizio AWS che si integra con KMS AWS.

L’uso di uno storage per chiavi personalizzate prevede il costo aggiuntivo del cluster AWS CloudHSM e ti rende responsabile della disponibilità del materiale della chiave in quel cluster. Per sapere se la funzionalità di storage per chiavi personalizzate può rappresentare una buona soluzione per i tuoi requisiti, puoi leggere questo blog.

* La funzionalità di storage per chiavi personalizzate non è disponibile nella regione AWS Cina (Pechino), gestita da Sinnet, né nella regione AWS Cina (Ningxia), gestita da NWCD.

** Lo’opzione di storage per chiavi personalizzate non è disponibile per CMK asimmetriche.

Chiavi asimmetriche

AWS KMS offre la possibilità di creare e utilizzare CMK asimmetriche e coppie di chiavi dati. È possibile definire una CMK da utilizzare come coppia di chiavi di firma o coppia di chiavi di crittografia La generazione di coppie di chiavi e le operazioni di crittografia asimmetrica che utilizzano queste CMK vengono eseguite all'interno degli HSM. Puoi richiedere la parte pubblica della CMK asimmetrica per l'utilizzo nelle applicazioni locali, mentre la parte privata non esce mai il servizio.

È inoltre possibile richiedere al servizio di generare una coppia di chiavi dati asimmetriche. Questa operazione restituisce una copia in chiaro della chiave pubblica e della chiave privata, nonché una copia della chiave privata crittografata con una CMK simmetrica specifica. È possibile utilizzare la chiave pubblica o privata in chiaro nell'applicazione locale e memorizzare la copia crittografata della chiave privata per un uso futuro.

Le chiavi asimmetriche sono ora disponibili nella regione AWS Cina (Pechino), gestita da Sinnet, e nella regione AWS Cina (Ningxia), gestita da NWCD

** Le chiavi asimmetriche non sono supportate con la funzionalità di storage per chiavi personalizzate.

Conformità

I controlli di sicurezza e qualità in AWS KMS sono stati convalidati e certificati in base ai seguenti standard di conformità:

 
Ecco un elenco di altri standard di conformità per cui AWS KMS è conforme e certificato.
 
* Lo standard FIPS 140-2 non si applica al servizio AWS KMS nelle regioni della Cina. I moduli di sicurezza hardware sono invece approvati dal governo cinese per l’utilizzo nelle regioni della Cina.
Standard Product Icons (Features) Squid Ink
Ulteriori informazioni sui prezzi dei prodotti

Consulta gli esempi di prezzi e calcola i costi.

Ulteriori informazioni 
Sign up for a free account
Registrati per creare un account gratuito

Ottieni accesso istantaneo al piano gratuito di AWS. 

Registrati 
Standard Product Icons (Start Building) Squid Ink
Inizia subito nella console

Inizia subito a creare con AWS Key Management Service nella console AWS

Accedi