As perguntas frequentes a seguir não se aplicam ao AWS KMS na região da AWS na China (Beijing), operada pela Sinnet, e na região da AWS China (Ningxia), operada pela NWCD. Acesse o link de perguntas frequentes para obter conteúdo relevante para essas duas regiões da China.  

Geral

P: O que é o AWS Key Management Service (KMS)?
O AWS KMS é um serviço gerenciado que permite criar e controlar com facilidade as chaves usadas para operações criptográficas. O serviço oferece uma solução de geração, armazenamento, gerenciamento e auditoria de chaves altamente disponível para que você criptografe ou assine digitalmente dados nos suas próprias aplicações ou controle a criptografia de dados nos serviços da AWS.

P: Por que eu devo usar o AWS KMS?
Se você é responsável por proteger seus dados nos serviços da AWS, use-os para gerenciar centralmente as chaves de criptografia que controlam o acesso aos seus dados. Se você é um desenvolvedor que precisa criptografar dados em suas aplicações, deve usar o AWS Encryption SDK com o AWS KMS para gerar, usar e proteger facilmente as chaves de criptografia simétricas no seu código. Se você é um desenvolvedor que precisa assinar ou verificar dados digitalmente usando chaves assimétricas, deve usar o serviço para criar e gerenciar as chaves privadas necessárias. Se você procura uma infraestrutura de gerenciamento de chave escalonável para auxiliar seus desenvolvedores e seu número crescente de aplicações, deve usá-lo para reduzir seus custos de licenciamento e carga operacional. Se você é responsável por provar a segurança dos dados para fins regulatórios ou de conformidade, deve usá-lo, pois isso facilita a comprovação de que seus dados estão sempre protegidos. Também está no escopo de um amplo conjunto de regimes de conformidade regional e do setor.

P: Como faço para começar a usar o AWS KMS?
A forma mais fácil de começar a usar o KMS é optar por criptografar seus dados com serviços da AWS que usam chaves mestres gerenciadas pela AWS que são criadas automaticamente em sua conta para cada serviço. Se quiser ter controle total sobre o gerenciamento das suas chaves, inclusive a capacidade de compartilhar acesso às chaves entre contas ou serviços, é possível criar suas próprias chaves mestres do cliente (CMKs) no AWS KMS. Você também pode usar as CMKs que cria diretamente em suas próprias aplicações. O AWS KMS pode ser acessado do console do KMS, que está agrupado em Segurança, Identidade e Conformidade, na página inicial dos serviços da AWS do Console AWS. As APIs do AWS KMS também podem ser diretamente acessadas pela interface de linha de comando do AWS KMS ou pelo AWS SDK para acesso programático. As APIs do AWS KMS também podem ser usadas diretamente para criptografar dados em suas próprias aplicações usando o AWS Encryption SDK. Acesse a página Conceitos básicos para saber mais.

P: Em que regiões o AWS KMS está disponível?
A disponibilidade está listada em nossa página global de Produtos e serviços por região.

P: Quais são os principais recursos de gerenciamento de chave disponíveis no AWS KMS?

Você pode realizar as seguintes funções de gerenciamento de chave:

  • Criar chaves simétricas e assimétricas onde o material da chave é usado apenas no serviço
  • Criar chaves simétricas onde o material da chave é gerado e usado em um armazenamento de chave personalizada sob seu controle*
  • Importar seu próprio material de chave simétrica para uso dentro do serviço
  • Criar pares de chaves de dados simétricas e assimétricas para uso local em suas aplicações
  • Definir quais usuários e funções do IAM podem gerenciar as chaves
  • Definir quais usuários e funções do IAM podem usar chaves para criptografar e descriptografar dados
  • Fazer a rotação automaticamente das chaves que foram geradas pelo serviço a cada ano
  • Desabilitar chaves temporariamente para que elas não possam ser usadas por ninguém
  • Habilitar novamente as chaves desabilitadas
  • Agendar a exclusão de chaves que você não usa mais
  • Auditar o uso de chaves inspecionando os logs do AWS CloudTrail

* O uso dos armazenamentos de chave personalizadas exige que os recursos do CloudHSM estejam disponíveis na sua conta.

P: Como funciona o AWS KMS?
Você começa a usar o serviço solicitando a criação de uma CMK. Você controla o ciclo de vida da CMK, bem como quem pode usá-lo ou gerenciá-lo. O material de chave para uma CMK é gerado nos módulos de segurança de hardware (HSMs) gerenciados pelo AWS KMS. Como alternativa, você pode importar o material de chave da sua própria infraestrutura de gerenciamento de chave e associá-lo a uma CMK. Você também fazer com que o material de chave gerado e usado em um cluster do AWS CloudHSM seja parte do recurso de armazenamento de chave personalizada no AWS KMS.
 
Depois de criar uma CMK usando qualquer uma das três opções com suporte, você pode enviar dados diretamente ao serviço AWS KMS para serem assinados, verificados, criptografados ou descriptografados usando esse CMK. Você define políticas de uso dessas chaves que determinam quais usuários podem realizar determinadas ações e em quais condições.

Os serviços da AWS e os kits de ferramentas do cliente integrados ao AWS KWS usam um método conhecido como criptografia de envelope para proteger os dados. Com esse método, o AWS KMS gera chaves de dados usadas para criptografar dados localmente no serviço da AWS ou na sua aplicação. As chaves de dados são criptografadas em uma CMK que você define. As chaves de dados não são mantidas nem gerenciadas pelo AWS KMS. Os serviços da AWS criptografam os dados e armazenam uma cópia criptografada da chave de dados juntamente com os dados criptografados. Quando um serviço precisa descriptografar os dados, solicita que o AWS KMS descriptografe a chave de dados usando sua CMK. Se o usuário que solicitou os dados do serviço da AWS estiver autorizado a descriptografá-los pela CMK, o serviço da AWS receberá a chave de dados descriptografada do AWS KMS. O serviço da AWS descriptografa os dados e os retorna em texto simples. Todas as solicitações para usar CMKs são registradas em log no AWS CloudTrail para que você entenda quem usou qual chave em qual contexto e quando.

P: Onde meus dados são criptografados se eu usar o AWS KMS?
Normalmente, há três cenários como os dados são criptografados usando o AWS KMS. Primeiro, você pode usar as APIs do AWS KMS para criptografar e descriptografar os dados diretamente usando suas CMKs armazenadas no serviço. Segundo, você pode deixar que os serviços da AWS criptografem seus dados usando suas CMKs armazenadas no serviço. Nesse caso, os dados são criptografados usando chaves de dados protegidas pelas suas CMKs no KMS. Terceiro, você pode usar o AWS Encryption SDK, que é integrado ao AWS KMS para criptografar dentro das suas próprias aplicações, sejam operados na AWS ou não.

P: Que serviços de nuvem da AWS são integrados ao AWS KMS?
O AWS KMS é facilmente integrado à maioria dos serviços da AWS para tornar a criptografia de dados nesses serviços tão fácil quanto marcar uma caixa. Em alguns casos, os dados são criptografados por padrão usando chaves que são armazenadas no AWS KMS, mas de propriedade e gerenciadas pelo serviço da AWS em questão. Em muitos casos, as CMKs são de sua propriedade e gerenciadas por você dentro da sua conta. Alguns serviços oferecem a opção de gerenciar as chaves você mesmo ou permitir que o serviço gerencie as chaves em seu nome. Consulte a lista de serviços da AWS atualmente integrados ao AWS KMS. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre como os serviços integrados usam o AWS KMS.

P: Por que usar a criptografia de envelope? Por que não apenas enviar os dados para o AWS KMS para criptografar diretamente?
Embora o AWS KMS ofereça suporte ao envio de dados de até 4 KB para criptografia diretamente, a criptografia de envelope pode oferecer benefícios significativos de performance. Quando você criptografa diretamente os dados com o AWS KMS, eles precisam ser transferidos pela rede. A criptografia de envelope reduz a carga de rede, pois apenas a solicitação e a entrega da chave de dados muito menor são transmitidas pela rede. A chave de dados é usada localmente em sua aplicação ou serviço de criptografia da AWS, evitando a necessidade de enviar o bloco de dados inteiro para o AWS KMS e sofrer latência de rede.

P: Qual é a diferença entre uma CMK que eu crio e as CMKs criadas automaticamente para mim pelos meus serviços da AWS?
Você tem a opção de selecionar uma CMK específica para usar quando quiser que um serviço da AWS criptografe dados em seu nome. Elas são conhecidas como CMKs gerenciadas pelo cliente e você tem total controle sobre elas. Você define o controle de acesso e a política de uso para cada chave e pode conceder permissões para outras contas e serviços para usá-las. Se você não especificar uma CMK, o serviço em questão criará uma CMK gerenciada pela AWS a primeira vez que você tentar criar um recurso criptografado dentro do serviço. A AWS gerenciará as políticas associadas com as CMKs gerenciadas pela AWS em seu nome. Você pode monitorar as chaves gerenciadas pela AWS em sua conta e todo o uso é registrado no AWS CloudTrail, mas não tem controle direto sobre as chaves em si.

P: Por que eu devo criar minha própria chave mestra de cliente?
Criar sua própria CMK oferece a você mais controle do que com as CMKs gerenciadas pela AWS. Quando você cria uma CMK simétrica gerenciada pelo cliente, pode optar por usar o material da chave gerado pelo AWS KMS, gerado em um cluster do AWS CloudHSM (armazenamento de chave personalizada) ou importar seu próprio material de chave. Você pode definir um alias e uma descrição para a chave e escolher a opção de a chave passar por rotação automática uma vez por ano se tiver sido gerada pelo AWS KMS. Você também pode definir todas as permissões na chave para controlar quem pode usar ou gerenciar a chave. Com as CMKs assimétricas gerenciadas pelo cliente, existem algumas ressalvas no gerenciamento: o material principal pode ser gerado apenas nos HSMs do AWS KMS e não há opção para a rotação automática de chaves.

P: Posso trazer minhas próprias chaves para o AWS KMS?
Sim. Você pode importar uma cópia da chave usando sua própria infraestrutura de gerenciamento de chave para o AWS KMS e usá-la com qualquer serviço da AWS integrado ou em suas próprias aplicações. Você não pode importar CMKs assimétricas para o AWS KMS.

P: Quando posso usar uma chave importada?
Você pode usar uma chave importada para obter maior controle sobre a criação, o gerenciamento do ciclo de vida e a resiliência da chave no AWS KMS. As chaves importadas foram criadas para ajudá-lo a atender aos seus requisitos de conformidade, os quais podem incluir a capacidade de gerar ou manter uma cópia segura da chave na sua infraestrutura, como também a capacidade de excluir a cópia importada da chave sob demanda por meio da infraestrutura da AWS quando você não precisar mais dela.

P: Que tipo de chaves posso importar?
Você pode importar chaves simétricas de 256 bits.

P: Como a chave importada para o AWS KMS é protegida quando em trânsito?
Durante o processo de importação, sua chave deve estar encapsulada por uma chave pública fornecida pelo AWS KMS usando um dos dois esquemas RSA PKCS#1. Dessa forma, você garante que a chave criptografada só possa ser descriptografada pelo AWS KMS.

P: Qual é a diferença entre uma chave importada e uma chave gerada para mim no AWS KMS?
Há duas diferenças principais:

  1. Você é responsável por manter de modo seguro uma cópia das chaves importadas na infraestrutura de gerenciamento de chaves para poder importá-las novamente a qualquer instante. Entretanto, a AWS garante a disponibilidade, a segurança e a resiliência das chaves geradas pelo AWS KMS em seu nome até que você programe sua exclusão.
  2. Você pode definir um período de expiração para uma chave importada. O AWS KMS excluirá automaticamente o material da chave depois do período de expiração. Você também pode excluir o material da chave importada sob demanda. Em ambos os casos, o material da chave é excluído, mas a referência da CMK no AWS KMS e os metadados associados são mantidos para que o material da chave possa ser importado novamente no futuro. As chaves geradas pelo AWS KMS não têm um tempo de expiração e não podem ser imediatamente excluídas, há um período de espera obrigatório de 7 a 30 dias. Todas as CMKs gerenciadas pelo cliente, independentemente de o material da chave ter sido importado ou não, podem ser manualmente desativadas ou programadas para exclusão. Nesse caso, a CMK em si é excluída, não apenas o material da chave subjacente.

P: Posso fazer a rotação das minhas chaves?
Sim. Você pode deixar o AWS KMS fazer automaticamente a rotação das CMKs todo ano, desde que essas chaves tenham sido geradas nos HSMs do AWS KMS. A rotação automática da chave não tem suporte para chaves importadas, assimétricas ou geradas em um cluster do AWS CloudHSM usando o recurso de armazenamento de chave personalizada do AWS KMS. Se você optar por importar chaves para o AWS KMS ou chaves assimétricas ou usar um armazenamento de chave personalizada, pode fazer a rotação manual criando uma nova CMK e mapeando um alias de chave existente da CMK antiga para a nova CMK.

P: Precisarei criptografar novamente meus dados depois que as chaves no AWS KMS forem mudadas?
Se você optar pela rotação automática de chaves pelo AWS KMS, não será necessário criptografar novamente os dados. O AWS KMS mantém automaticamente as versões anteriores das chaves para usar para descriptografar dados criptografados em uma versão anterior da chave. Todas as novas solicitações de criptografia contra uma chave no AWS KMS são criptografadas na versão mais recente da chave.

Se você fizer a rotação manual das chaves importadas ou de armazenamento de chave personalizada, poderá ser necessário criptografar novamente seus dados, dependendo de se você decidir manter as versões anteriores das chaves disponíveis.

P: Posso excluir uma chave do AWS KMS?
Sim. Você pode programar a exclusão de uma chave mestra do cliente e dos metadados associados criados no AWS KMS com um período de espera configurável de 7 a 30 dias. Esse período de espera permite que você verifique o impacto da exclusão de uma chave sobre suas aplicações e seus usuários que dependem dela. O período de espera padrão é de 30 dias. Você pode cancelar a exclusão da chave durante o período de espera. A chave não pode ser usada se for programada para exclusão até que você a cancele durante o período de espera. A chave é excluída no final do período de espera, caso você não cancele a exclusão. Quando uma chave é excluída, você não pode mais usá-la. Todos os dados protegidos por uma chave mestra excluída tornam-se inacessíveis.

Para chaves mestras do cliente com material de chave importado, é possível excluir o material da chave sem que seja necessário excluir o ID da chave mestra do cliente ou os metadados de duas maneiras. Primeiro, você pode excluir seu material de chave importada sob demanda sem um período de espera. Segundo, no momento da importação do material da chave para a chave mestra do cliente, defina um horário de expiração para definir o tempo que a AWS pode usar seu material de chave importada antes de sua exclusão. Você pode importar novamente seu material de chave para a chave mestra do cliente, caso precise usá-lo de novo.

P: O que devo fazer se meu material de chave importada expirar ou for excluído acidentalmente?
Você pode importar novamente sua cópia do material de chave com um período de expiração válido para o AWS KMS com a chave mestra do cliente original para permitir o seu uso.

P: Posso ser alertado de que preciso importar a chave novamente?
Sim. Depois de importar a sua chave para uma chave mestra do cliente, você receberá uma métrica do Amazon CloudWatch de poucos em poucos minutos, fazendo a contagem regressiva até o momento da expiração da chave importada. Você também receberá um evento do Amazon CloudWatch quando a chave importada com a sua chave mestra do cliente expirar. Você pode criar uma lógica que atue nessas métricas, ou nesses eventos, e importe novamente de modo automático a chave com um novo período de expiração para evitar riscos de disponibilidade.

P: Posso usar o AWS KMS para gerenciar a criptografia de dados fora dos serviços de nuvem da AWS?
Sim. O AWS KMS é compatível com os AWS SDKs, o AWS Encryption SDK, a criptografia do lado do cliente do Amazon DynamoDB e o Amazon S3 Encryption Client para facilitar a criptografia de dados em seus próprios aplicativos, sempre que eles forem executados. Visite os sites ferramentas de criptografia da AWS e de desenvolvimento na AWS para obter mais informações.

P: Há um limite para o número de chaves que posso criar no AWS KMS?
Você pode criar até 10000 CMKs por conta por região. Como tanto as CMKs ativadas quanto as desativadas são contabilizadas com relação ao limite, nós recomendamos excluir as chaves desativadas que você já não usa mais. As CMKs gerenciadas pela AWS criadas em seu nome para uso em serviços da AWS compatíveis não contam nesse limite. Não há limite para o número de chaves de dados que podem ser derivadas usando uma CMK e usadas em sua aplicação ou pelos serviços da AWS para criptografar dados em seu nome. Você pode solicitar um aumento de limite de CMKs acessando o AWS Support Center.

P: Quais tipos de algoritmos e de chave simétrica são permitidos?
O AWS KMS permite chaves de 256 bits ao criar um CMK. As chaves de dados geradas retornadas ao chamador podem ser de 256 bits, 128 bits ou um valor arbitrário de até 1024 bits. Quando o AWS KMS usa um CMK de 256 bits em seu nome, o algoritmo AES no Galois Counter Mode (AES-GCM) é usado.

P: Que tipo de chave assimétrica é permitida?
O AWS KMS dá suporte aos seguintes tipos de chave assimétrica: RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 e ECC SECG P-256k1.

P: Que tipos de algoritmos de criptografia assimétrica são permitidos?
O AWS KMS dá suporte aos algoritmos de criptografia RSAES_OAEP_SHA_1 e RSAES_OAEP_SHA_256 com os tipos de chave RSA 2048, RSA 3072 e RSA 4096. Os algoritmos de criptografia não podem ser usados com os tipos de chave de curva elíptica (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 e ECC SECG P-256k1).

P: Que tipos de algoritmos de assinatura assimétrica são permitidos?
Ao usar tipos de chave RSA, o AWS KMS dá suporte aos algoritmos de assinatura RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384 e RSASSA_PKCS1_V1_5_SHA_512.
Ao usar os tipos de chave de curva elíptica, o AWS KMS dá suporte aos algoritmos de assinatura ECDSA_SHA_256, ECDSA_SHA_384 e ECDSA_SHA_512.

P: As CMKs simétricas podem ser exportadas para fora do serviço em texto simples? 
Não. Uma CMK simétrica ou a parte privada de uma CMK assimétrica não pode ser exportada em texto simples dos HSMs. A parte pública de uma CMK assimétrica pode ser exportada do console ou chamando a API “GetPublicKey”.

P: As chaves de dados e os pares de chaves de dados podem ser exportados dos HSMs em texto simples?
Sim. As chaves de dados simétricas podem ser exportadas usando a API “GenerateDataKey” ou a API “GenerateDataKeyWithoutPlaintext”. E a parte privada e pública dos pares de chaves de dados assimétricas pode ser exportada do AWS KMS usando a API “GenerateDataKeyPair” ou a API “GenerateDataKeypairWithoutPlaintext”.

P: Como as chaves de dados e os pares de chaves de dados são protegidos para armazenamento fora do serviço?
A chave de dados simétrica ou a parte privada da chave de dados assimétrica é criptografada na CMK simétrica definida por você ao solicitar o AWS KMS para gerar a chave de dados.

P: Como uso a parte pública de uma CMK assimétrica?
A parte pública do material da chave assimétrica é gerada no AWS KMS e pode ser usada para verificação de assinatura digital chamando a API “Verify” ou para criptografia de chave pública chamando a API “Encrypt”. A chave pública também pode ser usada fora do AWS KMS para verificação ou criptografia. Você pode chamar a API GetPublicKey para recuperar a parte pública da CMK assimétrica.

P: Qual é o limite de tamanho dos dados enviados ao AWS KMS para operações assimétricas? 
O limite de tamanho é de 4 KB. Se você deseja assinar digitalmente dados maiores que 4 KB, tem a opção de criar um resumo da mensagem e enviá-los ao AWS KMS. A assinatura digital é criada sobre o resumo dos dados e retornada. Você especifica se está enviando a mensagem completa ou um resumo da mensagem como parâmetro na solicitação de API Sign. Quaisquer dados enviados às APIs Encrypt, Decrypt ou Re-Encrypt que exigem o uso de operações assimétricas também devem ser menores que 4 KB.

P: Como posso distinguir entre as CMKs assimétricas ou simétricas que criei?
No console, cada chave terá um novo campo chamado “Key Type”. Ele terá o valor “Asymmetric Key” ou “Symmetric Key” para indicar o tipo de chave. A API “DescribeKey” retornará um campo “KeyUsage” que especificará se a chave pode ser usada para assinar ou criptografar.

P: A rotação automática de CMKs assimétricas é permitida? 
Não há suporte para a mudança de chave automática de CMKs assimétricas. Você pode fazer a rotação manual delas criando uma nova CMK e mapeando um alias de chave existente da CMK antiga para a nova CMK.

P: Uma única CMK assimétrica pode ser usada para criptografia e assinatura? 
Não. Ao criar uma CMK, você deve especificar se a chave pode ser usada para operações de assinatura ou criptografia. Um tipo de chave RSA pode ser usado para operações de assinatura ou criptografia, mas não ambas. Os tipos de chave de curva elíptica só podem ser usados para operações de assinatura.

P: Existem limites de serviço relacionados a chaves assimétricas? 
Sim. Os limites de taxa de solicitação por segundo são diferentes para diferentes tipos de chave e algoritmos. Consulte a página limites do AWS KMS para obter detalhes.

P: As chaves assimétricas funcionam com os armazenamentos de chave personalizada do AWS KMS ou com o recurso Import Key? 
Não. Você não pode usar a funcionalidade de armazenamento de chave personalizada com chaves assimétricas nem importar chaves assimétricas para o AWS KMS.

P: Posso usar CMKs assimétricas para aplicações de assinatura digital que exigem certificados digitais?
Não diretamente. O AWS KMS não armazena nem associa certificados digitais a CMKs assimétricas criadas por ele. Você pode optar por fazer com que uma autoridade de certificação, como o ACM PCA, emita um certificado para a parte pública da sua CMK assimétrica. Isso permitirá que as entidades que estão consumindo sua chave pública verifiquem se a chave pública realmente pertence a você.

P: Para quais cenários de uso devo usar a Autoridade de certificados privada do ACM ou o AWS KMS? 
O principal motivo para usar o serviço da Autoridade de certificados privada (CA) do ACM é fornecer uma infraestrutura de chave pública (PKI) com o objetivo de identificar entidades e proteger conexões de rede. A PKI fornece processos e mecanismos, principalmente usando certificados X.509, para colocar a estrutura em torno das operações criptográficas de chave pública. Os certificados fornecem uma associação entre uma identidade e uma chave pública. O processo de certificação no qual uma autoridade de certificação emite um certificado permite que a autoridade de certificação confiável afirme a identidade de outra entidade assinando um certificado. A PKI fornece identidade, confiança distribuída, gerenciamento do ciclo de vida das chaves e status do certificado adquirido por meio de revogação. Essas funções adicionam processos e infraestrutura importantes às chaves e aos algoritmos criptográficos assimétricos subjacentes fornecidos pelo AWS KMS.

A CA privada do ACM permite emitir certificados para identificar servidores da Web e de aplicações, malhas de serviço, usuários de VPN, endpoints internos da API e dispositivos de IoT. Os certificados permitem estabelecer a identidade desses recursos e criar canais de comunicação TLS/SSL criptografados. Se você estiver pensando em usar chaves assimétricas para terminação TLS em servidores da Web ou de aplicações, Elastic Load Balancers, endpoints de Gateway da API, instâncias ou contêineres EC2, considere usar a CA privada do ACM para emitir certificados e fornecer uma infraestrutura de PKI.

Por outro lado, o AWS KMS permite gerar, gerenciar e usar chaves assimétricas para operações de assinatura e/ou criptografia digital que não exigem certificados. Embora os certificados possam permitir a verificação da identidade do remetente e do destinatário entre partes não confiáveis, o tipo de operações assimétricas brutas oferecidas pelo AWS KMS geralmente são úteis quando você possui outros mecanismos para provar a identidade ou não precisa provar isso para obter o benefício de segurança você deseja.

P: Posso usar os provedores de API criptográfica das minhas aplicações, como OpenSSL, JCE, Bouncy Castle ou CNG, com o AWS KMS?
Não há integração nativa oferecida pelo AWS KMS para outros fornecedores de API criptográfica. Você deve usar as APIs do AWS KMS diretamente ou por meio do AWS SDK para integrar os recursos de assinatura e criptografia às suas aplicações.

P: O AWS KMS oferece um SLA (Acordo de Nível de Serviço)?
Sim. O SLA do Amazon KMS oferecerá um crédito de serviço se a porcentagem mensal de tempo de disponibilidade do cliente ficar abaixo do nosso compromisso de serviço em qualquer ciclo de faturamento.

Armazenamento de chave personalizada

P: O que é um armazenamento de chave personalizada?
O recurso de armazenamento de chave personalizada do AWS KMS combina os controles fornecidos pelo AWS CloudHSM com a integração e a facilidade de uso do AWS KMS. Você pode configurar seu próprio cluster do CloudHSM e autorizar o AWS KMS a usá-lo como armazenamento de chave dedicada para suas chaves em vez do armazenamento padrão de chave do AWS KMS. Quando você cria chaves no AWS KMS, pode escolher gerar o material da chave em seu cluster do CloudHSM. As CMKs geradas em seu armazenamento de chave personalizada nunca deixam os HSMs no cluster do CloudHSM em texto simples e todas as operações do AWS KMS que usam essas chaves são realizadas apenas nos seus HSMs. Em todos os outros aspectos, as CMKs em seu armazenamento de chave personalizada são consistentes com outras CMKs do AWS KMS.

Encontre orientação adicional para decidir se o uso de um armazenamento de chave personalizado é ideal para você neste blog.

P: Por que eu precisaria usar um armazenamento de chave personalizada?
Como você controla seu cluster do AWS CloudHSM, você tem a opção de gerenciar o ciclo de vida das suas CMKs do AWS KMS independentemente do AWS KMS. Há quatro motivos pelos quais você pode achar útil usar o armazenamento de chave personalizada. Primeiro, você deve ter chaves que precisam de proteção explícita em um HSM monolocatário ou em um HSM sobre o qual você tem controle direto. Segundo, você pode ter chaves que precisam ser armazenadas em um HSM validado para o nível 3 geral FIPS 140-2 (HSMs usados no armazenamento de chave padrão do AWS KMS são validados ou estão no processo de validação para nível 2 com nível 3 em várias categorias). Terceiro, você pode precisar ter capacidade de remover imediatamente o material da chave do AWS KMS e comprovar que o fez por meios independentes. Finalmente, você pode ter a necessidade de conseguir auditar todo o uso de suas chaves independentemente do AWS KMS ou do AWS CloudTrail.

P: Os armazenamentos de chave personalizada afetam a forma como as chaves são gerenciadas?
Há duas diferenças ao gerenciar chaves em um armazenamento de chave personalizada comparado com o armazenamento de chave padrão do AWS KMS. Você não pode importar material de chave em seu armazenamento de chave personalizada e não pode fazer o AWS KMS fazer a rotação automática das chaves. Em todos os outros aspectos, inclusive o tipo de chave que pode ser gerada, a forma como as chaves usam aliases e como as políticas são definidas, as chaves armazenadas em um armazenamento de chave personalizada são gerenciadas da mesma forma como qualquer outra CMK gerenciada pelo cliente do AWS KMS.

P: Posso usar um armazenamento de chaves personalizadas para armazenar uma chave mestra do cliente gerenciada pela AWS?
Não, apenas CMKs gerenciadas pelo gerente podem ser armazenadas e gerenciadas em um armazenamento de chave personalizada do AWS KMS. As CMKs gerenciadas pela AWS criadas em seu nome por outros serviços da AWS para criptografar seus dados são sempre geradas e armazenadas no armazenamento padrão de chave do AWS KMS.

P: Os armazenamentos de chave personalizada afetam a forma como as chaves são usadas?
Não, as solicitações de API para o AWS KMS usar uma CMK para criptografar e descriptografar dados são tratadas da mesma forma. Os processos de autenticação e autorização operam independentemente de onde a chave está armazenada. Toda a atividade que utiliza uma chave em um armazenamento de chave personalizada também é registrado no AWS CloudTrail da mesma forma. No entanto, as operações criptográficas reais acontecem exclusivamente no armazenamento de chave personalizada ou no armazenamento de chave padrão do AWS KMS.

P: Como posso auditar o uso das chaves em um armazenamento de chave personalizada?
Além da atividade registrada no AWS CloudTrail pelo AWS KMS, o uso de um armazenamento de chave personalizada oferece três mecanismos adicionais de auditoria. Primeiro, o AWS CloudHSM também registra toda a atividade da API no CloudTrail, por exemplo, para criar clusters e adicionar ou remover HSMs. Segundo, cada cluster também captura seus próprios logs locais para registrar atividade do usuário e de gerenciamento de chave. Terceiro, cada instância do CloudHSM copia os logs de atividades do usuário local e de gerenciamento de chave para o AWS CloudWatch.

P: Qual é o impacto de usar um armazenamento de chave personalizada sobre a disponibilidade das chaves?
O uso de um armazenamento de chave personalizada do AWS KMS torna você responsável por garantir que as chaves estejam disponíveis para uso do AWS KMS. Erros na configuração do CloudHSM e exclusão acidental do material de chave em um cluster do AWS CloudHSM podem afetar a disponibilidade. O número de HSMs usados e sua escolha de zonas de disponibilidade (AZs) também podem afetar a resiliência do seu cluster. Como em qualquer sistema de gerenciamento, é importante compreender como a disponibilidade das chaves pode afetar a recuperação de seus dados criptografados.

P: Quais são as limitações de performance associadas com um armazenamento de chave personalizada?
A taxa na qual as chaves armazenadas no armazenamento de chave personalizada do AWS KMS podem ser usadas por meio de chamadas de API do AWS KMS é menor do que para as chaves armazenadas no armazenamento de chave padrão do AWS KMS. Consulte o Guia do desenvolvedor do AWS KMS para ver os limites de performance atuais.

P: Quais são os custos associados ao uso de um armazenamento de chave personalizada?
Os preços do AWS KMS não são afetados pelo uso de um armazenamento de chave personalizada. No entanto, cada armazenamento de chave personalizada exige que você mantenha um cluster do AWS CloudHSM que contenha pelo menos dois HSMs. Esses HSMs são cobrados conforme os preços padrão do AWS CloudHSM. Não há cobranças adicionais para usar um armazenamento de chave personalizada.

P: Que habilidades e recursos adicionais são necessários para configurar um armazenamento de chave personalizada?
Os usuários do AWS KMS que quiserem usar um armazenamento de chave personalizada precisarão configurar um cluster do AWS CloudHSM, adicionar HSMs, gerenciar usuários dos HSMs e, possivelmente, restaurar HSMs para backup. Essas são tarefas que precisam de segurança e você deve garantir os recursos apropriados e controles organizacionais disponíveis.

P: Posso importar chaves para um armazenamento de chave personalizada?
Não, não há suporte para a capacidade de importar seu próprio material de chave para um armazenamento de chave personalizada do AWS KMS. As chaves armazenadas em um armazenamento de chave personalizada só podem ser geradas nos HSMs que formam seu cluster do AWS CloudHSM.

P: Posso migrar chaves entre o armazenamento de chave padrão do AWS KMS e um armazenamento de chave personalizada?
Não, atualmente não há suporte para a capacidade de migrar chaves entre os diferentes tipos de armazenamento de chave do AWS KMS. Todas as chaves devem ser criadas no armazenamento de chave onde serão usadas, exceto nos casos em que você importar seu próprio material de chave no armazenamento de chave padrão do AWS KMS.

P: Posso fazer a rotação das chaves armazenadas em um armazenamento de chave personalizada?
Não há suporte para a capacidade de fazer rotação automática do material de chave em um armazenamento de chave personalizada do AWS KMS. A rotação de chave deve ser realizada manualmente criando novas chaves e remapeando os aliases de chave do AWS KMS usados para o código da aplicação para usar as novas chaves para futuras operações de criptografia.

P: Posso usar meu cluster do AWS CloudHSM para outras aplicações?
Sim, o AWS KMS não exige acesso exclusivo ao seu cluster do AWS CloudHSM. Se você já tem um cluster, pode usá-lo como armazenamento de chave personalizada e continuar a usar para suas outras aplicações. No entanto, se o seu cluster estiver suportando cargas de trabalho altas e que não são do AWS KMS, você pode ter throughput reduzido para operações que usam CMKs em seu armazenamento de chave personalizada. Da mesma forma, uma alta taxa de solicitação do AWS KMS para seu armazenamento de chave personalizada pode afetar suas outras aplicações.

P: Como posso saber mais sobre o AWS CloudHSM?
Visite o site do AWS CloudHSM para consultar uma visão geral do serviço. Para obter mais detalhes sobre configuração e uso do serviço, leia o Guia do usuário do AWS CloudHSM.  

Faturamento

P: Como será a cobrança e o faturamento relacionados ao uso que eu fizer do AWS KMS?
Com o AWS KMS você paga somente por aquilo que usar e não há tarifa mínima. Não há taxas de instalação ou compromissos para começar a usar o serviço. No final do mês, seu cartão de crédito receberá a cobrança automática referente ao uso daquele mês.

Você será cobrado por todas as CMKs que criar e por todas as solicitações de API feitas ao serviço mensalmente que ultrapassarem o nível gratuito.

Para obter informações sobre a definição de preço atual, visite a página de definição de preço do AWS KMS.

P: Há um nível gratuito?
Sim. Com o nível de uso gratuito da AWS, você pode começar a usar o AWS KMS gratuitamente* em todas as regiões. As CMKs gerenciadas pela AWS criadas em seu nome pelos serviços da AWS são gratuitas para armazenar em sua conta. Há um nível gratuito para uso que fornece um número gratuito de solicitações para o serviço por mês. Para obter informações atualizadas sobre definição de preço, inclusive o nível gratuito, visite a página de definição de preço do AWS KMS.

*As solicitações de API que envolvem CMKs assimétricas e as solicitações de API para as APIs GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext são excluídas do nível gratuito.

P: Os preços incluem impostos?
Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo o IVA e o imposto sobre vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Você pode saber mais aqui.

Segurança

P: Quem pode usar e gerenciar minhas chaves no AWS KMS?
O AWS KMS recomenda políticas de uso e gerenciamento que você define. Você escolhe se permite que usuários e funções do AWS Identity and Access Management (IAM) da sua conta ou de outras contas usem e gerenciem suas chaves.

P: Como a AWS protege as CMKs criadas por mim?
O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as CMKs em texto simples do serviço. O serviço usa módulos de segurança de hardware (HSMs) que foram validados no FIPS 140-2, ou estão em processo de validação, para proteger a confidencialidade e a integridade de suas chaves, independentemente de você usar o AWS KMS ou o AWS CloudHSM para criar suas chaves ou de você mesmo importá-las para o serviço. Suas CMKs de texto simples nunca saem dos HSMs, nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. As chaves do AWS KMS nunca são transmitidas para fora das regiões da AWS onde foram criadas. As atualizações de software nos hosts do serviço e no firmware do HSM do AWS KMS são controladas por um controle de acesso com vários participantes, auditado e revisado por um grupo independente dentro da Amazon, além de um laboratório com certificação NIST em conformidade com FIPS 140-2.

Mais detalhes sobre esses controles de segurança podem ser encontrados no techpaper Detalhes criptográficos do AWS KMS. Além disso, você pode examinar o certificado FIPS 140-2 do HSM do AWS KMS, juntamente com a política de segurança associada, para obter mais detalhes sobre como o HSM do AWS KMS cumpre os requisitos de segurança do FIPS 140-2. Além disso, você pode fazer download de uma cópia do relatório de Service Organization Controls (SOC – Controle de organização de serviços) disponível no AWS Artifact para saber mais sobre os controles de segurança usados pelo serviço para proteger suas CMKs.

P: Como faço para migrar as CMKs atuais do AWS KMS para usar HSMs validados pelo FIPS 140-2?
Todas as CMKs no AWS KMS, independentemente de sua data de criação ou origem, são protegidas automaticamente por meio de HSMs que foram validados no FIPS 140-2 ou que estão em processo de validação. Nenhuma ação é necessária de sua parte para usar os HSMs validados pelo FIPS 140-2.

P: Quais regiões da AWS têm HSMs validados pelo FIPS 140-2?
Os HSMs validados pelo FIPS 140-2 estão disponíveis em todas as regiões comerciais onde o AWS KMS é oferecido.

P: Qual é a diferença entre os endpoints validados pelo FIPS 140-2 e os HSMs validados pelo FIPS 140-2 no AWS KMS?
O AWS KMS é um serviço em duas camadas. Os endpoints da API recebem solicitações de clientes por uma conexão HTTPS usando apenas pacotes de cifras TLS que oferecem suporte à Perfect Forward Secrecy. Esses endpoints de API autenticam e autorizam a solicitação antes de enviá-la para uma operação criptográfica nos HSMs do AWS KMS ou seu cluster do AWS CloudHSM se você estiver usando o recurso de armazenamento de chave personalizada.

P: Como faço solicitações de API para o AWS KMS usando endpoints validados pelo FIPS 140-2?
Você configura os aplicativos para conexão aos endpoints HTTPS regionais únicos validados pelo FIPS 140-2. Os endpoints HTTPS validados pelo FIPS 140-2 do AWS KMS usam o OpenSSL FIPS Object Module. Você pode examinar a política de segurança do módulo OpenSSL em https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Os endpoints de API validados pelo FIPS 140-2 estão disponíveis em todas as regiões comerciais onde o AWS KMS é oferecido.

P: Posso usar o AWS KMS como ajuda para cumprir os requisitos de criptografia e gerenciamento de chaves do Payment Card Industry Data Security Standard (PCI DSS 3.2.1)?
Sim. O AWS KMS foi validado por dispor de funcionalidade e controles de segurança para ajudar a cumprir os requisitos de criptografia e gerenciamento de chaves (mencionados principalmente nas seções 3.5 e 3.6) do PCI DSS 3.2.1.

Para saber mais detalhes sobre os serviços em conformidade com o PCI DSS na AWS, leia as perguntas frequentes sobre o PCI DSS.

P: Como o AWS KMS protege as chaves de dados que eu exporto e uso em meu aplicativo?
Você pode solicitar que o AWS KMS gere chaves de dados e as retorne para uso em seu próprio aplicativo. As chaves de dados são criptografadas em uma chave mestra que você define no AWS KMS para que possa armazenar com segurança a chave de dados criptografada com seus dados criptografados. Sua chave de dados criptografados (e, portanto, seus dados de origem) somente podem ser descriptografados por usuários com permissões para usar a chave mestra original usada para descriptografar a chave de dados criptografada.

P: Posso exportar uma CMK e usá-la em meus próprios aplicativos?
Não, As CMKs são criadas e usadas apenas no serviço para ajudar a garantir sua segurança, permitir que suas políticas sejam aplicadas de forma consistente e fornecer um log centralizado do seu uso.

P: Em qual região geográfica minhas chaves estão armazenadas?
As chaves geradas pelo AWS KMS só são armazenadas e usadas na região em que são criadas. Elas não podem ser transferidas para outra região. Por exemplo, chaves criadas na região central da UE (Frankfurt) são apenas armazenadas e usadas dentro da região central da UE (Frankfurt).

P: Como posso saber quem usou ou alterou a configuração das minhas chaves no AWS KMS?
Os logs no AWS CloudTrail mostrarão todas as solicitações da API do AWS KMS, inclusive solicitações de gerenciamento (como criação, rotação, desabilitação, edições na política) e solicitações criptográficas (como criptografar/descriptografar). Ative o AWS CloudTrail na sua conta para ver esses logs.

P: Como o AWS KMS se compara com o AWS CloudHSM?
O AWS CloudHSM disponibiliza um cluster de HSMs de locatário único validados pelo FIPS 140-2 nível 3 geral em uma Amazon Virtual Private Cloud (VPC) para armazenar e usar suas chaves. Você tem controle exclusivo sobre como as chaves são usadas por meio de um mecanismo de autenticação independente da AWS. Você interage com as chaves no seu cluster do AWS CloudHSM de forma semelhante à interação com os aplicativos executados no Amazon EC2. O AWS CloudHSM pode ser usado para oferecer suporte a diversos casos de uso, como gerenciamento de direitos digitais (DRM), infraestrutura de chaves públicas (PKI), assinatura de documentos e funções criptográficas usando interfaces PKCS#11, Java JCE ou Microsoft CNG.

O AWS KMS permite que você crie e controle as chaves de criptografia usadas pelos aplicativos e serviços da AWS compatíveis em várias regiões em todo o mundo usando um único console. O serviço usa um HSM FIPS que foi validado no FIPS 140-2 ou está em processo de validação para proteger a segurança de suas chaves. O gerenciamento centralizado de todas as suas chaves no AWS KMS permite que você decida quem pode usar suas chaves, em que condições elas são usadas, quando elas são mudadas e quem pode gerenciá-las. A integração do AWS KMS com o AWS CloudTrail oferece a capacidade de auditar o uso de suas chaves para apoiar suas atividades regulatórias e de conformidade. Você interage com o AWS KMS nas aplicações usando o AWS SDK para chamar diretamente as APIs de serviço, via outros serviços da AWS integrados ao AWS KMS ou usando o AWS Encryption SDK se quiser realizar criptografia do lado do cliente.

Standard Product Icons (Features) Squid Ink
Saiba mais sobre a definição de preço

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Sign up for a free account
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastre-se 
Standard Product Icons (Start Building) Squid Ink
Comece a criar no console

Comece a criar com o AWS Key Management Service no Console AWS.

Fazer login