Geral

P: O que é o AWS Key Management Service (KMS)?
O AWS KMS é um serviço gerenciado que permite que você criptografe facilmente seus dados. O AWS KMS oferece uma solução de armazenamento, gerenciamento e auditoria de chaves altamente disponível para que você criptografe dados nos seus próprios aplicativos e controle a criptografia de dados armazenados nos serviços da AWS.

P: Por que eu devo usar o AWS KMS?
Se você for desenvolvedor e precisa criptografar dados em seus aplicativos, deve usar o AWS Encryption SDK com o apoio do AWS KMS para usar e proteger facilmente as chaves de criptografia. Se você for administrador de TI e procura uma infraestrutura de gerenciamento de chave escalonável para auxiliar seus desenvolvedores e seu número crescente de aplicativos, deve usar o AWS KMS para reduzir seus custos de licenciamento e carga operacional. Se você for responsável pelo fornecimento de segurança de dados para fins regulatórios e de conformidade, deve usar o AWS KMS para verificar se os dados estão criptografados de forma consistente em todos os aplicativos em que são usados e armazenados.

P: Como faço para começar a usar o AWS KMS?
A forma mais fácil de começar a usar o AWS KMS é optar por criptografar seus dados dentro dos serviços da AWS com suporte e usar as chaves mestres gerenciadas pela AWS que são criadas automaticamente em sua conta para cada serviço. Se quiser ter controle total sobre o gerenciamento das suas chaves, inclusive a capacidade de compartilhar acesso às chaves entre contas ou serviços, é possível criar suas próprias chaves mestres no KMS. Você também pode usar as chaves mestres que criar no KMS diretamente em seus próprios aplicativos. O AWS KMS pode ser acessado do console do KMS, que está agrupado em Segurança, Identidade e Conformidade, na página inicial dos serviços da AWS do Console AWS. As APIs do KMS também podem ser diretamente acessadas pela interface de linha de comando do AWS KMS ou pelo AWS SDK para acesso programático. As APIs do KMS podem ser usadas diretamente para criptografar dados em seus próprios aplicativos usando o AWS Encryption SDK. Acesse a página Conceitos básicos para saber mais.

P: Em que regiões o KMS está disponível?
A disponibilidade está listada em nossa página global de Produtos e serviços por região.

P: Quais são os principais recursos de gerenciamento de chave disponíveis no AWS KMS?
Você pode realizar as seguintes funções de gerenciamento de chave no AWS KMS:

  • Criar chaves com alias e descrição exclusivos
  • Importar seu próprio material de chave
  • Definir quais usuários e funções do IAM podem gerenciar as chaves
  • Definir quais usuários e funções do IAM podem usar chaves para criptografar e descriptografar dados
  • Decidir se o AWS KMS fará a rotação automática das suas chaves anualmente
  • Desabilitar chaves temporariamente para que elas não possam ser usadas por ninguém
  • Reabilitar as chaves desabilitadas
  • Exclua chaves que você não usa mais
  • Auditar o uso de chaves inspecionando os logs do AWS CloudTrail
  • Criar armazenamentos de chave personalizadas*
  • Conectar e desconectar armazenamentos de chave peronsalizadas*
  • Excluir armazenamentos de chave personalizadas*

* O uso dos armazenamentos de chave personalizadas exige que os recursos do CloudHSM estejam disponíveis na sua conta.

P: Com funciona o AWS KMS?
O AWS KMS permite que você gerencie centralmente e armazene em segurança suas chaves. Elas são chamadas de chaves mestras de cliente ou CMKs. Você pode gerar CMKs no KMS, em um cluster do AWS CloudHSM ou importá-las da sua própria infraestrutura de gerenciamento de chaves. Essas chaves mestras são protegidas por módulos de segurança de hardware (HSMs) e só são usadas dentro desses módulos. Você pode enviar dados diretamente para o KMS para serem criptografados ou descriptografados usando essas chaves mestras. Você define políticas de uso dessas chaves que determinam quais usuários podem usá-las para criptografar e descriptografar dados e em quais condições.

O AWS KMS está integrado aos serviços da AWS e kits de ferramentas do cliente que usam um método conhecido como criptografia de envelope para criptografar os dados. Nesse método, o KMS gera chaves de dados que são usadas para criptografar dados e que são eles mesmos criptografados usando suas chaves mestras no KMS. As chaves de dados não são mantidas nem gerenciadas pelo KMS. Os serviços da AWS criptografam seus dados e armazenam uma cópia criptografada dos dados junto com os dados que protegem. Quando um serviço precisa descriptografar seus dados, ele solicita ao KMS a descriptografia da chave de dados usando sua chave mestra. Se o usuário que solicita os dados do serviço da AWS estiver autorizado a descriptografar de acordo com sua política de chave mestra, o serviço receberá a chave de dados descriptografada do KMS com a qual poderá descriptografar seus dados e retorná-los em texto simples. Todas as solicitações para usar suas chaves mestras são registradas no AWS CloudTrail para que você entenda quem usou qual chave em qual contexto e quando.

P: Onde meus dados são criptografados se eu usar o AWS KMS?
Normalmente, há três cenários como os dados são criptografados usando o AWS KMS. Primeiro, você pode usar as APIs do KMS para criptografar e descriptografar os dados diretamente usando suas chaves mestras armazenadas no KMS. Segundo, você pode deixar que os serviços da AWS criptografem seus dados usando suas chaves mestras armazenadas no KMS. Nesse caso, os dados são criptografados usando chaves de dados protegidas pelas suas chaves mestras no KMS. Terceiro, você pode usar o AWS Encryption SDK, que é integrado ao AWS KMS para criptografar dentro dos seus próprios aplicativos, sejam operados na AWS ou não.

P: Que serviços de nuvem da AWS são integrados ao AWS KMS?
O AWS KMS é facilmente integrado à maioria dos serviços da AWS para tornar a criptografia de dados nesses serviços tão fácil quanto marcar uma caixa. Em alguns casos, os dados são criptografados por padrão usando chaves que são armazenadas no KMS, mas de propriedade e gerenciadas pelo serviço da AWS em questão. Em muitos casos, as chaves mestras são de sua propriedade e gerenciadas por você dentro da sua conta. Alguns serviços oferecem a opção de gerenciar as chaves você mesmo ou permitir que o serviço gerencie as chaves em seu nome. Consulte a lista de serviços da AWS atualmente integrados ao KMS. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre como os serviços integrados usam o AWS KMS.

P: Por que usar a criptografia de envelope? Por que não apenas enviar os dados para o AWS KMS para criptografar diretamente?
Embora o AWS KMS aceite o envio de dados de até 4 KB para serem criptografados diretamente, a criptografia de envelope pode oferecer benefícios significativos de performance. Quando você criptografa diretamente os dados com o AWS KMS, eles precisam ser transferidos pela rede. A criptografia de envelope reduz a carga de rede, pois apenas a solicitação e a entrega da chave de dados muito menor são transmitidas pela rede. A chave de dados é usada localmente em seu aplicativo ou serviço de criptografia da AWS, evitando a necessidade de enviar o bloco de dados inteiro para o KMS e sofrer latência de rede.

P: Qual é a diferença entre uma chave mestra que eu crio e as chaves mestras criadas automaticamente para mim pelos meus serviços da AWS?
Você tem a opção de selecionar uma chave mestra de cliente (CMK) específica para usar quando quiser que um serviço da AWS criptografe dados em seu nome. Elas são conhecidas como CMKs gerenciadas pelo cliente e você tem total controle sobre elas. Você define o controle de acesso e a política de uso para cada chave e pode conceder permissões para outras contas e serviços para usá-las. Se você não especificar uma CMK, o serviço em questão criará uma CMK gerenciada pela AWS a primeira vez que você tentar criar um recurso criptografado dentro do serviço. A AWS gerenciará as políticas associadas com as CMKs gerenciadas pela AWS em seu nome. Você pode monitorar as chaves gerenciadas pela AWS em sua conta e todo o uso é registrado no AWS CloudTrail, mas não tem controle direto sobre as chaves em si.

P: Por que eu devo criar minha própria chave mestra de cliente?
Criar sua própria CMK no AWS KMS oferece a você mais controle do que com as CMKs gerenciadas pela AWS. Quando você cria uma CMK gerenciada pelo cliente, pode optar por usar o material da chave gerado pelo AWS KMS, gerado em um cluster do AWS CloudHSM ou importar seu próprio material de chave. Você pode definir um alias e uma descrição para a chave e escolher a opção de a chave passar por rotação automática uma vez por ano se tiver sido gerada pelo AWS KMS. Você também pode definir todas as permissões na chave para controlar quem pode usar ou gerenciar a chave.

P: Posso importar chaves para o AWS KMS?
Sim. Você pode importar uma cópia da chave usando sua própria infraestrutura de gerenciamento de chaves para o AWS KMS e usá-la com qualquer serviço da AWS integrado ou em seus próprios aplicativos.

P: Quando posso usar uma chave importada?
Você pode usar uma chave importada para obter maior controle sobre a criação, o gerenciamento do ciclo de vida e a resiliência da chave no AWS KMS. As chaves importadas foram criadas para ajudá-lo a atender aos seus requisitos de conformidade, os quais podem incluir a capacidade de gerar ou manter uma cópia segura da chave na sua infraestrutura, como também a capacidade de excluir a cópia importada da chave sob demanda por meio da infraestrutura da AWS quando você não precisar mais dela.

P: Que tipo de chaves posso importar?
Você pode importar chaves simétricas de 256 bits.

P: Como a chave importada para o AWS KMS é protegida quando em trânsito?
Durante o processo de importação, sua chave deve estar encapsulada por uma chave pública fornecida pelo AWS KMS usando um dos dois esquemas RSA PKCS#1. Dessa forma, você garante que a chave criptografada só possa ser descriptografada pelo AWS KMS.

P: Qual é a diferença entre uma chave importada e uma chave gerada para mim no AWS KMS?
Há duas diferenças principais:

  1. Você é responsável por manter de modo seguro uma cópia das chaves importadas na infraestrutura de gerenciamento de chaves para poder importá-las novamente a qualquer instante. Entretanto, a AWS garante a disponibilidade, a segurança e a resiliência das chaves geradas pelo AWS KMS em seu nome até que você programe sua exclusão.
  2. Você pode definir um período de expiração para uma chave importada. O AWS KMS excluirá automaticamente o material da chave depois do período de expiração. Você também pode excluir o material da chave importada sob demanda. Em ambos os casos, o material da chave é excluído, mas a referência da CMK no KMS e os metadados associados são mantidos para que o material da chave possa ser importado novamente no futuro. As chaves geradas pela AWS KMS não têm um tempo de expiração e não podem ser imediatamente excluídas, há um período de espera obrigatório de 7 a 30 dias. Todas as CMKs gerenciadas pelo cliente, independentemente de o material da chave ter sido importado ou não, podem ser manualmente desativadas ou programadas para exclusão. Nesse caso, a CMK em si é excluída, não apenas o material da chave subjacente.

P: Posso fazer a rotação das minhas chaves?
Sim. Você pode deixar o AWS KMS fazer automaticamente a rotação das CMKs todo ano, desde que essas chaves tenham sido geradas pelo AWS KMS. A rotação automática da chave não tem suporte para chaves importadas ou geradas em um cluster do AWS CloudHSM usando o recurso de armazenamento de chave personalizada do KMS. Se você optar por importar chaves para o AWS KMS ou usar um armazenamento de chave personalizada, você pode fazer a rotação manual e, sempre que quiser, criar uma nova CMK e mapear um alias de chave da chave antiga para a nova chave.

P: Precisarei criptografar novamente meus dados depois que as chaves no AWS KMS forem mudadas?
Se você optar pela rotação automática de chaves pelo AWS KMS, não será necessário criptografar novamente os dados. O AWS KMS mantém automaticamente as versões anteriores das chaves para usar para descriptografar dados criptografados em uma versão anterior da chave. Todas as novas solicitações de criptografia contra uma chave no AWS KMS são criptografadas na versão mais recente da chave.

Se você fizer a rotação manual das chaves importadas ou de armazenamento de chave personalizada, poderá ser necessário criptografar novamente seus dados, dependendo de se você decidir manter as versões anteriores das chaves disponíveis.

P: Posso excluir uma chave do AWS KMS?
Sim. Você pode programar a exclusão de uma chave mestra do cliente e dos metadados associados criados no AWS KMS com um período de espera configurável de 7 a 30 dias. Esse período de espera permite que você verifique o impacto da exclusão de uma chave sobre suas aplicações e seus usuários que dependem dela. O período de espera padrão é de 30 dias. Você pode cancelar a exclusão da chave durante o período de espera. A chave não pode ser usada se for programada para exclusão até que você a cancele durante o período de espera. A chave é excluída no final do período de espera, caso você não cancele a exclusão. Quando uma chave é excluída, você não pode mais usá-la. Todos os dados protegidos por uma chave mestra excluída tornam-se inacessíveis.

Para chaves mestras do cliente com material de chave importado, é possível excluir o material da chave sem que seja necessário excluir o ID da chave mestra do cliente ou os metadados de duas maneiras. Primeiro, você pode excluir seu material de chave importada sob demanda sem um período de espera. Segundo, no momento da importação do material da chave para a chave mestra do cliente, defina um horário de expiração para definir o tempo que a AWS pode usar seu material de chave importada antes de sua exclusão. Você pode importar novamente seu material de chave para a chave mestra do cliente, caso precise usá-lo de novo.

P: O que devo fazer se meu material de chave importada expirar ou for excluído acidentalmente?
Você pode importar novamente sua cópia do material de chave com um período de expiração válido para o AWS KMS com a chave mestra do cliente original para permitir o seu uso.

P: Posso ser alertado de que preciso importar a chave novamente?
Sim. Depois de importar a sua chave para uma chave mestra do cliente, você receberá uma métrica do Amazon CloudWatch de poucos em poucos minutos, fazendo a contagem regressiva até o momento da expiração da chave importada. Você também receberá um evento do Amazon CloudWatch quando a chave importada com a sua chave mestra do cliente expirar. Você pode criar uma lógica que atue nessas métricas, ou nesses eventos, e importe novamente de modo automático a chave com um novo período de expiração para evitar riscos de disponibilidade.

P: Posso usar o AWS KMS para gerenciar a criptografia de dados fora dos serviços de nuvem da AWS?
Sim. O AWS KMS é compatível com os AWS SDKs, o AWS Encryption SDK, a criptografia do lado do cliente do Amazon DynamoDB e o Amazon S3 Encryption Client para facilitar a criptografia de dados em seus próprios aplicativos, sempre que eles forem executados. Visite os sites ferramentas de criptografia da AWS e de desenvolvimento na AWS para obter mais informações.

P: Há um limite para o número de chaves que posso criar no AWS KMS?
Você pode criar até 1.000 chaves mestras de cliente por conta, por região. Como tanto as chaves mestras do cliente ativadas quanto as desativadas são contabilizadas com relação ao limite, nós recomendamos excluir as chaves desativadas que você já não usa mais. As chaves mestras gerenciadas pela AWS criadas em seu nome para uso em serviços da AWS compatíveis não contam nesse limite. Não há limite para o número de chaves de dados que podem ser derivadas usando uma chave mestra e usadas em seu aplicativo ou pelos serviços da AWS para criptografar dados em seu nome. Você pode solicitar um aumento de limite para as chaves mestra de cliente visitando o AWS Support Center.

P: O AWS KMS oferece um SLA (Acordo de nível de serviço)?
Sim. O SLA do Amazon KMS oferecerá um crédito de serviço se a porcentagem mensal de tempo de disponibilidade do cliente ficar abaixo do nosso compromisso de serviço em qualquer ciclo de faturamento.

Armazenamento de chave personalizada

P: O que é um armazenamento de chave personalizada?
O recurso de armazenamento de chave personalizada do AWS KMS combina os controles fornecidos pelo AWS CloudHSM com a integração e a facilidade de uso do AWS KMS. Você pode configurar seu próprio cluster do CloudHSM e autorizar o KMS a usá-lo como armazenamento de chave dedicada para suas chaves em vez do armazenamento padrão de chave do KMS. Quando você cria chaves no KMS, pode escolher gerar o material da chave em seu cluster do CloudHSM. As chaves mestras geradas em seu armazenamento de chave personalizada nunca deixam os HSMs no cluster do CloudHSM em texto simples e todas as operações do KMS que usam essas chaves são realizadas apenas nos seus HSMs. Em todos os outros aspectos, as chaves mestras em seu armazenamento de chave personalizada são consistentes com outras CMKs do KMS.

Encontre orientação adicional para decidir se o uso de um armazenamento de chave personalizado é ideal para você neste blog.

P: Por que eu precisaria usar um armazenamento de chave personalizada?
Como você controla seu cluster do AWS CloudHSM, você tem a opção de gerenciar o ciclo de vida das suas chaves mestras do AWS KMS independentemente do KMS. Há quatro motivos pelos quais você pode achar útil usar o armazenamento de chave personalizada. Primeiro, você deve ter chaves que precisam de proteção explícita em um HSM monolocatário ou em um HSM sobre o qual você tem controle direto. Segundo, você pode ter chaves que precisam ser armazenadas em um HSM validado para o nível 3 geral FIPS 140-2 (HSMs usados como armazenamento de chave padrão do KMS validados para nível 2 com nível 3 em várias categorias). Terceiro, você pode precisar ter capacidade de remover imediatamente o material da chave do KMS e comprovar que o fez por meios independentes. Finalmente, você pode ter a necessidade de conseguir auditar todo o uso de suas chaves independentemente do KMS ou do AWS CloudTrail.

P: Os armazenamentos de chave personalizada afetam a forma como as chaves são gerenciadas?
Há duas diferenças ao gerenciar chaves em um armazenamento de chave personalizada comparado com o armazenamento de chave padrão do AWS KMS. Você não pode importar material de chave em seu armazenamento de chave personalizada e não pode fazer o KMS fazer a rotação automática das chaves. Em todos os outros aspectos, inclusive o tipo de chave que pode ser gerada, a forma como as chaves usam aliases e como as políticas são definidas, as chaves armazenadas em um armazenamento de chave personalizada são gerenciadas da mesma forma como qualquer outra CMK gerenciada pelo cliente do KMS.

P: Posso usar um armazenamento de chave personalizada para armazenar uma chave mestra do cliente gerenciada pela AWS?
Não, apenas CMKs gerenciadas pelo gerente podem ser armazenadas e gerenciadas em um armazenamento de chave personalizada do AWS KMS. As CMKs gerenciadas pela AWS criadas em seu nome por outros serviços da AWS para criptografar seus dados são sempre geradas e armazenadas no armazenamento padrão de chave do KMS.

P: Os armazenamentos de chave personalizada afetam a forma como as chaves são usadas?
Não, as solicitações de API para o AWS KMS usar uma CMK para criptografar e descriptografar dados são tratadas da mesma forma. Os processos de autenticação e autorização operam independentemente de onde a chave está armazenada. Toda a atividade que utiliza uma chave em um armazenamento de chave personalizada também é registrado no AWS CloudTrail da mesma forma. No entanto, as operações criptográficas reais acontecem exclusivamente no armazenamento de chave personalizada ou no armazenamento de chave padrão do KMS.

P: Como posso auditar o uso das chaves em um armazenamento de chave personalizada?
Além da atividade registrada no AWS CloudTrail pelo AWS KMS, o uso de um armazenamento de chave personalizada oferece três mecanismos adicionais de auditoria. Primeiro, o AWS CloudHSM também registra toda a atividade da API no CloudTrail, por exemplo, para criar clusters e adicionar ou remover HSMs. Segundo, cada cluster também captura seus próprios logs locais para registrar atividade do usuário e de gerenciamento de chave. Terceiro, cada instância do CloudHSM copia os logs de atividades do usuário local e de gerenciamento de chave para o AWS CloudWatch.

P: Qual é o impacto de usar um armazenamento de chave personalizada sobre a disponibilidade das chaves?
O uso de um armazenamento de chave personalizada do AWS KMS torna você responsável por garantir que as chaves estejam disponíveis para uso do KMS. Erros na configuração do CloudHSM e exclusão acidental do material de chave em um cluster do AWS CloudHSM podem afetar a disponibilidade. O número de HSMs usados e sua escolha de zonas de disponibilidade (AZs) também podem afetar a resiliência do seu cluster. Como em qualquer sistema de gerenciamento, é importante compreender como a disponibilidade das chaves pode afetar a recuperação de seus dados criptografados.

P: Quais são as limitações de performance associadas com um armazenamento de chave personalizada?
A taxa na qual as chaves armazenadas no armazenamento de chave personalizada do AWS KMS podem ser usadas por meio de chamadas de API do AWS KMS é menor do que para as chaves armazenadas no armazenamento de chave padrão do AWS KMS. Consulte o Guia do desenvolvedor KMS para ver os limites de performance atuais.

P: Quais são os custos associados ao uso de um armazenamento de chave personalizada?
Os preços do AWS KMS não são afetados pelo uso de um armazenamento de chave personalizada. No entanto, cada armazenamento de chave personalizada exige que você mantenha um cluster do AWS CloudHSM que contenha pelo menos dois HSMs. Esses HASMs são cobrados conforme os preços padrão do AWS CloudHSM. Não há cobranças adicionais para usar um armazenamento de chave personalizada.

P: Que habilidades e recursos adicionais são necessários para configurar um armazenamento de chave personalizada?
Os usuários do AWS KMS que quiserem usar um armazenamento de chave personalizada precisarão configurar um cluster do AWS CloudHSM, adicionar HSMs, gerenciar usuários dos HSMs e, possivelmente, restaurar HSMs para backup. Essas são tarefas que precisam de segurança e você deve garantir os recursos apropriados e controles organizacionais disponíveis.

P: Posso importar chaves para um armazenamento de chave personalizada?
Não, não há suporte para a capacidade de importar seu próprio material de chave para um armazenamento de chave personalizada do AWS KMS. As chaves armazenadas em um armazenamento de chave personalizada só podem ser geradas nos HSMs que formam seu cluster do AWS CloudHSM.

P: Posso migrar chaves entre o armazenamento de chaves padrão do KMS e um armazenamento de chave personalizada?
Não, atualmente não há suporte para a capacidade de migrar chaves entre os diferentes tipos de armazenamento de chave do AWS KMS. Todas as chaves devem ser criadas no armazenamento de chave onde serão usadas, exceto nos casos em que você importar seu próprio material de chave no armazenamento de chave padrão do KMS.

P: Posso fazer a rotação das chaves armazenadas em um armazenamento de chave personalizada?
Não há suporte para a capacidade de fazer rotação automática do material de chave em um armazenamento de chave personalizada do AWS KMS. A rotação de chave deve ser realizada manualmente criando novas chaves e remapeando os aliases de chave do KMS usados para o código do aplicativo para usar as novas chaves para futuras operações de criptografia.

P: Posso usar meu cluster do AWS CloudHSM para outros aplicativos?
Sim, o AWS KMS não exige acesso exclusivo ao seu cluster do AWS CloudHSM. Se você já tem um cluster, pode usá-lo como armazenamento de chave personalizada e continuar a usar para seus outros aplicativos. No entanto, se o seu cluster estiver suportando cargas de trabalho altas e que não são do KMS, você pode ter throughput reduzido para operações que usam chaves mestras do KMS em seu armazenamento de chave personalizada. Da mesma forma, uma alta taxa de solicitação de KMS para seu armazenamento de chave personalizada pode afetar seus outros aplicativos.

P: Como posso saber mais sobre o AWS CloudHSM?
Visite o site do AWS CloudHSM para consultar uma visão geral do serviço. Para obter mais detalhes sobre configuração e uso do serviço, leia o Guia do usuário do AWS CloudHSM.  

Faturamento

P: Como será a cobrança e o faturamento relacionados ao uso que eu fizer do AWS KMS?
Com o Amazon KMS você paga somente por aquilo que usar e não há tarifa mínima. Não há taxas de instalação ou compromissos para começar a usar o serviço. No final do mês, seu cartão de crédito receberá a cobrança automática referente ao uso daquele mês.

Você será cobrado por todas as chaves mestras do cliente (CMKs) que criar e por todas as solicitações de API feitas ao serviço mensalmente que ultrapassarem o nível gratuito.

Para obter informações sobre a definição de preço atual, visite a página de definição de preço do AWS KMS.

P: Há um nível gratuito?
Sim. Com o nível de uso gratuito da AWS, você pode começar a usar o AWS KMS gratuitamente em todas as regiões. As chaves mestras gerenciadas pela AWS criadas em seu nome pelos serviços da AWS são gratuitas para armazenar em sua conta. Há um nível gratuito para uso que fornece um número gratuito de solicitações para o AWS KMS por mês. Para obter informações atualizadas sobre definição de preço, inclusive o nível gratuito, visite a página de definição de preço do AWS KMS.

P: Os preços incluem impostos?
Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo o IVA e o imposto sobre vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Você pode saber mais aqui.

Segurança

P: Quem pode usar e gerenciar minhas chaves no AWS KMS?
O AWS KMS recomenda políticas de uso e gerenciamento que você define. Você escolhe se permite que usuários e funções do AWS Identity and Access Management (IAM) da sua conta ou de outras contas usem e gerenciem suas chaves.

P: Como a AWS protege as chaves mestras que eu crio dentro do AWS KMS?
O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as chaves mestras em texto simples do serviço. O serviço usa módulos de segurança de hardware (HSMs) validados pelo FIPS 140-2 para proteger a confidencialidade e a integridade das chaves, não importa se você usa o AWS KMS ou o AWS CloudHSM para criar as chaves ou se você as importa para o serviço. Seu texto simples nunca sai dos HSMs, nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. As chaves do AWS KMS nunca são transmitidas para fora das regiões da AWS onde foram criadas. As atualizações de software nos hosts do serviço e no firmware do HSM do AWS KMS são controladas por um controle de acesso com vários participantes, auditado e revisado por um grupo independente dentro da Amazon, além de um laboratório com certificação NIST em conformidade com FIPS 140-2.

Mais detalhes sobre esses controles de segurança podem ser encontrados no whitepaper Detalhes criptográficos do AWS KMS. Além disso, você pode examinar o certificado FIPS 140-2 do HSM do AWS KMS, juntamente com a política de segurança associada, para obter mais detalhes sobre como o HSM do AWS KMS cumpre os requisitos de segurança do FIPS 140-2. Além disso, você pode fazer download de uma cópia do relatório de Service Organization Controls (SOC – Controle de organização de serviços) disponível no AWS Artifact para saber mais sobre os controles de segurança usados pelo AWS KMS para proteger chaves mestras.

P: Como faço para migrar chaves mestras atuais do AWS KMS para usar HSMs validados pelo FIPS 140-2?
Todas as chaves mestras no AWS KMS, independentemente de sua data de criação ou origem, são protegidas automaticamente por meio de HSMs validados pelo FIPS 140-2. Nenhuma ação é necessária de sua parte para usar os HSMs validados pelo FIPS 140-2.

P: Quais regiões da AWS têm HSMs validados pelo FIPS 140-2?
Os HSMs validados pelo FIPS 140-2 estão disponíveis em todas as regiões comerciais onde o AWS KMS é oferecido.

P: Qual é a diferença entre os endpoints validados pelo FIPS 140-2 e os HSMs validados pelo FIPS 140-2 no AWS KMS?
O AWS KMS é um serviço em duas camadas. Os endpoints da API recebem solicitações de clientes por uma conexão HTTPS usando apenas pacotes de cifras TLS que oferecem suporte à Perfect Forward Secrecy. Esses endpoints de API autenticam e autorizam a solicitação antes de enviá-la para uma operação criptográfica nos HSMs do AWS KMS ou seu cluster do AWS CloudHSM se você estiver usando o recurso de armazenamento de chave personalizada.

P: Como faço solicitações de API para o AWS KMS usando endpoints validados pelo FIPS 140-2?
Você configura os aplicativos para conexão aos endpoints HTTPS regionais únicos validados pelo FIPS 140-2. Os endpoints HTTPS validados pelo FIPS 140-2 do AWS KMS usam o OpenSSL FIPS Object Module. Você pode examinar a política de segurança do módulo OpenSSL em https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Os endpoints de API validados pelo FIPS 140-2 estão disponíveis em todas as regiões comerciais onde o AWS KMS é oferecido.

P: Posso usar o AWS KMS como ajuda para cumprir os requisitos de criptografia e gerenciamento de chaves do Payment Card Industry Data Security Standard (PCI DSS 3.1)?
Sim. O AWS KMS foi validado por dispor de funcionalidade e controles de segurança para ajudar a cumprir os requisitos de criptografia e gerenciamento de chaves (mencionados principalmente nas seções 3.5 e 3.6 do PCI DSS 3.1).

Para saber mais detalhes sobre os serviços em conformidade com o PCI DSS na AWS, leia as perguntas frequentes sobre o PCI DSS.

P: Como o AWS KMS protege as chaves de dados que eu exporto e uso em meu aplicativo?
Você pode solicitar que o AWS KMS gere chaves de dados e as retorne para uso em seu próprio aplicativo. As chaves de dados são criptografadas em uma chave mestra que você define no AWS KMS para que possa armazenar com segurança a chave de dados criptografada com seus dados criptografados. Sua chave de dados criptografados (e, portanto, seus dados de origem) podem ser descriptografados apenas por usuários com permissões para usar a chave mestra original usada para descriptografar a chave de dados.

P: Que tamanho de chaves o AWS KMS gera?
As chaves mestras do AWS KMS têm 256 bits. As chaves de dados podem ser geradas com 128 bits ou 256 bits e criptografadas sob a chave mestra que você define. O AWS KMS também permite gerar dados aleatórios de qualquer tamanho necessário para o uso em criptografia.

P: Posso exportar uma chave mestra do AWS KMS e usá-la em meus próprios aplicativos?
Não. As chaves mestras são criadas e usadas apenas no AWS KMS para ajudar a garantir sua segurança, permitir que suas políticas sejam aplicadas de forma consistente e fornecer um log centralizado do seu uso.

P: Em qual região geográfica minhas chaves estão armazenadas?
As chaves geradas pelo AWS KMS só são armazenadas e usadas na região em que são criadas. Elas não podem ser transferidas para outra região. Por exemplo, chaves criadas na região central da UE (Frankfurt) são apenas armazenadas e usadas dentro da região central da UE (Frankfurt).

P: Como posso saber quem usou ou alterou a configuração das minhas chaves no AWS KMS?
Os logs no AWS CloudTrail mostrarão todas as solicitações da API do KMS, inclusive solicitações de gerenciamento (como criação, rotação, desabilitação, edições na política) e solicitações criptográficas (como criptografar/descriptografar). Ative o AWS CloudTrail na sua conta para ver esses logs.

P: Como o AWS KMS se compara com o AWS CloudHSM?
O AWS CloudHSM disponibiliza um cluster de HSMs de locatário único validados pelo FIPS 140-2 nível 3 geral em uma Amazon Virtual Private Cloud (VPC) para armazenar e usar suas chaves. Você tem controle exclusivo sobre como as chaves são usadas por meio de um mecanismo de autenticação independente da AWS. Você interage com as chaves no seu cluster do AWS CloudHSM de forma semelhante à interação com os aplicativos executados no Amazon EC2. O AWS CloudHSM pode ser usado para oferecer suporte a diversos casos de uso, como gerenciamento de direitos digitais (DRM), infraestrutura de chaves públicas (PKI), assinatura de documentos e funções criptográficas usando interfaces PKCS#11, Java JCE ou Microsoft CNG.

O AWS KMS permite que você crie e controle as chaves de criptografia usadas pelos aplicativos e serviços da AWS compatíveis em várias regiões em todo o mundo usando um único console. O serviço usa um HSM validado pelo FIPS 140-2 para proteger a segurança das chaves. O gerenciamento centralizado de todas as suas chaves no AWS KMS permite que você decida quem pode usar suas chaves, em que condições elas são usadas, quando elas são mudadas e quem pode gerenciá-las. A integração do AWS KMS com o AWS CloudTrail oferece a capacidade de auditar o uso de suas chaves para apoiar suas atividades regulatórias e de conformidade. Você interage com o AWS KMS nos aplicativos usando o AWS SDK para chamar diretamente as APIs de serviço, via outros serviços da AWS integrados ao KMS ou usando o AWS Encryption SDK se quiser realizar criptografia do lado do cliente.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço.

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comece a criar no console

Comece a criar com o AWS Key Management Service no Console AWS.

Fazer login