AWS bietet zahlreiche Dienste, darunter Datenbanken, Speicher, Netzwerke und vieles mehr. Der AWS Key Management Service (KMS) ist einer der beliebtesten Dienste von AWS. Es handelt sich um einen nützlichen Dienst, der den Umgang mit sensiblen Daten und die Verwaltung kryptografischer Schlüssel erleichtert.

Was ist AWS Key Management Service (KMS)?

AWS KMS ist ein Dienst, der in verschiedene andere AWS-Dienste integriert werden kann. Er ermöglicht die Erstellung, Speicherung und Steuerung kryptografischer Schlüssel zur Datenverschlüsselung in Ihrer Anwendung. Mithilfe des AWS KMS-Dienstes kann ein Benutzer den Zugriff auf die verschlüsselten Daten steuern. AWS KMS bietet nahezu 100 % der Haltbarkeit kryptografischer Schlüssel.

Schlüssel werden in mehreren Availability Zones (AZs) gespeichert, um eine hohe Verfügbarkeit der Schlüssel zu gewährleisten. AWS KMS ist in CloudTrail integriert, sodass Benutzer den Zweck, den Zeitpunkt und die Person, die den Schlüssel verwendet hat, überprüfen können.

Einige wichtige Punkte zu AWS KMS

Die in einer Region generierten Schlüssel können nicht außerhalb dieser Region gesendet werden.
KMS verwendet ein AWS Hardware Security Module (HSM), das FIPS 140-2 konform, um Schlüssel zu speichern.
AWS KMS ermöglicht die Zugriffskontrolle auf Hauptschlüssel.
Benutzer können in Amazon EBS, Amazon S3 und Amazon Redshift gespeicherte Daten verschlüsseln, da AWS KMS in diese Dienste integriert ist.

Wie funktioniert AWS KMS?

Um die Funktionsweise von AWS KMS kennenzulernen, müssen wir zunächst die in AWS KMS verwendeten Begriffe und Konzepte lernen.

Es gibt zwei Arten von Schlüsseln in AWS KMS:

Kundenhauptschlüssel
Datenschlüssel

Kundenhauptschlüssel (CMKs)

Ein CMK ist eine logische Darstellung des Hauptschlüssels. Der CMK enthält Metadaten wie Schlüssel-ID, Erstellungsdatum, Schlüsselstatus und Beschreibung des Schlüssels sowie des verwendeten Schlüsselmaterials für Verschlüsselung und Entschlüsselung.

Standardmäßig wird das Schlüsselmaterial von AWS KMS erstellt. Niemand kann das Schlüsselmaterial ändern, verwalten, anzeigen oder extrahieren. Schlüsselmaterial kann auch nicht gelöscht werden. Wenn ein Benutzer Schlüsselmaterial löschen möchte, muss er den CMK löschen. Benutzer können ihr Schlüsselmaterial in einen CMK importieren oder Schlüsselmaterial für CMKs in einem AWS CloudHSM-Cluster erstellen.

AWS CMK bietet sowohl symmetrische als auch asymmetrische CMKs. Symmetrische CMKs verwenden einen 256-Bit-Schlüssel zur Ver- und Entschlüsselung. Im Gegensatz dazu verwenden asymmetrische CMKs RSA Schlüsselpaare für Ver- und Entschlüsselung bzw. Signierung und Verifizierung. Ein asymmetrisch erstellter Schlüssel, ein sogenannter ECC-Schlüssel, kann ausschließlich zur Signierung und Verifizierung verwendet werden. CMKs werden in AWS KMS erstellt. CMKs können über die AWS Management Console oder die AWS KMS API verwaltet werden. Symmetrische und private asymmetrische Schlüssel verlassen AWS KMS niemals unverschlüsselt. Für kryptografische Operationen mit CMKs muss der Benutzer die AWS KMS API verwenden.

AWS KMS unterstützt drei CMK-Typen:

Vom Kunden verwalteter CMK: Vom Kunden verwaltete CMKs sind die CMKs im Benutzerkonto, die der Benutzer erstellen, besitzen und verwalten kann. Benutzer haben die vollständige Kontrolle über vom Kunden verwaltete Schlüssel und können so ihre Schlüsselrichtlinien, IAM-Richtlinien, Berechtigungen, die Rotation kryptografischen Materials usw. festlegen und verwalten.
AWS Managed CMK: Die von AWS im Namen des Benutzers erstellten und verwalteten CMKs im Benutzerkonto werden als AWS Managed CMKs bezeichnet. AWS Managed CMKs können nicht direkt in kryptografischen Operationen verwendet werden. Benutzer können die Schlüsselrichtlinien von AWS Managed CMKs nicht verwalten, rotieren oder ändern. Benutzer können jedoch die Schlüsselrichtlinien in AWS CloudTrail (integriert mit AWS KMS) in ihrem AWS-Konto anzeigen und ihre Verwendung überprüfen.
AWS-eigener CMK: Die Sammlung von AWS-eigenen und von AWS verwalteten CMKs zur Verwendung in mehreren Clouds wird als AWS-eigene CMK bezeichnet. AWS-eigene CMKs schützen die Ressourcen im Benutzerkonto. Diese CMKs befinden sich nicht im Benutzerkonto. Mit AWS-eigenen CMKs müssen Benutzer keine CMKs erstellen oder verwalten. Benutzer können sie nicht anzeigen, verwenden, verfolgen oder prüfen.

Datenschlüssel

Die zum Verschlüsseln von Daten und anderen Datenverschlüsselungsschlüsseln verwendeten Schlüssel sind Datenschlüssel. Datenschlüssel werden zum Verschlüsseln großer Datenmengen verwendet, da Kundenmasterschlüssel (CMKs) keine Daten über 4 KB verschlüsseln können. Datenschlüssel werden außerhalb von AWS KMS verwendet und verwaltet. Sie werden von AWS KMS weder gespeichert, verwaltet noch verfolgt. AWS KMS führt keine kryptografischen Operationen mit Datenschlüsseln durch. Benutzer können jedoch mithilfe von AWS KMS-Kundenmasterschlüsseln (CMKs) Datenschlüssel generieren, verschlüsseln und entschlüsseln. Datenschlüssel können Daten in anderen AWS-Diensten wie Amazon S3, EBS, EC2 usw. verschlüsseln und entschlüsseln.

Datenschlüssel erstellen
AWS KMS verwendet benutzerdefinierte CMKs, um einen Datenschlüssel zu generieren. Ein Datenschlüssel kann durch Aufrufen des GenerateDataKey Operation. Diese Operation gibt zwei Kopien des Datenschlüssels zurück, eine im Klartext und die andere verschlüsselt unter dem CMK. Eine weitere Operation, GenerateDataKeyWithoutPlaintext, kann ebenfalls verwendet werden, wodurch eine einzelne Kopie des unter CMK verschlüsselten Datenschlüssels zurückgegeben wird.
Bitten Sie AWS KMS, einen verschlüsselten Datenschlüssel zu entschlüsseln, bevor Sie ihn verwenden.

Verschlüsseln von Daten mit einem Datenschlüssel
Wie bereits erwähnt, verwendet AWS KMS keine Datenschlüssel für kryptografische Vorgänge. Um Daten mit einem Datenschlüssel zu verschlüsseln, verwenden Sie einen Klartext-Datenschlüssel. Verschlüsseln Sie die Daten außerhalb von AWS KMS, löschen Sie sie aus dem Speicher und speichern Sie anschließend den verschlüsselten Datenschlüssel.

Verschlüsseln von Daten mit Datenschlüssel

Entschlüsseln von Daten mit einem Datenschlüssel
Um Daten außerhalb von AWS KMS mit einem Datenschlüssel zu entschlüsseln, Entschlüsseln Die Operation wird verwendet, um den verschlüsselten Datenschlüssel zu entschlüsseln, wodurch eine Klartextkopie des Datenschlüssels zurückgegeben wird.
Daten außerhalb von AWS KMS können nun mithilfe eines Klartext-Datenschlüssels entschlüsselt werden. Der Benutzer muss den Klartext-Datenschlüssel nach der Verwendung aus dem Speicher entfernen.
Das folgende Diagramm zeigt, wie die Entschlüsseln Operation zum Entschlüsseln des verschlüsselten Datenschlüssels:

Datenschlüsselpaar
Benutzer können ein asymmetrisches Datenschlüsselpaar erstellen, das aus mathematisch verwandten privaten und öffentlichen Schlüsseln besteht. In der Regel werden diese Schlüsselpaare für die clientseitige Ver- und Entschlüsselung oder den Signier- und Verifizierungsprozess außerhalb von AWS KMS verwendet.
Der private Schlüssel jedes Datenschlüssels wird durch AWS KMS mithilfe benutzerspezifischer symmetrischer CMKs geschützt. Benutzer müssen das Datenschlüsselpaar jedoch außerhalb von AWS KMS verwalten und verwenden, da es Datenschlüsselpaare nicht verfolgt, verwaltet oder verwendet, um kryptografische Vorgänge auszuführen.
Benutzer können die folgenden Datenschlüsselpaare in AWS KMS generieren:
- RSA-Schlüsselpaar mit 2048 Bit, 3076 Bit und 4096 Bit. Wird im Allgemeinen zur Ver- und Entschlüsselung verwendet.
- Elliptisches Kurvenschlüsselpaar: ECC_NIST_P256, ECC_NIST_P384, ECC_NIST_P512 und ECC_SECG_P256K1. Wird im Allgemeinen zum Signieren und Verifizieren verwendet.
Erstellen eines Datenschlüsselpaars
Um ein Datenschlüsselpaar zu generieren, muss der Benutzer den GenerateDataKeyPair or GenerateDataKeyPairWithoutPlaintext Führen Sie den Vorgang entsprechend der Anforderung aus und geben Sie einen symmetrischen CMK an, der den privaten Schlüssel verschlüsselt.
GenerateDataKeyPair Operationen generieren drei Schlüssel: einen öffentlichen Klartext-Schlüssel, einen privaten Klartext-Schlüssel und einen verschlüsselten privaten Schlüssel. Im Gegensatz dazu GenerateDataKeyPairWithoutPlaintext generiert zwei Schlüssel: einen öffentlichen Klartextschlüssel und einen verschlüsselten privaten Schlüssel.

Verschlüsseln von Daten mit einem Datenschlüsselpaar
Der öffentliche Schlüssel eines Datenschlüsselpaars wird zum Verschlüsseln der Daten verwendet, und der private Schlüssel desselben Datenschlüsselpaars wird zum Entschlüsseln der Daten verwendet.

Entschlüsseln von Daten mit einem Datenschlüsselpaar
Der Klartext-Privatschlüssel desselben Datenschlüsselpaares, dessen öffentlicher Schlüssel für die Verschlüsselung verwendet wurde, wird zum Entschlüsseln der Daten verwendet. Der Entschlüsseln Der Vorgang wird verwendet, um den verschlüsselten privaten Schlüssel eines Datenschlüsselpaars zu entschlüsseln und den privaten Klartextschlüssel nach der Verwendung aus dem Speicher zu entfernen.

Signieren von Nachrichten mit einem Datenschlüsselpaar
Der private Klartextschlüssel eines Datenschlüsselpaars wird zum Generieren einer kryptografischen Signatur für eine Nachricht verwendet, und jeder, der über den öffentlichen Schlüssel desselben Datenschlüsselpaars verfügt, kann damit die Signatur überprüfen.
Wenn der private Schlüssel mit dem AWS CMK verschlüsselt ist, Entschlüsseln Es wird eine Operation verwendet, die den privaten Schlüssel im Klartextformat zurückgibt, das zum Signieren verwendet wird. Wie immer sollte der Benutzer den privaten Klartextschlüssel nach der Verwendung aus dem Speicher löschen.

Überprüfen einer Nachricht mit einem Datenschlüsselpaar
Zur Verifizierung wird der öffentliche Schlüssel des Datenschlüsselpaares verwendet. Der öffentliche Schlüssel sollte zum selben Datenschlüsselpaar gehören, dessen privater Schlüssel zum Signieren verwendet wurde. Die Verifizierung der Signatur bestätigt, dass ein autorisierter Benutzer die Nachricht signiert hat und diese nicht verändert wurde.

Aliases
Benutzer können einem CMK einen benutzerfreundlichen Namen geben, der als Alias bezeichnet wird. Wenn der CMK beispielsweise 9897aswd-34dw-1234-89hg-asdkal212012 heißt, kann der Benutzer ihm den Alias „key-01“ geben. Mithilfe eines Alias können Benutzer einen CMK in AWS KMS-Operationen leicht identifizieren.
Kryptografische Operationen
Für die Durchführung kryptografischer Vorgänge mit CMKs sind das AWS SDK, AWS Tools for PowerShell oder die AWS Command Line Interface (AWS CLI) erforderlich, da CMKs in AWS KMS verbleiben. Benutzer können in der AWS KMS-Konsole keine kryptografischen Vorgänge mit CMKs durchführen.

Nachfolgend finden Sie eine Tabelle, die die kryptografischen Operationen von AWS KMS zusammenfasst:

Produktion	CMK-Schlüsseltyp	CMK-Schlüsselverwendung
Entschlüsseln	Symmetrisch/Asymmetrisch	ENCRYPT_DECRYPT
Encrypt	Symmetrisch/Asymmetrisch	ENCRYPT_DECRYPT
GenerateDataKey	Symmetrisch	ENCRYPT_DECRYPT
GenerateDataKeyWithoutPlaintext	Symmetrisch	ENCRYPT_DECRYPT
GenerateDataKeyPair	Asymmetrisch	ENCRYPT_DECRYPT
GenerateDataKeyPairWithoutPlaintext	Asymmetrisch	ENCRYPT_DECRYPT
Neu verschlüsseln	Symmetrisch/Asymmetrisch	ENCRYPT_DECRYPT
Schild	Asymmetrisch	SIGN_VERIFY
Verify	Asymmetrisch	SIGN_VERIFY

Hinweis: GenerateDataKeyPair und GenerateDataKeyPairWithoutPlaintext Operationen generieren ein asymmetrisches Datenschlüsselpaar, das durch symmetrische CMKs geschützt ist.

Umschlagverschlüsselung
Benutzer können ihre Klartextdaten durch Verschlüsselung mit einem Schlüssel schützen. Doch wie schützen sie den Verschlüsselungsschlüssel? Dies führt zum Konzept der Envelope-Verschlüsselung, bei der die Klartextdaten mit den Datenschlüsseln und die Datenschlüssel mit dem Masterschlüssel verschlüsselt werden. AWS KMS ist für die Sicherheit des Masterschlüssels verantwortlich. Masterschlüssel werden von AWS KMS gespeichert und verwaltet und verlassen das HSM niemals unverschlüsselt.
Vorteile der Umschlagverschlüsselung:
- Schutz von Datenschlüsseln: Die Datenschlüssel sind durch die Verschlüsselung mit CMKs von Natur aus geschützt. So können die verschlüsselten Datenschlüssel sicher mit verschlüsselten Daten gespeichert werden.
- Verschlüsseln des Datenschlüssels mit dem Hauptschlüssel: Das wiederholte Verschlüsseln großer Datenmengen mit Datenschlüsseln kann zeitaufwändig sein. Anstatt die Daten wiederholt zu verschlüsseln, kann der Verschlüsselungsschlüssel mit einem Hauptschlüssel verschlüsselt werden.
- Die Stärke mehrerer Algorithmen kombinieren: Mit der Umschlagverschlüsselung können Sie die Stärke sowohl symmetrischer als auch asymmetrischer Algorithmen nutzen.
Schlüsselrichtlinie
Benutzer können die Berechtigungen für CMK in einem Dokument namens Schlüsselrichtlinie definieren. Benutzer können Berechtigungen für vom Kunden verwaltete Schlüssel jederzeit hinzufügen, entfernen oder ändern, den von AWS verwalteten CMK jedoch nicht bearbeiten, da AWS ihn im Auftrag des Benutzers verwaltet.
Gewähren
Erteilungen sind temporäre Berechtigungen, die Benutzer erstellen, verwenden und löschen können, ohne Schlüssel- oder IAM-Richtlinien zu ändern. Erteilungen werden auch bei IAM-Richtlinien und Schlüsselrichtlinien berücksichtigt, wenn Benutzer auf einen CMK zugreifen.
Überwachung der CMK-Nutzung
AWK KMS ist in CloudTrail integriert, das zur Überwachung der Schlüsselnutzung verwendet werden kann. CloudTrail erstellt Protokolldateien für AWS-API-Aufrufe und zugehörige Ereignisse im Konto. Diese Protokolldateien enthalten alle AWS-API-Anfragen von AWS SDK, AWS Management Console oder AWS-Befehlszeilentools. In diesen Protokolldateien finden Sie wichtige Informationen, z. B. wann der CMK verwendet wurde, welche Operation angefordert wurde, die Identität des Anforderers und die Quell-IP-Adresse.

Erstellen von kundenverwalteten symmetrischen CMKs

Ein Benutzer sollte die folgenden Schritte ausführen, um mithilfe der AWS Management Console einen vom Kunden verwalteten symmetrischen CMK zu erstellen:

Melden Sie sich bei der AWS-Verwaltungskonsole an und öffnen Sie die AWS KMS-Konsole.
Sie können die AWS-Region in der oberen rechten Ecke der Seite ändern.
Wählen Sie im Navigationsbereich „Schlüssel werden vom Kunden verwaltet“ aus.
Wählen Sie „Schlüssel erstellen“.
Wählen Sie unter „Schlüsseltyp“ den CMK-Typ aus, d. h. „Symmetrisch“.
Klicken Sie auf Weiter.
Erstellen Sie einen Alias für den CMK.
Geben Sie die Beschreibung für den CMK ein. (Optional)
Klicken Sie auf Weiter.
Geben Sie einen Tag-Schlüssel und einen Tag-Wert ein. (Optional)
Klicken Sie auf Weiter.
Wählen Sie IAM-Benutzer und -Rollen aus, die den CMK verwalten können.
Deaktivieren Sie das Kontrollkästchen Schlüsseladministratoren das Löschen dieses Schlüssels erlauben, wenn Sie IAM-Benutzern und -Rollen das Löschen dieses Schlüssels nicht erlauben möchten. (Optional)
Klicken Sie auf Weiter.
Wählen Sie IAM-Benutzer und -Rollen aus, die den CMK zum Ausführen kryptografischer Vorgänge verwenden können.
Klicken Sie im Abschnitt „Andere AWS-Konten“ auf „Weiteres AWS-Konto hinzufügen“ und geben Sie die AWS-Kontoidentifikationsnummer ein, um die Verwendung dieses CMK für kryptografische Vorgänge zu ermöglichen. (Optional)
Klicken Sie auf Weiter.
Überprüfen Sie die von Ihnen vorgenommene Schlüsselkonfiguration.
Klicken Sie auf „Fertig stellen“, um den CMK zu erstellen.

Erstellen von vom Kunden verwalteten asymmetrischen CMKs

Ein Benutzer sollte die folgenden Schritte ausführen, um mithilfe der AWS Management Console einen vom Kunden verwalteten symmetrischen CMK zu erstellen:

Melden Sie sich bei der AWS-Verwaltungskonsole an und öffnen Sie die AWS KMS-Konsole.
Sie können die AWS-Region in der oberen rechten Ecke der Seite ändern.
Wählen Sie im Navigationsbereich „Schlüssel werden vom Kunden verwaltet“ aus.
Wählen Sie „Schlüssel erstellen“.
Wählen Sie unter „Schlüsseltyp“ den CMK-Typ aus, d. h. „Asymmetrisch“.
Wählen Sie unter „Schlüsselverwendung“ den Zweck aus, für den der Schlüssel erstellt wird, d. h. „Verschlüsseln und Entschlüsseln“ oder „Signieren und Verifizieren“.
Wählen Sie die Spezifikation Ihres asymmetrischen CMK aus.
Klicken Sie auf Weiter.
Erstellen Sie einen Alias für den CMK.
Geben Sie die Beschreibung für den CMK ein. (Optional)
Geben Sie einen Tag-Schlüssel und einen Tag-Wert ein. (Optional)
Klicken Sie auf Weiter.
Wählen Sie IAM-Benutzer und -Rollen aus, die den CMK verwalten können.
Deaktivieren Sie das Kontrollkästchen Schlüsseladministratoren das Löschen dieses Schlüssels erlauben, wenn Sie IAM-Benutzern und -Rollen das Löschen dieses Schlüssels nicht erlauben möchten. (Optional)
Klicken Sie auf Weiter.
Wählen Sie IAM-Benutzer und -Rollen aus, die den CMK zum Ausführen kryptografischer Vorgänge verwenden können.
Klicken Sie im Abschnitt „Andere AWS-Konten“ auf „Weiteres AWS-Konto hinzufügen“ und geben Sie die AWS-Kontoidentifikationsnummer ein, um die Verwendung dieses CMK für kryptografische Vorgänge zu ermöglichen. (Optional)
Klicken Sie auf Weiter.
Überprüfen Sie die von Ihnen vorgenommene Schlüsselkonfiguration.
Klicken Sie auf „Fertig stellen“, um den CMK zu erstellen.

Vorteile von AWS KMS

Vollständig verwaltet: AWS KMS bietet vollständigen Kontrollzugriff auf verschlüsselte Daten, indem es die vom Benutzer definierten Berechtigungen zur Verwendung von Schlüsseln erzwingt.
Zentralisierte Schlüsselverwaltung: AWS KMS bietet einen zentralen Kontrollpunkt zum Verwalten und Definieren von Schlüsselrichtlinien. Benutzer können Schlüssel über die AWS-Schlüsselverwaltungskonsole erstellen, importieren, verwalten, löschen oder rotieren oder AWS CLI oder SDK verwenden.
Daten digital signieren: Der Benutzer kann in AWS KMS einen asymmetrischen Schlüssel generieren und digitale Signaturvorgänge durchführen, um die Integrität der Daten zu wahren.
Sicher: In AWS KMS werden Schlüssel generiert und geschützt in Hardware-Sicherheitsmodule (HSMs) validiert unter FIPS 140-2. Aus Sicherheitsgründen werden Schlüssel nur innerhalb von HSMs verwendet und können niemals außerhalb der AWS-Region weitergegeben werden, in der sie erstellt wurden.
Integriertes Auditing: AWS KMS ist in CloudTrail integriert, um die Überwachung der Schlüsselnutzung zu unterstützen und so gesetzliche Vorschriften und Compliance-Anforderungen zu erfüllen.

Nachfolgend finden Sie eine Tabelle mit einer Zusammenfassung der Verschlüsselungseigenschaften des AWS Key Management Service:

Mieter	Mandantenfähig
Standard	FIPS 140-2 Stufe 2
Hauptschlüssel	– Hauptschlüssel im Besitz des Kunden – AWS-verwalteter Hauptschlüssel – AWS-eigener Hauptschlüssel
Krypto-Schlüssel	– Symmetrisch – Asymmetrisch – AES nur im XTS-Modus
Krypto-API	AWS SDK/API für KMS
Zugriffsauthentifizierung/Richtlinie	AWS IAM-Richtlinie
Tastenzugänglichkeit	In mehreren Regionen zugänglich (Schlüssel außerhalb der Region, in der sie erstellt wurden, können nicht verwendet werden)
Hochverfügbarkeit	AWS Managed Service
Audit-Fähigkeit	– CloudTrail – Cloud Watch

AWS CloudHSM

AWS CloudHSM ist ein AWS-Hardware-Sicherheitsmodul, das sich im Besitz des Kunden befindet und von diesem verwaltet wird. AWS CloudHSM fungiert als Single-Tenant auf der Hardware und verhindert die gemeinsame Nutzung mit anderen Kunden und Anwendungen. Unternehmen können AWS CloudHSM nutzen, um HSMs zur Verwaltung und Verwaltung von Verschlüsselungsschlüsseln zu nutzen, ohne sich um die Verwaltung der HSM-Hardware in einem Rechenzentrum kümmern zu müssen.
AWS CloudHSM ermöglicht FIPS 140-2 Level 3-validierten Single-Tenant-HSM-Clustern in Ihrer Amazon Virtual Private Cloud (VPC) die Speicherung und Verwendung Ihrer Schlüssel. Benutzer, deren Schlüssel verwendet werden, erhalten die vollständige Kontrolle über einen von AWS getrennten Authentifizierungsmechanismus.

AWS CloudHSM unterstützt mehrere Anwendungsfälle, darunter die folgenden: Verwaltung von öffentlichen/privaten Schlüsselpaaren für Public-Key-Infrastruktur (PKI), Code- und Dokumentensignierung oder die Speicherung privater Schlüssel für verschiedene Dienste wie Datenbanken, Speicher und Webanwendungen, die Speicherung von Schlüsseln für DRM-Lösungen. AWS CloudHSM ermöglicht Ihrem Unternehmen die Einhaltung von Schlüsselverwaltung Anforderungen durch die Verwendung von von AWS überwachten Hardware-Sicherheitsmodulen mit der Möglichkeit, mehrere Plattformen zur Schlüsselspeicherung zu integrieren.

Nachfolgend finden Sie eine Tabelle mit einer Zusammenfassung der AWS Cloud HSM-Kryptoeigenschaften

Mieter	Mandantenfähig
Standard	FIPS 140-2 Stufe 2
Hauptschlüssel	– Hauptschlüssel im Besitz des Kunden – AWS-verwalteter Hauptschlüssel – AWS-eigener Hauptschlüssel
Krypto-Schlüssel	– Symmetrisch – Asymmetrisch – AES nur im XTS-Modus
Krypto-API	AWS SDK/API für KMS
Zugriffsauthentifizierung/Richtlinie	AWS IAM-Richtlinie
Tastenzugänglichkeit	In mehreren Regionen zugänglich (Schlüssel außerhalb der Region, in der sie erstellt wurden, können nicht verwendet werden)
Hochverfügbarkeit	AWS Managed Service
Audit-Fähigkeit	– CloudTrail – Cloud Watch

Benutzerdefinierter Schlüsselspeicher

Die Funktion „Custom Key Store“ von AWS KMS bietet eine Möglichkeit, AWS CloudHSM-Cluster einfach in AWS KMS zu integrieren.

Benutzer können ihren CloudHSM-Cluster so konfigurieren, dass Schlüssel anstelle des standardmäßigen KMS-Schlüsselspeichers gespeichert werden.

Benutzer können Schlüsselmaterial auch innerhalb des CloudHSM-Clusters generieren. Die im Kundenschlüsselspeicher generierten Hauptschlüssel verlassen das AWS Hardware Security Module im CloudHSM-Cluster nie im Klartext, und alle von KMS benötigten kryptografischen Operationen werden innerhalb der HSMs ausgeführt.

Fazit

AWS CloudHSM bietet Single-Tenant-Schlüsselspeicher und erfüllt damit FIPS 140-2 Level 3. CloudHSM ermöglicht die vollständige Kontrolle über Ihre Schlüssel, einschließlich symmetrischer (AES), asymmetrischer (RSA), SHA-256-, SHA-512-, Hash-basierter oder digitaler Signaturen (RSA). AWS Key Management Service hingegen ist ein Multi-Tenant-Schlüsselspeicher, der AWS gehört und von AWS verwaltet wird. AWS KMS ermöglicht Customer Master Keys für symmetrische Verschlüsselung (AES-256-XTS) und asymmetrische Schlüssel (RSA oder Elliptic Curve (ECC)). Angenommen, die Schlüsselverwaltungsstrategie Ihres Unternehmens für die Verschlüsselung läuft jetzt und auf absehbare Zeit bei einem einzigen Cloud-Service-Provider. In diesem Fall bietet AWS KMS die einfachste Umgebung zur Verwaltung der Schlüssel. Angenommen, Sie planen jedoch, die Vorteile mehrerer Cloud-Anbieter zu nutzen, möchten die HSMs jedoch nicht selbst verwalten. In diesem Fall könnte AWS CloudHSM die Lösung für Ihr Unternehmen sein, die es ermöglicht, Verschlüsselungsschlüssel von den Daten der anderen verwendeten Plattformen zu trennen.