本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
域和域状态
内部可信内部 Amazon KMS 实体的合作集合 Amazon Web Services 区域 称为域。域包括一组受信任的实体、一组规则和一组机密密钥(称为域密钥)。域名密钥在属于 HSMs 该域的成员之间共享。域状态包括以下字段。
- 名称
-
用于标识此域的域名。
- 成员
-
域成员列表 HSMs ,包括其公共签名密钥和公共协议密钥。
- 运算符
-
代表此服务运营商的实体、公共签名密钥和角色(Amazon KMS 操作员或服务主机)的列表。
- 规则
-
在 HSM 上运行的每条命令必须满足的仲裁规则列表。
- 域密钥
-
域中当前正在使用的域密钥(对称密钥)列表。
完整域状态仅在 HSM 上可用。域状态作为导出的域令牌在 HSM 域成员之间同步。
域密钥
域 HSMs 中的所有人共享一组域密钥 {DKr}。这些密钥通过域状态导出例程共享。导出的域状态可以导入作为域成员的任何 HSM 中。
域密钥 {DKr } 组始终包含一个活动域密钥和多个停用的域密钥。域密钥每天轮换,以确保 Amazon 符合密钥管理建议-第 1 部分
导出的域令牌
我们经常需要在域参与者之间同步状态。这可以通过在对域进行更改时导出域状态来实现。域状态将导出为导出的域令牌。
- 名称
-
用于标识此域的域名。
- 成员
-
域名成员 HSMs 的列表,包括他们的签名和协议公钥。
- 运算符
-
实体、公有签名密钥和代表此服务运营商的角色的列表。
- 规则
-
在 HSM 域成员上运行的每条命令必须满足的仲裁规则列表。
- 加密的域密钥
-
信封加密的域密钥。域密钥通过上面列出的每个成员的签名成员进行加密,然后封装到其公有协议密钥中。
- 签名
-
由 HSM 生成的域状态签名,必须是导出域状态的域成员。
导出的域令牌构成域内运行的实体的基本信任源。
管理域状态
域状态通过经仲裁身份验证的命令进行管理。这些更改包括修改域中受信任参与者的列表、修改用于运行 HSM 命令的仲裁规则以及定期轮换域密钥。这些命令将按每条命令进行身份验证,而不是经过身份验证的会话操作,如下面的图像所示。
处于初始化和运行状态的 HSM 包含一组自行生成的非对称身份密钥、一个签名密钥对和一个密钥建立密钥对。通过手动流程, Amazon KMS 操作员可以建立一个要在区域中的第一个 HSM 上创建的初始域。此初始域包含完整的域状态,如本主题中之前所定义。它通过连接命令安装到域中定义的每个 HSM 成员。
HSM 加入初始域后,它将绑定到该域中定义的规则。这些规则管理使用客户加密密钥或者更改主机或域状态的命令。使用加密密钥的经过身份验证的会话 API 操作在之前已定义。
上图描述了如何修改域状态。该过程包括四个步骤:
-
向 HSM 发送基于仲裁的命令以修改域。
-
将生成新的域状态,并将其导出为新的导出域令牌。HSM 上的状态未修改,这意味着更改未在 HSM 上实施。
-
向新导出的域令牌 HSMs 中的每个人发送第二条命令,以使用新的域令牌更新其域状态。
-
新导 HSMs 出的域令牌中列出的可以对命令和域令牌进行身份验证。他们还可以解压域密钥以更新域 HSMs中所有人的域状态。
HSMs 不要彼此直接沟通。相反,一定数量的运营商会请求更改域状态,从而生成新的导出域令牌。域的服务主机成员用于将新的域状态分发给域中的每个 HSM。
域的离开和加入通过 HSM 管理功能完成。域状态的修改通过域管理功能完成。
- 离开域
-
使 HSM 离开域,从内存中删除该域的所有剩余部分和密钥。
- 加入域
-
使 HSM 加入新域或将其当前域状态更新为新域状态。现有域用作对此消息进行身份验证的初始规则集的来源。
- 创建域
-
导致在 HSM 上创建新域。返回可以分配给该域成员 HSMs 的第一个域令牌。
- 修改运营商
-
从域中授权运营商及其角色的列表中添加或删除运营商。
- 修改成员
-
在域中的授权 HSMs 列表中添加或删除 HSM。
- 修改规则
-
修改在 HSM 上运行命令所需的仲裁规则集。
- 轮换域密钥
-
导致创建新的域密钥并将其标记为活动域密钥。这会将现有活动密钥移动到已停用的密钥,并从域状态中删除最旧的已停用密钥。