Симметричный ключ в KMS

Симметричный ключ — это набор версий, каждая из которых определяет алгоритм и криптографический материал для операций шифрования или расшифрования данных.
При создании симметричного ключа создается его первая версия, которая становится основной. Она по умолчанию используется в операциях с ключом, если во входных параметрах не указана другая версия.
При ротации ключа параметры новых версий наследуются от параметров ключа.

Основную версию симметричного ключа можно изменить в любой момент, указав произвольную старую версию. Для дополнительной безопасности ваших данных регулярно ротируйте ключи и используйте старые версии только для расшифрования данных. Это ограничит время использования криптографического материала.

Параметры ключаПараметры ключа

Для симметричного ключа KMS доступны следующие параметры:

• Идентификатор – уникальный идентификатор ключа в Yandex Cloud. Используется для работы с ключами с помощью SDK, API и CLI.

• Имя — имя ключа, неуникально и может быть использовано для работы с ключами с помощью CLI, если в каталоге только один ключ с таким именем.

• Алгоритм шифрования – алгоритм, используемый для шифрования в новых версиях ключа. Поддерживаются следующие алгоритмы симметричного шифрования в режиме GCM:

  • AES-128 — алгоритм AES с 128-битными ключами.
  • AES-192 — алгоритм AES с 192-битными ключами.
  • AES-256 — алгоритм AES с 256-битными ключами.
  • AES-256 HSM — алгоритм AES с 256-битными ключами. Создание ключа шифрования и криптографические операции выполняются на аппаратном модуле безопасности (HSM).

• Период ротации — промежуток времени между автоматическими ротациями ключа.

• Защита от удаления — опция, предотвращающая случайное удаление ключа. Когда защита включена, ключ не может быть удален без предварительного отключения этой опции.

• Статус — текущее состояние ключа. Возможные статусы:

  • Creating — ключ создается.
  • Active — ключ может использоваться для шифрования и расшифрования.
  • Inactive — ключ не может использоваться.

  Изменить статус ключа с Active на Inactive и наоборот можно с помощью метода update.

Использование симметричного ключаИспользование симметричного ключа

Симметричный ключ можно использовать в операциях шифрования и расшифрования данных при наличии определенных ролей. Вы можете временно заблокировать операции с использованием ключа, отозвав роли или изменив его статус на Inactive. Подробнее читайте в разделе Управление доступом в Key Management Service.

Удаление ключаУдаление ключа

Удаление ключа или родительского ресурса (каталога или облака), в котором содержался ключ, приводит к уничтожению содержащегося в нем криптографического материала. После этого вы не сможете расшифровать данные, зашифрованные ключом.

Примеры использованияПримеры использования

• Шифрование данных с помощью CLI и API Yandex Cloud
• Шифрование данных с помощью SDK Yandex Cloud
• Шифрование данных с помощью AWS Encryption SDK
• Шифрование данных с помощью Google Tink
• Шифрование секретов в Yandex Managed Service for Kubernetes
• Управление ключами KMS с HashiCorp Terraform
• Шифрование секретов в HashiCorp Terraform
• Auto Unseal в HashiCorp Vault
• Безопасная передача пароля в скрипт инициализации