Serviço de gestão de chaves externas

  • Versão de lançamento: Australia
  • Atualizado 24 de mar. de 2026
  • 3 min. de leitura

    • Serviço de gestão de chaves externas( EKMS) permite que você integre Criptografia de campo com seus próprios sistemas externos de gestão de chaves.

    Serviço de gestão de chaves externas( EKMS) permite que você mantenha controle direto sobre as chaves de criptografia que protegem seus dados no ServiceNow plataforma. Em vez de armazenar chaves na infraestrutura, você pode gerá-las, armazená-las e gerenciá-las em um sistema de gestão de chaves dedicado. Essa abordagem permite que você adote serviços empresariais baseados em nuvem, mantendo o controle sobre seus dados confidenciais.

    Você mantém autoridade sobre as operações de ciclo de vida de chaves, incluindo geração, rotação e revogação, permitindo responder imediatamente a eventos de segurança. Isso permite que você remova chaves do seu sistema, tornando seus dados criptograficamente inacessíveis.

    Provedores compatíveis

    Atualmente, EKMS para Criptografia de campo Compatível com o AWS Key Management Service (AWS KMS). As versões futuras incluirão suporte para provedores de gestão de chaves adicionais.

    Principais limitações

    • Apenas um EKMS a configuração pode ser criada por instância.
    • Chaves multirregionais não são compatíveis.
    • A chave do AWS KMS deve ser uma chave simétrica.

    Como o EKMS funciona

    EKMS usa uma cadeia de quebra de chaves para proteger os dados. Veja o diagrama de quebra de chave do EKMS abaixo para uma representação visual. Quando o EKMS está configurado:

    1. Uma chave de criptografia de chave (KEK) é gerada em sua instância. Para EKMS, essa chave é chamada de chave de criptografia de chave externa (EKEK).
    2. O EKEK é encapsulado por uma chave raiz de instância interna (IRK), que é exclusiva da sua instância e armazenada com segurança em um Módulo de segurança de hardware (HSM) gerenciado pela ServiceNow.
    3. A EKEK encapsulada com IRK é encapsulada novamente pela chave do AWS KMS, que você gerencia na AWS.
    4. O EKEK encapsulado é armazenado na tabela Chaves de instância externa.
    5. As chaves de criptografia de dados (DEKs) para um módulo criptográfico são encapsuladas pelo EKEK e armazenadas na tabela de chaves do módulo. As DEKs são o que criptografa seus dados de campo.
    6. Os dados do campo são criptografados usando as DEKs do módulo criptográfico.

    Serviço de gestão de chaves externas diagrama

    Essa arquitetura garante que sua instância nunca tenha acesso direto para descriptografar os dados sem acesso à chave externa da AWS.

    Sincronização de status da chave

    O trabalho em segundo plano de Verificação de integridade do EKMS é executado a cada 30 minutos para sincronizar o status da chave da AWS com sua instância. A sincronização garante que as mudanças de estado da chave na AWS (habilitado, desabilitado, exclusão pendente, excluído) sejam refletidas no status da chave na configuração do EKMS. Os usuários com a função security_admin podem alterar essa frequência modificando o. com.glide.encryption.ekms.scheduler.health_check_interval propriedade do sistema. Consulte Mude a frequência de sincronização .

    Importante:
    As chaves excluídas pela AWS exigem um mínimo de sete dias antes de mostrar o status excluído, pois isso é controlado pelas políticas de retenção da AWS.

    integração com Criptografia de campo Enterprise

    EKMS integra-se com Criptografia de campo Enterprise( FEE) por módulos criptográficos. Os módulos criptográficos usam sua chave externa do AWS KMS para encapsular chaves de criptografia, e as configurações de campo criptografado especificam quais dados criptografar.

    Controle de acesso

    As políticas de acesso ao módulo (mapas) determinam quais funções de usuário podem exibir dados criptografados em texto não criptografado. Os usuários sem as atribuições de função adequadas não poderão descriptografar e exibir as informações protegidas, mesmo que tenham acesso à tabela.

    Iniciar

    Configurando Serviço de gestão de chaves externas

    Crie e mantenha componentes de Gestão de chaves para personalizar e gerenciar como as operações criptográficas são realizadas no ServiceNow instância.

    Ações do serviço de gestão de chaves externas

    Uso EKMS para gerenciar , revogar ou girar chaves para proteger dados confidenciais com os materiais de criptografia mais atualizados e operações de ciclo de vida.

    Informações de ativação

    Para ativar o. Serviço de gestão de chaves externas, Você deve primeiro comprar uma assinatura para qualquer uma das plataformas Criptografia ou ServiceNow Vault.

    . ServiceNow Plataforma Criptografia o pacote de assinatura é um direito comercial de grupo que inclui Criptografia de campo Enterprise e. Criptografia da nuvem.

    Criptografia de campo Enterpriseé a licença ilimitada de Criptografia de campo Iniciante. Criptografia de campo Enterprise está disponível com a ativação do plug-in com.glide.field.encryption.enterprise. Para obter detalhes, consulte Pacote de assinatura do Gerenciamento de criptografia e chaves.

    Depois de instalar o. Criptografia de campo Enterprise plug-in, instale o. EKMS Plug-in chamado "Gestão de chaves externas de criptografia de plataforma". O ID do plug-in é com.glide.encryption.external_kms. Consulte Ative o serviço de gestão de chaves externas para obter mais informações.