Übersicht
Mit AWS Key Management Service (KMS) können Sie die zum Schutz Ihrer Daten verwendeten kryptografischen Schlüssel zentral steuern. Der Service ist mit anderen AWS-Services integriert und vereinfacht die Verschlüsselung von Daten, die Sie in diesen Services speichern, sowie die Zugriffskontrolle für Schlüssel zur Entschlüsselung dieser Daten. AWS KMS ist auch in AWS CloudTrail integriert, mit dem Sie überprüfen können, wer welche Schlüssel wann auf welchen Ressourcen verwendet hat. AWS KMS hilft Entwicklern ihrem Anwendungscode auf einfachere Weise Funktionen zur Verschlüsselung oder digitalen Signatur hinzuzufügen, entweder direkt oder mithilfe des AWS-SDK. Das AWS-Verschlüsselungs-SDK unterstützt AWS KMS als Schlüsselanbieter für Entwickler, die Daten in ihren Anwendungen lokal verschlüsseln/entschlüsseln müssen.
Mit AWS KMS können Sie den Lebenszyklus und die Berechtigungen Ihrer Schlüssel zentral steuern. Sie können jederzeit neue Schlüssel erstellen und jeweils separat festlegen, wer sie verwalten und verwenden darf. Alternativ zur Verwendung von Schlüsseln, die von AWS KMS generiert wurden, können Sie Schlüssel aus der eigenen Schlüsselverwaltungsinfrastruktur importieren oder in Ihrem AWS-CloudHSM-Cluster gespeicherte Schlüssel, oder Schlüssel, die außerhalb von AWS in Ihrer externen Schlüsselverwaltung aufbewahrt werden verwenden. Sie können die automatische Rotation von in AWS KMS generierten Stammschlüsseln einmal pro Jahr auswählen, ohne zuvor verschlüsselte Daten erneut verschlüsseln zu müssen. Der Dienst hält ältere Versionen des Stammschlüssels automatisch verfügbar, um zuvor verschlüsselte Daten zu entschlüsseln. Sie können Ihre Stammschlüssel verwalten und deren Verwendung über die AWS-Managementkonsole, das AWS SDK oder die AWS-Befehlszeilenschnittstelle (CLI) prüfen.
AWS-Service-Integration
AWS KMS integriert sich in AWS-Services, um Data-at-Rest zu verschlüsseln oder um die Signierung und Verifizierung mit einem AWS-KMS-Schlüssel zu erleichtern. Zum Schutz der Data-at-Rest verwenden die integrierten AWS-Services die Umschlagverschlüsselung, bei der ein Datenschlüssel zur Verschlüsselung der Daten verwendet wird, der selbst unter einem im AWS KMS gespeicherten KMS-Schlüssel verschlüsselt ist. Zum Signieren und Verifizieren verwenden die integrierten AWS-Services asymmetrische RSA- oder ECC-KMS-Schlüssel in AWS KMS. Weitere Details darüber, wie ein integrierter Service AWS KMS verwendet, finden Sie in der Dokumentation für Ihren AWS-Service.
| Alexa for Business[1] | Amazon FSx | Amazon Rekognition | AWS CodePipeline |
| Amazon AppFlow | Amazon GuardDuty | Amazon Relational Database Service (RDS) | AWS Control Tower |
| Amazon Athena | Amazon HealthLake | Amazon Route 53 | AWS Data Exchange |
| Amazon Aurora | Amazon Inspector | Amazon Simple Storage Service (Amazon S3)[3] | AWS Database Migration Service |
| Amazon Chime SDK | Amazon Kendra | Amazon SageMaker | AWS Elastic Disaster Recovery |
| Amazon CloudWatch Logs | Amazon Keyspaces (für Apache Cassandra) | Amazon Simple Email Service (SES) | AWS Elemental MediaTailor |
| Amazon CloudWatch Synthetics | Amazon Kinesis Data Streams | Amazon Simple Notification Service (SNS) | AWS Entity Resolution |
| Amazon CodeGuru | Amazon Kinesis Firehose | Amazon Simple Queue Service (SQS) | AWS GameLift |
| Amazon CodeWhisperer | Amazon Kinesis Video Streams | Amazon Textract | AWS Glue |
| Amazon Comprehend | Amazon Lex | Amazon Timestream | AWS Glue DataBrew |
| Amazon Connect | Amazon Lightsail[1] | Amazon Transcribe | AWS Ground Station |
| Amazon Connect Customer Profiles | Amazon Location Service | Amazon Translate | AWS IoT SiteWise |
| Amazon Connect Voice ID | Amazon Lookout für Equipment | Amazon WorkMail | AWS Key Management Service (AWS KMS) |
| Amazon Connect Wisdom | Amazon Lookout für Metrics | Amazon WorkSpaces | AWS Lambda |
| Amazon DocumentDB | Amazon Lookout für Vision | Amazon WorkSpaces Thin Client | AWS License Manager |
| Amazon DynamoDB | Amazon Macie | Amazon WorkSpaces Web | AWS Mainframe Modernization |
| Amazon DynamoDB Accelerator (DAX)[1] | Amazon Managed Blockchain | AWS AppConfig | AWS Network Firewall |
| Amazon EBS | Amazon Managed Service für Prometheus |
AWS AppFabric | AWS Proton |
| Amazon EC2 Image Builder | Amazon Managed Streaming für Kafka (MSK) | AWS Application Cost Profiler | AWS Secrets Manager |
| Amazon EFS | Amazon Managed Workflows für Apache Airflow (MWAA) | AWS Application Migration Service | AWS Snowball |
| Amazon Elastic Container Registry (ECR) | Amazon MemoryDB | AWS App Runner | AWS Snowball Edge |
| Amazon Elastic Kubernetes Service (EKS) | Amazon Monitron | AWS Audit Manager | AWS Snowcone |
| Amazon Elastic Transcoder | Amazon MQ | AWS Backup | AWS Storage Gateway |
| Amazon ElastiCache | Amazon Neptune | AWS Certificate Manager[1] | AWS Systems Manager |
| Amazon EMR | Amazon Nimble Studio | AWS Cloud9[1] | AWS Supply Chain |
| Amazon EMR Serverless | Amazon OpenSearch | AWS CloudHSM[2] | AWS Verified Access |
| Amazon EventBridge Scheduler | Amazon Omics | AWS CloudTrail | AWS X-Ray |
| Amazon FinSpace | Amazon Personalize | AWS CodeArtifact | |
| Amazon Forecast | Amazon QLDB | AWS CodeBuild | |
| Amazon Fraud Detector | Amazon Redshift | AWS CodeCommit[1] |
[1] Unterstützt ausschließlich von AWS verwaltete Schlüssel.
[2] AWS KMS unterstützt benutzerdefinierte Schlüsselspeicher, die vom AWS-CloudHSM-Cluster gesichert werden.
[3] S3 Express One Zone ist nicht in AWS KMS integriert, unterstützt aber serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3). Weitere Informationen zur Objektverschlüsselung in S3 Express One Zone finden Sie unter S3-Express-One-Zone-Datensicherung und -Verschlüsselung.
[4] Eine Liste der in AWS KMS integrierten Services in der AWS-Region China (Peking), betrieben von Sinnet, sowie in der AWS-Region China (Ningxia), betrieben von NWCD, finden Sie unter AWS KMS Service-Integration in China.
Oben nicht aufgeführte AWS-Services verschlüsseln Kundendaten automatisch über die Verwendung von Schlüsseln, die im Eigentum des Services sind und durch diesen verwaltet werden.
Audit-Überwachung
Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage, die Sie an AWS KMS stellen, in einer Protokolldatei aufgezeichnet. Diese Protokolldatei wird an den Amazon-Simple-Storage-Service-Bucket (Amazon S3) geliefert, den Sie bei der Aktivierung von AWS CloudTrail angegeben haben. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.
Skalierbarkeit, Beständigkeit und hohe Verfügbarkeit
AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird der Service automatisch an Ihre Anforderungen skaliert. Er hilft Ihnen, zehntausende KMS-Schlüssel in Ihrem Konto zu verwalten und sie jederzeit zu verwenden. Es werden Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit definiert, Sie können allerdings bei Bedarf höhere Grenzwerte anfordern.
Die von Ihnen (oder von anderen AWS-Services in Ihrem Auftrag) erstellten KMS-Schlüssel können nicht aus dem Service exportiert werden. Daher übernimmt AWS KMS die Verantwortung für ihre Beständigkeit. Um sicherzustellen, dass Ihre Schlüssel und Ihre Daten hochverfügbar sind, speichert AWS KMS mehrere Kopien der verschlüsselten Versionen Ihrer Schlüssel in Systemen, die für eine Haltbarkeit von 99,999999999 % ausgelegt sind.
Für verschlüsselte Daten oder digitale Signatur-Workflows, die sich über Regionen hinweg bewegen (Notfallwiederherstellung, Multi-Region-Hochverfügbarkeitsarchitekturen, globale DynamoDB-Tabellen und global verteilte konsistente digitale Signaturen), können Sie KMS-Multi-Region-Schlüssel erstellen. KMS-Multiregionsschlüssel sind ein Satz interoperabler Schlüssel mit demselben Schlüsselmaterial und denselben Schlüssel-IDs, die in mehrere Regionen repliziert werden können.
AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS-Services für die Ver- und Entschlüsselung auf AWS KMS angewiesen sind, ist AWS KMS so konzipiert, dass es ein gewisses Maß an Verfügbarkeit bietet. Diese Verfügbarkeit unterstützt den Rest von AWS und ist durch das AWS KMS Service Level Agreement abgesichert.
Sicher
AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet Hardware-Sicherheitsmodule (HSMs), die kontinuierlich im Rahmen der USA validiert werden. Das Federal Information Processing Standards (FIPS) 140-2 Validierungsprogramm für kryptografische Module des National Institute of Standards and Technology (NIST) schützt die Vertraulichkeit und Integrität Ihrer Schlüssel. AWS-KMS-HSMs sind die kryptografische Vertrauensbasis für den Schutz von KMS-Schlüsseln. Sie bilden eine sichere hardwareschützte Grenze für alle kryptografischen Operationen, die in KMS stattfinden. Das gesamte Schlüsselmaterial für KMS-Schlüssel, das in AWS-KMS-HSMs generiert wird, und alle Vorgänge, die entschlüsseltes KMS-Schlüsselmaterial erfordern, erfolgen ausschließlich innerhalb der FIPS-140-2-Sicherheitsstufe 3 dieser HSMs. Aktualisierungen der HSM-Firmware von AWS KMS werden durch eine Zugriffskontrolle mit mehreren Parteien gesteuert, die von einer unabhängigen Gruppe innerhalb von Amazon geprüft und überprüft wird. Gemäß den FIPS-140-Anforderungen werden alle Firmware-Änderungen an KMS-HSMs zur Validierung gemäß FIPS-140-2 Sicherheitsstufe 3 an ein vom NIST akkreditiertes Labor übermittelt.
Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. Dies gilt unabhängig davon, ob Sie AWS KMS auffordern, in Ihrem Namen Schlüssel zu erstellen, sie in den Service zu importieren oder sie mit dem Feature zum Speichern benutzerdefinierter Schlüssel in einem AWS-CloudHSM-Cluster zu erstellen. Sie wählen, ob Sie Schlüssel für einzelne Regionen oder Schlüssel für mehrere Regionen erstellen möchten. Schlüssel, die von KMS erstellt werden, werden niemals außerhalb der AWS-Region verwendet, in der sie erstellt wurden, und sie können auch nur in der Region verwendet werden, in der sie erstellt wurden.
Mehr über den Aufbau von AWS KMS und die Kryptographie, die zur Sicherung Ihrer Schlüssel verwendet wird, erfahren Sie im Whitepaper der kryptografischen Details zu AWS KMS.
* Die HSMs sind in der von der Beijing Sinnet Technology Co., Ltd. („Sinnet“) Sinnet betriebenen Region AWS China (Peking), und in der von Ningxia Western Cloud Data Technology Co., Ltd. („NWCD“) NWCD betriebenen Region AWS China (Ningxia) verfügbar. Sie sind von der chinesischen Regierung genehmigt (nicht FIPS 140-2-validiert), und das oben genannte Whitepaper zu den kryptografischen Details gilt nicht.
Asymmetrische Schlüssel
Mit AWS KMS können Sie asymmetrische KMS-Schlüssel und Datenschlüsselpaare erstellen und verwenden. Sie können einen KMS-Schlüssel zur Verwendung als Schlüsselpaar für die Signatur oder Verschlüsselung festlegen. Die Schlüsselpaargenerierung und asymmetrische kryptografische Operationen unter Verwendung dieser KMS-Schlüssel werden innerhalb von HSMs durchgeführt. Sie können den öffentlichen Teil des asymmetrischen KMS-Schlüssels zur Verwendung in Ihren lokalen Anwendungen anfordern, während der private Teil den Service nie verlässt. Sie können den privaten Teil eines asymmetrischen Schlüssels aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.
Sie können den Service auch auffordern, ein asymmetrisches Datenschlüsselpaar zu generieren. Diese Operation gibt eine Klartextkopie des öffentlichen Schlüssels, des privaten Schlüssels und eine Kopie des privaten Schlüssels zurück, die unter einem von Ihnen angegebenen symmetrischen KMS-Schlüssel verschlüsselt ist. Sie können den öffentlichen oder privaten Klartextschlüssel in Ihrer lokalen Anwendung verwenden und die verschlüsselte Kopie des privaten Schlüssels für die zukünftige Verwendung speichern.
** Asymmetrische Schlüssel werden mit den benutzerdefinierten Schlüsselspeichern nicht unterstützt.
HMAC
Sie können Hash-basierte Nachrichtenauthentifizierungscodes (HMACs) in den HSMs-140-2-validierten von AWS KMS erzeugen und verifizieren. HMACs sind kryptografische Bausteine, die geheimes Schlüsselmaterial in eine Hash-Funktion einbeziehen, um einen eindeutigen verschlüsselten Nachrichtenauthentifizierungscode zu entwickeln. HMAC-KMS-Schlüssel bieten einen Vorteil gegenüber HMAC-Schlüsseln aus Anwendungssoftware, weil das Schlüsselmaterial vollständig innerhalb von AWS KMS erzeugt und verwendet wird. Sie unterliegen auch den Zugriffskontrollen, die Sie für den Schlüssel festgelegt haben. Die HMAC-KMS-Schlüssel und die HMAC-Algorithmen, die AWS KMS verwendet, entsprechen den in RFC 2104 definierten Industriestandards. HMAC-KMS-Schlüssel werden in AWS-KMS-Hardware-Sicherheitsmodulen generiert, die nach dem FIPS 140-2 Cryptographic Module Validation Program zertifiziert sind und AWS KMS niemals unverschlüsselt verlassen. Sie können auch Ihren eigenen HMAC-Schlüssel aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.
*AWS-KMS-HMAC-Schlüssel werden in benutzerdefinierten Schlüsselspeichern nicht unterstützt.
** FIPS 140-2 gilt nicht für AWS KMS in der Region AWS China (Peking), die von Sinnet betrieben wird, sowie in der Region AWS China (Ningxia), die von NWCD betrieben wird. Die HSMs in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.
Compliance
Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Systeme validiert und zertifiziert:
- AWS-Berichte für System- und Organisationskontrollen (SOC) (SOC 1, SOC 2 und SOC 3). Eine Kopie der Berichte können Sie von AWS Artifact herunterladen.
- Katalog für Cloud-Computing-Compliance-Kontrollen (C5). Erfahren Sie mehr über das von der Deutschen Bundesregierung unterstützte Bescheinigungssystem C5.
- Payment Card Industry Data Security Standard (PCI DSS) Level 1. Erfahren Sie mehr über PCI-DSS-konforme Services in AWS unter Häufig gestellte Fragen zu PCI DSS.
- Federal Information Processing Standards (FIPS) 140-2. Das kryptografische Modul von AWS KMS wurde von den USA nach FIPS-140-2-Sicherheitsstufe 3 validiert. National Institute of Standards and Technology (NIST). Erfahren Sie mehr, indem Sie sich das FIPS-140-2-Zertifikat für AWS-KMS-HSM und die zugehörige Sicherheitsrichtlinie ansehen.
- Federal Risk and Authorization Management Program (FedRAMP). Weitere Informationen zur AWS-FedRAMP-Compliance finden Sie unter FedRAMP-Compliance.
- Health Insurance Portability and Accountability Act (HIPAA). Weitere Informationen finden Sie auf der HIPAA-Compliance-Webseite.
Benutzerdefinierte Schlüsselspeicher
Benutzerdefinierte Schlüsselspeicher kombinieren die bequeme und umfassende Schlüsselverwaltungsschnittstelle von AWS KMS mit der Möglichkeit, das/die Gerät(e) zu besitzen und zu kontrollieren, auf dem/denen Schlüsselmaterial und kryptografische Operationen stattfinden. Infolgedessen übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit der kryptografischen Schlüssel und für den Betrieb der HSMs. AWS KMS bietet zwei Arten von benutzerdefinierten Schlüsselspeichern:
CloudHSM-gesicherter Schlüsselspeicher
Sie können einen KMS-Schlüssel in einem benutzerdefiniertenAWS CloudHSM-Schlüsselspeicher erstellen, bei dem alle Schlüssel in einem AWS CloudHSM-Cluster erzeugt und gespeichert werden, den Sie besitzen und verwalten. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge ausschließlich unter diesem Schlüssel in Ihrem AWS-CloudHSM-Cluster ausgeführt.
Die Verwendung eines benutzerdefinierten Schlüsselspeichers ist mit zusätzlichen Kosten für den AWS-CloudHSM-Cluster verbunden und Sie übernehmen die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.
Externer Schlüsselspeicher
Wenn Sie aus rechtlichen Gründen Ihre Verschlüsselungsschlüssel vor Ort oder außerhalb der AWS Cloud speichern und verwenden müssen, können Sie einen KMS-Schlüssel in einem externen AWS-KMS-Schlüsselspeicher (XKS) erstellen, bei dem alle Schlüssel in einem externen Schlüsselmanager außerhalb von AWS erzeugt und gespeichert werden, den Sie besitzen und verwalten. Wenn Sie ein XKS verwenden, verlässt Ihr Schlüsselmaterial niemals Ihr HSM.
Im Gegensatz zu Standard-KMS-Schlüsseln oder einem Schlüssel in einem benutzerdefinierten CloudHSM-Schlüsselspeicher sind Sie bei der Verwendung eines externen Schlüsselspeichers für die Haltbarkeit, Verfügbarkeit, Latenz, Leistung und Sicherheit des Schlüsselmaterials und die kryptografischen Operationen externer Schlüssel verantwortlich. Die Leistung und Verfügbarkeit des KMS-Betriebs kann durch die Hardware-, Software- oder Netzwerkkomponenten der von Ihnen verwendeten XKS-Infrastruktur beeinträchtigt werden. Um mehr über XKS zu erfahren, lesen Sie diesen AWS News Blog.
* Benutzerdefinierte Schlüsselspeicher sind in der Region AWS China (Peking), von Sinnet betrieben, und in der Region AWS China (Ningxia), von NWCD betrieben, nicht verfügbar.
**Benutzerdefinierte Schlüsselspeicher sind für asymmetrische KMS-Schlüssel nicht verfügbar.
*** CodeArtifact unterstützt keine KMS-Schlüssel in einem XKS.
Clientseitige Verschlüsselung
Sie können AWS KMS mit clientseitigen Verschlüsselungsbibliotheken verwenden, um Daten direkt in Ihrer Anwendung auf AWS oder in Hybrid- und Multicloud-Umgebungen zu schützen. Sie können diese Bibliotheken verwenden, um Daten zu verschlüsseln, bevor Sie sie in AWS-Services oder anderen Speichermedien und Services von Drittanbietern speichern. Diese Bibliotheken wurden entwickelt, um Ihnen bei der Ver- und Entschlüsselung von Daten mithilfe von Branchenstandards und bewährten Methode. Mithilfe der Verschlüsselungsbibliotheken können Sie sich auf die Kernfunktionalität Ihrer Anwendung konzentrieren und müssen sich nicht mit der Ver- und Entschlüsselung Ihrer Daten befassen.
• Das AWS-Verschlüsselungs-SDK ist eine allgemeine Verschlüsselungsbibliothek zur Implementierung von Verschlüsselungs- und Entschlüsselungsvorgängen für alle Datentypen.
• Das AWS-Datenbankverschlüsselungs-SDK ist eine Verschlüsselungsbibliothek, die Sie bei der Sicherung sensibler Daten in Ihrer Datenbank unterstützt und zusätzliche Features für die Suche und Abfrage verschlüsselter Daten bereitstellt.
• Der Amazon-S3-Verschlüsselungs-Client ist eine Verschlüsselungsbibliothek zum Verschlüsseln und Entschlüsseln von Objekten, die in Ihrem S3-Bucket gespeichert sind.
Weitere Informationen finden Sie in der Dokumentation zu AWS Crypto Tools.
Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.