AWS Key Management Service 对用于保护数据的加密密钥提供集中化控制。您可以创建、导入、轮换、禁用、删除、定义加密数据所用加密密钥的使用策略,并审计这些密钥的使用情况。AWS Key Management Service 可与许多其他 AWS 服务集成,从而让您可以使用您控制的加密密钥轻松加密这些服务中存储的数据。AWS KMS 可与 AWS CloudTrail 集成,AWS CloudTrail 让您能够审计谁在哪些资源上何时使用了哪些密钥。AWS KMS 能使开发人员通过在 AWS 管理控制台中进行 1-Click 加密或使用 AWS 软件开发工具包轻松加密数据,从而将加密轻松添加到其应用程序代码中。

试用 AWS Key Management Service

AWS Certificate Manager
或登录到控制台

创建您的 Amazon Web Services 免费账户,并接收 12 个月的免费产品和服务访问权

查看 AWS 免费套餐详细信息 »

AWS Key Management Service 为您提供加密密钥的集中化控制。您可以通过 AWS 管理控制台或者使用 AWS SDK 或 CLI,轻松创建、导入和轮换密钥,以及定义使用策略和审计使用情况。KMS 中的主密钥(无论是由您导入的还是由 KMS 代表您创建的)都以加密格式存储在高持久性的存储中,以帮助确保在需要时可对其进行检索。您可以选择让 KMS 每年自动轮换一次在 KMS 中创建的主密钥,而无需重新加密已使用主密钥加密过的数据。您无需记录旧版主密钥,因为 KMS 会保持其可用,以解密以前加密的数据。您可以创建新的主密钥,并对谁有权访问这些密钥以及它们可用于哪些服务随时加以控制。您也可以从自己的密钥管理基础设施导入密钥并在 KMS 中使用。

AWS Key Management Service 可与许多其他 AWS 服务无缝集成。这种集成意味着您可以轻松地使用 AWS KMS 主密钥加密用这些服务存储的数据。您可以使用自动为您创建的且只能在集成服务中使用的默认主密钥,或选择在 KMS 中创建的或从自己的密钥管理基础设施导入的您有权使用的自定义主密钥。

AWS; 产品类别:分析 AWS 服务与 KMS 集成
计算 Amazon Lightsail*、Amazon EC2 SSM、AWS Lambda

存储和内容分发

Amazon S3、Amazon EBS、AWS Import/Export Snowball、AWS Storage Gateway、Amazon EFS
数据库 Amazon RDS、Amazon Redshift、AWS Database Migration Service
开发人员工具 AWS CodeCommit*、AWS CodeBuild**、AWS CodeDeploy**、AWS CodePipeline**
管理工具 AWS CloudTrail、Amazon CloudWatch Logs**
分析 Amazon EMR、Amazon Kinesis Firehose、Amazon Kinesis Streams、Amazon Athena
应用程序服务 Amazon Elastic Transcoder、Amazon SES、Amazon SQS
企业应用程序 Amazon WorkSpaces、Amazon WorkMail
安全性、身份与合规性 AWS Certificate Manager*
联络中心 Amazon Connect

*目前仅支持 AWS 托管的 KMS 密钥。 
**目前仅支持客户自行管理的 KMS 密钥。

AWS KMS 还能集成到 AWS 软件开发工具包、AWS 命令行界面 (CLI) 中,并提供 RESTful API。当您使用这些接口加密或解密数据时,会自动发生加密或解密操作,您只需选择使用哪种 KMS 主密钥。此外,KMS 与 AWS CloudFormation 的集成可以让您使用适用于 KMS 的 CloudFormation 模板快速在 KMS 中创建密钥。

如果您为您的 AWS 账户启用 AWS CloudTrail,则对您存储在 KMS 中的密钥的每次使用都会记录在日志文件中,该文件会传送到您启用 AWS CloudTrail 时指定的 Amazon S3 存储桶。记录的信息包括用户、时间、日期和所用密钥的详情。

AWS Key Management Service 是一项托管型服务。随着 AWS KMS 加密密钥的使用量增长,您不必额外购买密钥管理基础设施。AWS KMS 会自动扩展以满足您的加密密钥需求。

AWS KMS 代表您创建的主密钥或由您导入的主密钥都不能从该服务中导出。AWS KMS 将密钥的多个加密版副本存储在设计可实现 99.999999999% 持久性的系统中,以帮助确保您的密钥在您需要访问它们时可用。如果您将密钥导入 KMS,则必须安全保留一份密钥副本,以便随时重新导入这些密钥。

AWS KMS 部署在一个 AWS 区域的多个可用区中,从而为加密密钥提供高可用性。

AWS KMS 的设计确保没人能访问您的主密钥。该服务构建于设计用于利用大量固化技术保护主密钥的系统上,例如,从不将明文主密钥存储在磁盘中,不将它们持续存储在内存中,以及限制哪些系统可以访问使用密钥的主机。该服务上更新软件的所有访问权都通过多方访问控制加以控制,该过程由亚马逊内部的独立小组审计和审查。

要详细了解 AWS KMS 如何运行,您可以阅读 AWS Key Management Service 白皮书

AWS KMS 中的安全性和质量控制已经过以下合规性方案验证并获得了认证:

  • AWS 服务组织控制(SOC 1、SOC 2 及 SOC 3)报告。您可以向 AWS 合规性索取这些报告的副本。
  • PCI DSS 第 1 级。要详细了解 AWS 中符合 PCI DSS 规定的服务,您可以阅读 PCI DSS 常见问题
  • ISO 27017。要详细了解 AWS 中符合 ISO 27017 规定的服务,您可以阅读 ISO-27017 常见问题
  • ISO 27018。要详细了解 AWS 中符合 ISO 27018 规定的服务,您可以阅读 ISO-27018 常见问题
  • ISO 9001。要详细了解 AWS 中符合 ISO 9001 规定的服务,您可以阅读 ISO-9001 常见问题
  • 在接受 FIPS 140-2 评估。有关更多详细信息,您可以查看 FIPS 140-2 Modules In Process List