概览

借助 AWS Key Management Service (KMS),您可以集中控制用于保护数据的加密密钥。AWS KMS 与 AWS 服务集成,让您能够轻松加密您在这些服务中存储的数据,并控制对用于解密此数据的密钥的访问。AWS KMS 与 AWS CloudTrail 集成,让您能够审核谁何时在哪些资源上使用了哪些密钥。AWS KMS 还可以帮助开发人员直接通过加密和解密服务 API 或通过与 AWS Encryption SDK 的集成,将加密功能轻松添加到应用程序代码。

集中化密钥管理

AWS Key Management Service 为您提供对加密密钥的集中化控制。客户主密钥 (CMK) 用于控制对用于加密和解密数据的数据加密密钥的访问。您可以随时创建新的主密钥,并且轻松管理访问密钥的对象以及可以搭配使用的服务。您还可以将密钥从自己的密钥管理基础设施中导入到 AWS KMS,或者使用 AWS CloudHSM 集群中存储的密钥并从 AWS KMS 对其进行管理。您可以管理主密钥并通过 AWS 管理控制台或使用 AWS 开发工具包或 AWS 命令行界面 (CLI) 审核使用情况。

无论 AWS KMS 中的密钥是在 KMS 内创建还是在 CloudHSM 集群内创建,还是由您导入,都以加密格式存储在高持久性的存储中,以便在需要时使用。您可以选择让 AWS KMS 每年自动轮换一次在 KMS 中创建的主密钥,而无需重新加密已使用主密钥加密过的数据。您无需记录旧版主密钥,因为 KMS 会保持其可用,以解密以前加密的数据。

AWS 服务集成

AWS KMS 与大多数 AWS 服务无缝集成。这种集成意味着,您可以轻松地使用 KMS 主密钥控制您在这些服务内所存储数据的加密。决定加密服务中的数据时,您可以选择使用该服务在 KMS 中自动为您创建的 AWS 托管的主密钥。您可以跟踪密钥的使用情况,但此密钥由该服务托管。

如果您需要对主密钥的生命周期进行直接控制,或者想让其他账户使用它,您可以创建并管理自己的主密钥,这些密钥均可由 AWS 服务代您使用。借助这些客户托管的主密钥,您可以完全控制访问权限,以决定谁可以在哪些情况下使用密钥。

与 KMS 集成的 AWS 服务
Alexa for Business* Amazon EMR Amazon SageMaker AWS CodeDeploy
Amazon Athena Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS CodePipeline

Amazon Aurora

Amazon Glacier Amazon Simple Notification Service (SNS) AWS Database Migration Service
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Simple Queue Service (SQS) AWS Glue
Amazon Comprehend* Amazon Kinesis Firehose Amazon Translate AWS Lambda
Amazon Connect Amazon Kinesis Video Streams Amazon WorkMail AWS Secrets Manager
Amazon DocumentDB Amazon Lex Amazon WorkSpaces AWS Systems Manager
Amazon DynamoDB* Amazon Lightsail* AWS Backup AWS Snowball
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) AWS Certificate Manager* AWS Snowball Edge
Amazon EBS Amazon Neptune AWS Cloud9* AWS Snowmobile
Amazon EFS Amazon Redshift AWS CloudTrail AWS Storage Gateway
Amazon Elastic Transcoder Amazon Relational Database Service (RDS) AWS CodeBuild AWS X-Ray
Amazon Elasticsearch Service Amazon S3 AWS CodeCommit*
AWS X-Ray

*仅支持 AWS 托管的 KMS 密钥。

** 要查看由光环新网运营的 AWS 中国(北京)区域和由西云数据运营的 AWS 中国(宁夏)区域与 KMS 集成的服务列表,请访问中国 AWS KMS 服务集成 

上方没有列出的 AWS 服务将使用服务已有且托管的密钥自动加密客户数据。

审计功能

如果您为 AWS 账户启用了 AWS CloudTrail,则您向 AWS KMS 发出的每个请求都会记录在日志文件中,该文件会被传送到您在启用 AWS CloudTrail 时指定的 Amazon S3 存储桶。记录的信息包括用户、时间、日期、API 操作和所用密钥(如果相关)的详细信息。

可扩展性、持久性和高可用性

AWS KMS 是完全托管的服务。随着加密使用量的增长,KMS 会自动扩展以满足您的需求。借助 AWS KMS,您能够管理账户中数千个主密钥,并能够随时使用它们。AWS KMS 规定密钥数量和请求速率的默认限制,但是您可以在需要时请求提高这些限制。

不论是您在 AWS KMS 中创建的主密钥,还是其他 AWS 服务为您创建的主密钥,都无法从服务中导出。因此 KMS 需要确保这些密钥永久可用。为了帮助您确保密钥和数据具有高可用性,AWS KMS 将密钥的多个加密版副本存储在设计持久性为 99.999999999% 的系统中。

如果您将密钥导入 KMS,则可以保留安全版本的主密钥,这样一来,如果它们不可用,您可以在需要使用时重新导入它们。如果您使用 KMS 中的自定义密钥存储功能在 AWS CloudHSM 集群中创建主密钥,则系统会自动备份密钥的加密副本,并且您可以对恢复流程实施完全控制。

AWS KMS 经过专门设计,是一项带有区域 API 终端节点的高可用性服务,大多数 AWS 服务都依靠 AWS KMS 进行加密和解密,它的设计可提供一定级别的可用性,用于支持其他 AWS 服务,而且由 AWS KMS 服务等级协议提供支持。

安全

AWS KMS 旨在确保包括 AWS 员工在内的任何人都无法从该服务中检索您的纯文本密钥。无论您是请求 KMS 代表您创建密钥,在 AWS CloudHSM 集群中创建密钥,还是将密钥导入该服务中,该服务都会使用经 FIPS 140-2 验证的硬件安全模块 (HSM) 保护您的密钥的机密性和完整性。您的纯文本密钥永远不会被写入磁盘中,只会在执行您请求的加密操作期间在 HSM 的易失性内存中使用它。KMS 创建的密钥永远不会在创建密钥的 AWS 区域以外传输,并且只能在创建密钥的区域内使用。KMS HSM 固件的更新由 Amazon 的内部独立小组以及符合 FIPS 140-2 规定的 NIST 认证的实验审计和审核的多方访问控件控制。

要详细了解有关 AWS KMS 的设计方式以及用于保护密钥的加密技术,请阅读《AWS Key Management Service 加密操作详解》白皮书

* 该硬件安全模块经中国政府批准(未通过 FIPS 140-2 认证),上述加密操作详解白皮书不适用于由光环新网运营的 AWS 中国(北京)区域和由西云数据运营的 AWS 中国(宁夏)区域的 KMS。 

自定义密钥存储

AWS KMS 为您提供此选项,以使用您控制的 HSM 创建自己的密钥存储。每个自定义密钥存储都由 AWS CloudHSM 集群提供支持。当您在自定义密钥存储中创建 KMS 客户主密钥 (CMK) 时,KMS 会在您拥有并管理的 AWS CloudHSM 集群中为 CMK 生成并存储不可提取的密钥材料。在自定义密钥存储中使用 CMK 时,该密钥下的加密操作将在 CloudHSM 集群中执行。

对于存储在自定义密钥存储(而非默认 KMS 密钥存储)中的主密钥,其管理方式与 KMS 中的任何其他主密钥相同,并且可供支持客户托管式 CMK 的任何 AWS 服务使用。

使用自定义密钥存储时,会涉及 CloudHSM 集群的其他费用,并且您应负责该集群中密钥材料的可用性。若想知道自定义密钥存储是否能够满足您的要求,请参阅此博客

* 自定义密钥存储功能尚未在由光环新网运营的 AWS 中国(北京)区域和由西云数据运营的 AWS 中国(宁夏)区域推出。

合规性

AWS KMS 中的安全性和质量控制已经过以下合规性方案验证并获得了认证:

  • AWS 服务组织控制(SOC 1、SOC 2 及 SOC 3)报告。您可以从 AWS Artifact 下载这些报告的副本。
  • PCI DSS 第 1 级。如需详细了解 AWS 中符合 PCI DSS 规定的服务,请参阅 PCI DSS 常见问题
  • ISO 27001。如需详细了解 AWS 中符合 ISO 27001 规定的服务,请参阅 ISO-27001 常见问题
  • ISO 27017。如需详细了解 AWS 中符合 ISO 27017 规定的服务,请参阅 ISO-27017 常见问题
  • ISO 27018。如需详细了解 AWS 中符合 ISO 27018 规定的服务,请参阅 ISO-27018 常见问题
  • ISO 9001。如需详细了解 AWS 中符合 ISO 9001 规定的服务,请参阅 ISO-9001 常见问题
  • FIPS 140-2。运行固件版本 1.4.4 的 AWS KMS 加密模块经过 FIPS 140-2 2 级整体验证和 3 级的若干其他类别验证,其中包括物理安全性。有关更多信息,请参阅适用于 AWS KMS HSM 的 FIPS 140-2 证书以及相关的安全策略
  • FedRAMP。如需详细了解 AWS FedRAMP 合规性信息,请参阅 FedRAMP 合规性
  • HIPAA。有关更多详细信息,请参阅 HIPAA 合规性页面。
 
* FIPS 140-2 不适用于中国地区的 KMS。中国地区的硬件安全模块经中国政府批准可以投入使用。
Product-Page_Standard-Icons_01_Product-Features_SqInk
详细了解产品定价信息

查看定价示例并计算成本。

了解更多 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
注册免费账户

立即享受 AWS 免费套餐。 

注册 
Product-Page_Standard-Icons_03_Start-Building_SqInk
开始在控制台中构建

在 AWS 控制台中使用 AWS Key Management Service 开始构建。

登录