AWS Key Management Service bietet Ihnen eine zentrale Kontrolle über die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel. Sie können sie erstellen, importieren, rotieren, deaktivieren, löschen, Nutzungsrichtlinien dafür definieren und die Nutzung der für die Verschlüsselung Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen. AWS Key Management Service ist in viele andere AWS-Services integriert und erleichtert so die Verschlüsselung der von Ihnen gespeicherten Daten mithilfe dieser Services. Sie verwenden dabei den von Ihnen kontrollierten Schlüssel. AWS KMS ist in AWS CloudTrail integriert. Sie können daher überwachen, wer wann welche Schlüssel auf welchen Ressourcen verwendet hat. AWS KMS versetzt Entwickler in die Lage, Daten problemlos zu verschlüsseln, sei es durch 1-Klick-Verschlüsselung in der AWS Management Console oder mittels AWS SDK, um ohne Aufwand eine Verschlüsselung zu ihrem Anwendungscode hinzuzufügen.

Testen Sie AWS Key Management Service

Erste Schritte mit AWS
oder bei der Konsole anmelden

Erstellen Sie ein kostenloses Konto auf Amazon Web Services und erhalten Sie 12 Monate Zugang zu kostenlosen Produkten und Services.

Details zum kostenlosen Kontingent für AWS anzeigen »

AWS Key Management Service bietet Ihnen eine zentrale Kontrolle Ihrer Verschlüsselungsschlüssel. Sie können auf einfache Art Schlüssel erstellen, importieren und rotieren sowie Verwendungsrichtlinien und Audit-Nutzung aus der AWS Management Console oder mithilfe von AWS SDK oder CLI definieren. Die Masterschlüssel in KMS, ob von Ihnen importiert oder durch KMS für Sie erstellt, werden in sehr robusten Speichern verschlüsselt gespeichert, um sicherzustellen, dass sie bei Bedarf abgerufen werden können. Sie können festlegen, dass KMS die in KMS erstellten Masterschlüssel einmal im Jahr automatisch rotiert. Sie müssen in diesem Fall bereits mit Ihrem Masterschlüssel verschlüsselte Daten nicht nochmals verschlüsseln. Sie müssen ältere Versionen Ihrer Masterschlüssel nicht im Auge behalten, KMS hält sie für die Entschlüsselung früher verschlüsselter Daten verfügbar. Sie können neue Masterschlüssel erstellen und jederzeit steuern, wer darauf Zugriff hat und mit welchen Services sie verwendet werden können. Sie können auch Schlüssel aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importieren und in KMS verwenden.

AWS Key Management Service ist nahtlos integriert in viele andere AWS-Services. Diese Integration bedeutet, dass Sie zum Verschlüsseln der Daten, die Sie in diesen Services speichern, einfach AWS KMS-Masterschlüssel verwenden können. Sie können einen Standard-Masterschlüssel verwenden, der automatisch für Sie erstellt wird und nur innerhalb des integrierten Services verwendbar ist, oder einen benutzerdefinierten Masterschlüssel auswählen, den Sie in KMS erstellt oder aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importiert haben und zu dessen Verwendung Sie berechtigt sind.

AWS-Produktkategorie AWS-Services integriert in KMS
Datenverarbeitung Amazon Lightsail*, Amazon EC2 SSM*, AWS Lambda

Speicherung und Bereitstellung von Inhalten

Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway, Amazon EFS
Datenbanken Amazon RDS, Amazon Redshift, AWS Database Migration Service
Entwickler-Tools AWS CodeCommit*, AWS CodeBuild**, AWS CodeDeploy**, AWS CodePipeline**
Verwaltungs-Tools AWS CloudTrail, Amazon CloudWatch Logs**
Analysen Amazon EMR, Amazon Kinesis Firehose, Amazon Kinesis Streams, Amazon Athena
Anwendungsservices Amazon Elastic Transcoder, Amazon SES, Amazon SQS
Unternehmensanwendungen Amazon WorkSpaces, Amazon WorkMail
Sicherheit, Identität und Compliance AWS Certificate Manager*
Kontakt-Center Amazon Connect

*unterstützt derzeit nur AWS-verwaltete KMS-Schlüssel. 
**unterstützt derzeit nur kundenverwaltete KMS-Schlüssel.

AWS KMS ist auch in das AWS SDK und die AWS-Befehlszeilenschnittstelle (Command Line Interface, CLI) integriert und bietet eine RESTful-API. Wenn Sie diese Schnittstellen für die Ver- und Entschlüsselung von Daten nutzen, erfolgen Ver- und Entschlüsselungsoperationen automatisch – Sie wählen lediglich aus, welcher KMS-Masterschlüssel verwendet werden soll. Außerdem ist KMS in AWS CloudFormation integriert, sodass Sie mit der CloudFormation-Vorlage für KMS schnell Schlüssel in KMS erstellen können.

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Verwendung eines Schlüssels, den Sie in KMS speichern, in einer Protokolldatei aufgezeichnet, die an den von Ihnen bei der Aktivierung von AWS CloudTrail festgelegten Amazon S3-Bucket geliefert wird. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum und verwendetem Schlüssel.

AWS Key Management Service ist ein verwalteter Service. Bei zunehmender Nutzung von AWS KMS-Verschlüsselungsschlüsseln müssen Sie keine zusätzliche Infrastruktur für die Schlüsselverwaltung kaufen. AWS KMS wird automatisch Ihrem Verschlüsselungsschlüssel-Bedarf entsprechend skaliert.

Die von AWS KMS für Sie erstellten oder von Ihnen importierten Masterschlüssel können vom Service nicht exportiert werden. AWS KMS speichert mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel in Systemen, die für eine Beständigkeit von 99,999999999 % konzipiert sind. So wird sichergestellt, dass Ihre Schlüssel verfügbar sind, wenn Sie darauf zugreifen müssen. Wenn Sie Schlüssel nach KMS importieren, müssen Sie eine Kopie Ihrer Schlüssel sicher aufbewahren, sodass Sie sie jederzeit neu importieren können.

AWS KMS wird in mehreren Availability Zones in einer AWS-Region bereitgestellt, um hohe Verfügbarkeit für Ihre Verschlüsselungsschlüssel zu bieten.

AWS KMS ist so konzipiert, dass niemand auf Ihre Masterschlüssel Zugriff hat. Der Service baut auf Systemen auf, die für den Schutz Ihrer Masterschlüssel konzipiert wurden. Dabei werden umfassende Härtungsmethoden eingesetzt: Es werden niemals Klartext-Masterschlüssel auf einem Datenträger gespeichert, sie werden nicht dauerhaft im Arbeitsspeicher gespeichert und es gibt Beschränkungen, welche Systeme auf Hosts zugreifen können, die Schlüssel verwenden. Jeder Zugriff zum Aktualisieren von Software im Service wird über einen Genehmigungsprozess mit mehreren Teilnehmern kontrolliert, der durch eine unabhängige Gruppe in Amazon überwacht und geprüft wird.

Weitere Informationen über die Funktionsweise von AWS KMS finden Sie im Whitepaper zum AWS Key Management Service.

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Programme validiert und zertifiziert: