AWS Key Management Service bietet Ihnen eine zentrale Kontrolle über die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel. Sie können sie erstellen, importieren, rotieren, deaktivieren, löschen, Nutzungsrichtlinien dafür definieren und die Nutzung der für die Verschlüsselung Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen. AWS Key Management Service ist in einen Großteil der anderen AWS-Services integriert und erleichtert so die Verschlüsselung der von Ihnen gespeicherten Daten mithilfe dieser Services. Sie verwenden dabei den von Ihnen kontrollierten Schlüssel. AWS KMS ist in AWS CloudTrail integriert. Sie können daher überwachen, wer wann welche Schlüssel auf welchen Ressourcen verwendet hat. AWS KMS versetzt Entwickler in die Lage, Daten problemlos zu verschlüsseln, sei es durch 1-Klick-Verschlüsselung in der AWS Management Console oder mittels AWS SDK, um ohne Aufwand eine Verschlüsselung zu ihrem Anwendungscode hinzuzufügen.

Testen Sie AWS Key Management Service

Erste Schritte mit AWS
Oder bei der Konsole anmelden

Erstellen Sie ein kostenloses Konto auf Amazon Web Services und erhalten Sie 12 Monate Zugang zu kostenlosen Produkten und Services.

Details zum kostenlosen Kontingent für AWS anzeigen >>

AWS Key Management Service bietet Ihnen eine zentrale Kontrolle Ihrer Verschlüsselungsschlüssel. Sie können auf einfache Art Schlüssel erstellen, importieren und rotieren sowie Verwendungsrichtlinien und Audit-Nutzung aus der AWS Management Console oder mithilfe von AWS SDK oder CLI definieren. Die Masterschlüssel in KMS, ob von Ihnen importiert oder durch KMS für Sie erstellt, werden in sehr robusten Speichern verschlüsselt abgelegt, um sicherzustellen, dass sie bei Bedarf abgerufen werden können. Sie können festlegen, dass KMS die in KMS erstellten Masterschlüssel einmal im Jahr automatisch rotiert. Sie müssen in diesem Fall bereits mit Ihrem Masterschlüssel verschlüsselte Daten nicht nochmals verschlüsseln. Sie müssen ältere Versionen Ihrer Masterschlüssel nicht im Auge behalten, KMS hält sie für die Entschlüsselung früher verschlüsselter Daten verfügbar. Sie können neue Masterschlüssel erstellen und jederzeit steuern, wer darauf Zugriff hat und mit welchen Services sie verwendet werden können. Sie können auch Schlüssel aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importieren und in KMS verwenden.

AWS Key Management Service ist nahtlos integriert in einen Großteil der anderen AWS-Services. Diese Integration bedeutet, dass Sie zum Verschlüsseln der Daten, die Sie in diesen Services speichern, einfach AWS KMS-Masterschlüssel verwenden können. Sie können einen Standard-Masterschlüssel verwenden, der automatisch für Sie erstellt wird und nur innerhalb des integrierten Services verwendbar ist, oder einen benutzerdefinierten Masterschlüssel auswählen, den Sie in KMS erstellt oder aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importiert haben und zu dessen Verwendung Sie berechtigt sind.

AWS-Services integriert in KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager  
Amazon Connect
Amazon Connect
Amazon Connect
Amazon Connect
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon Kinesis Video Streams
Amazon Kinesis Video Streams
AWS CloudTrail
AWS CloudTrail
AWS Systems Manager
Amazon Relational Database Service
Amazon Relational Database Service
AWS X-Ray
AWS X-Ray
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS CodePipeline
AWS CodePipeline
AWS CodeDeploy
AWS CodeDeploy
AWS CodeCommit
AWS CodeBuild
AWS Cloud9*
AWS – Auto Scaling
AWS – Auto Scaling
Amazon WorkSpaces
AWS Certificate Manager*
AWS Certificate Manager*
AWS CloudTrail
AWS CloudTrail
AWS CloudTrail
AWS Database Migration Service
AWS Database Migration Service
AWS Systems Manager
AWS Systems Manager
AWS Storage Gateway
Amazon Simple Email Service (SES)
Amazon Simple Email Service (SES)
Amazon WorkMail
AWS CloudTrail
AWS CloudTrail
AWS CodeBuild
AWS CodeBuild
AWS CodeCommit*
AWS CodeCommit*
AWS CodePipeline
AWS Snowball
AWS Snowmobile
AWS Storage Gateway

*Unterstützt ausschließlich von AWS verwaltete KMS-Schlüssel. 

AWS KMS ist auch in das AWS SDK und die AWS-Befehlszeilenschnittstelle (Command Line Interface, CLI) integriert und bietet eine RESTful-API. Wenn Sie diese Schnittstellen für die Ver- und Entschlüsselung von Daten nutzen, erfolgen Ver- und Entschlüsselungsoperationen automatisch – Sie wählen lediglich aus, welcher KMS-Masterschlüssel verwendet werden soll. Außerdem ist KMS in AWS CloudFormation integriert, sodass Sie mit der CloudFormation-Vorlage für KMS schnell Schlüssel in KMS erstellen können.

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Verwendung eines Schlüssels, den Sie in KMS speichern, in einer Protokolldatei aufgezeichnet, die an den von Ihnen bei der Aktivierung von AWS CloudTrail festgelegten Amazon S3-Bucket geliefert wird. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum und verwendetem Schlüssel.

AWS Key Management Service ist ein verwalteter Service. Bei zunehmender Nutzung von AWS KMS-Verschlüsselungsschlüsseln müssen Sie keine zusätzliche Infrastruktur für die Schlüsselverwaltung kaufen. AWS KMS wird automatisch Ihrem Verschlüsselungsschlüssel-Bedarf entsprechend skaliert.

Die von AWS KMS für Sie erstellten oder von Ihnen importierten Masterschlüssel können vom Service nicht exportiert werden. AWS KMS speichert mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel in Systemen, die für eine Beständigkeit von 99,999999999 % konzipiert sind. So wird sichergestellt, dass Ihre Schlüssel verfügbar sind, wenn Sie darauf zugreifen müssen. Wenn Sie Schlüssel nach KMS importieren, müssen Sie eine Kopie Ihrer Schlüssel sicher aufbewahren, sodass Sie sie jederzeit neu importieren können.

AWS KMS wird in mehreren Availability Zones in einer AWS-Region bereitgestellt, um hohe Verfügbarkeit für Ihre Verschlüsselungsschlüssel zu bieten.

AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet FIPS 140-2-validierte Hardwaresicherheitsmodule (HSMs) für den Schutz der Vertraulichkeit und Integrität Ihrer Schlüssel, der unabhängig davon, ob Sie bei KMS die Erstellung der Schlüssel in Ihrem Namen anfordern oder diese in den Service importieren, gewährleistet wird. Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. KMS-Schlüssel werden nie außerhalb der AWS-Regionen übertragen, in denen sie erstellt wurden. Updates zur KMS-HSM-Firmware wird über die Zugriffskontrolle verschiedener Anbieter gesteuert, der durch eine unabhängige Gruppe in Amazon überwacht und geprüft wird.

Weitere Informationen über die Funktionsweise von AWS KMS finden Sie im Whitepaper zum AWS Key Management Service.

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Programme validiert und zertifiziert: