Die folgenden häufig gestellten Fragen gelten nicht für AWS KMS in der Region AWS China (Peking), die von Sinnet betrieben wird, sowie in der Region AWS China (Ningxia), die von NWCD betrieben wird. Informationen bezüglich dieser beiden Regionen in China finden Sie unter diesem Link zu häufig gestellten Fragen.  

Allgemeines

F: Was ist AWS Key Management Service (KMS)?
AWS KMS ist ein verwalteter Service, der es Ihnen ermöglicht, die für kryptografische Vorgänge verwendeten Schlüssel problemlos zu erstellen und zu steuern. Der Service bietet eine hochverfügbare Schlüsselgenerierungs-, Speicherungs-, Verwaltungs- und Überwachungslösung zum Verschlüsseln oder digitalen Signieren von Daten innerhalb Ihrer eigenen Anwendungen und zur Steuerung der Verschlüsselung von Daten in AWS-Services.

F: Weshalb sollte ich AWS KMS verwenden?
Wenn Sie für das Sichern von Daten in AWS-Services verantwortlich sind, sollten Sie AWS KMS für die zentrale Verwaltung der Verschlüsselungsschlüssel verwenden, die den Zugriff auf Ihre Daten steuern. Wenn Sie Entwickler sind und Daten in Ihren Anwendungen verschlüsseln müssen, sollten Sie das AWS Encryption SDK mit AWS KMS verwenden, damit die symmetrischen Verschlüsselungsschlüssel in Ihrem Code problemlos generiert, verwendet und geschützt werden können. Wenn Sie als Entwickler Daten mithilfe asymmetrischer Schlüssel digital signieren oder verifizieren müssen, sollten Sie den Service verwenden, um die benötigten privaten Schlüssel zu erstellen und zu verwalten. Wenn Sie nach einer skalierbaren Schlüsselverwaltungs-Infrastruktur suchen, die Ihre Entwickler und die wachsende Anzahl von deren Anwendungen unterstützt, sollten Sie den Service verwenden, um Ihre Lizenzgebühren und den betrieblichen Aufwand zu reduzieren. Wenn Sie für das Sicherstellen der Datensicherheit für gesetzliche oder Compliance-Zwecke verantwortlich sind, sollten Sie den Service verwenden, da er dazu beiträgt, den konsistenten Schutz Ihrer Daten sicherzustellen. Er kann außerdem für verschiedene branchenspezifische und regionale Compliance-Systeme eingesetzt werden.

F: Welche ersten Schritte sind für die Benutzung von AWS KMS notwendig?
Für einen einfachen Einstieg in die Nutzung von KMS wählen Sie am besten die Verschlüsselung Ihrer Daten innerhalb unterstützter AWS-Services mit von AWS verwalteten Master-Schlüsseln, die automatisch in Ihrem Konto für jeden Service erstellt werden. Wenn Sie die volle Kontrolle über die Verwaltung Ihrer Schlüssel haben möchten, einschließlich der Möglichkeit, den Zugriff auf Schlüssel über Konten oder Services hinweg freizugeben, können Sie Ihre eigenen Kunden-Masterschlüssel (CMKs) in AWS KMS erstellen. Sie können die erstellten CMKs auch direkt in Ihren eigenen Anwendungen verwenden. Sie können auf AWS KMS über die KMS-Konsole zugreifen, die unter Sicherheit, Identität und Compliance auf der AWS Services-Startseite der AWS-Konsole gruppiert ist. Sie können auf AWS KMS-APIs auch direkt über die AWS KMS-Befehlszeilenschnittstelle oder, für einen programmgesteuerten Zugriff, über das AWS SDK zugreifen. AWS KMS-APIs können auch indirekt verwendet werden, um Daten innerhalb Ihrer eigenen Anwendungen mithilfe des AWS Encryption SDK zu verschlüsseln. Weitere Informationen finden Sie auf der Seite Erste Schritte.

F: In welchen Regionen ist AWS KMS verfügbar?
Die Verfügbarkeit ist auf unserer globalen Seite Produkte und Services nach Region aufgelistet.

F: Welche Schlüsselverwaltungsfunktionen sind in AWS KMS verfügbar?

Sie können die folgenden Schlüsselverwaltungsfunktionen ausführen:

  • Erstellen symmetrischer und asymmetrischer Schlüssel, bei denen das Schlüsselmaterial nur innerhalb des Service verwendet wird
  • Erstellen symmetrischer Schlüssel, bei denen das Schlüsselmaterial generiert und innerhalb eines benutzerdefinierten Schlüsselspeichers unter Ihrer Kontrolle verwendet wird*
  • Importieren Ihres eigenen symmetrischen Schlüsselmaterials für die Verwendung innerhalb des Service
  • Erstellen symmetrischer und asymmetrischer Datenschlüsselpaare für die lokale Verwendung innerhalb Ihrer Anwendungen
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel verwalten dürfen
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel zur Ver- und Entschlüsselung von Daten verwenden dürfen
  • Auswählen, dass Schlüssel, die vom Service generiert wurden, automatisch jährlich rotiert werden
  • Vorübergehendes Deaktivieren von Schlüsseln, sodass niemand sie verwenden kann
  • Reaktivieren deaktivierter Schlüssel
  • Zeitliches Planen der Löschung nicht mehr verwendeter Schlüssel
  • Überwachen der Verwendung von Schlüsseln durch Prüfung der Protokolle in AWS CloudTrail

* Die Verwendung von benutzerdefinierten Schlüsselspeichern erfordert die Verfügbarkeit von CloudHSM-Ressourcen in Ihrem Konto.

F: Wie funktioniert AWS KMS?
Sie starten die Verwendung des Service durch Anfordern der Erstellung eines CMK. Sie steuern den Lebenszyklus des CMK sowie die Personen, die ihn verwenden oder verwalten dürfen. Das Schlüsselmaterial für einen CMK wird innerhalb von Hardwaresicherheitsmodulen (HSMs) generiert, die von AWS KMS verwaltet werden. Sie können auch Schlüsselmaterial aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren und einem CMK zuordnen. Außerdem können Sie das Schlüsselmaterial in einem AWS CloudHSM-Cluster als Teil der Funktion des benutzerdefinierten Schlüsselspeichers von AWS KMS generieren und verwenden.
 
Sobald Sie einen CMK mithilfe einer der drei unterstützten Optionen erstellt haben, können Sie Daten direkt an den AWS KMS-Service senden, damit sie mithilfe dieses CMK signiert, verifiziert, verschlüsselt oder entschlüsselt werden. Sie legen Nutzungsrichtlinien für diese Schlüssel fest, die bestimmen, welche Benutzer welche Aktionen unter welchen Bedingungen ausführen können.

AWS-Services und clientseitige Toolkits, die in AWS KMS integriert sind, verwenden zum Schutz Ihrer Daten eine Methode namens Umschlagsverschlüsselung. Mithilfe dieser Methode generiert AWS KMS Datenschlüssel, die verwendet werden, um Daten lokal im AWS-Service oder in Ihrer Anwendung zu verschlüsseln. Die Datenschlüssel sind selbst unter einem von Ihnen definierten CMK verschlüsselt. Datenschlüssel werden von AWS KMS nicht aufbewahrt oder verwaltet. AWS-Services verschlüsseln Ihre Daten und speichern eine verschlüsselte Kopie des Datenschlüssels zusammen mit den verschlüsselten Daten. Wenn ein Service Ihre Daten entschlüsseln muss, fordert er AWS KMS zur Entschlüsselung des Datenschlüssels mithilfe des CMK an. Wenn der Benutzer, der die Daten vom AWS-Service anfordert, zur Entschlüsselung im Rahmen des CMK berechtigt ist, empfängt der AWS-Service den entschüsselten Datenschlüssel von AWS KMS. Damit kann der AWS-Service dann Ihre Daten entschlüsseln und als Klartext zurückgeben. Alle Anforderungen zur Verwendung Ihrer CMKs werden in AWS CloudTrail protokolliert, sodass Sie immer herausfinden können, wer welchen Schlüssel wann und in welchem Kontext verwendet hat.

F: Wo werden meine Daten verschlüsselt, wenn ich AWS KMS verwende?
In der Regel gibt es drei Szenarien zur Datenverschlüsselung mit AWS KMS. Erstens können Sie AWS KMS-APIs direkt zur Ver- und Entschlüsselung von Daten mithilfe Ihrer im Service gespeicherten CMKs verwenden. Zweitens können Sie Ihre Daten von AWS-Services mithilfe der im Service gespeicherten CMKs verschlüsseln lassen. In diesem Fall werden Daten mit Datenschlüsseln verschlüsselt, die durch Ihre CMKs geschützt werden. Drittens können Sie das AWS Encryption SDK verwenden, das in AWS KMS integriert ist, um die Verschlüsselung innerhalb Ihrer eigenen Anwendungen durchzuführen, egal, ob diese auf AWS ausgeführt werden oder nicht.

Welche AWS-Cloud-Services sind in AWS KMS integriert?
AWS KMS ist nahtlos in die meisten anderen AWS-Services integriert, um das Verschlüsseln von Daten in diesen Services so einfach wie das Aktivieren eines Kontrollkästchens zu gestalten. In einigen Fällen werden Daten standardmäßig mit Schlüsseln verschlüsselt, die in AWS KMS gespeichert sind, sich aber im Besitz des jeweiligen AWS-Service befinden und von diesem verwaltet werden. In vielen Fällen befinden sich die CMKs in Ihrem Besitz und werden in Ihrem Konto verwaltet. Einige Services bieten Ihnen die Wahl, die Schlüssel selbst zu verwalten oder es dem Service zu gestatten, die Schlüssel in Ihrem Auftrag zu verwalten. Hier finden Sie die Liste der AWS-Services, die aktuell in AWS KMS integriert sind. Weitere Informationen darüber, wie integrierte Services AWS KMS verwenden, finden Sie im AWS KMS-Entwicklerhandbuch.

F: Warum Umschlagsverschlüsselung verwenden? Warum sollten die Daten nicht einfach zur direkten Verschlüsselung an AWS KMS gesendet werden?
AWS KMS unterstützt zwar die direkte Verschlüsselung der gesendeten Daten bis zu 4 KB, die Envelope-Verschlüsselung bietet jedoch erhebliche Leistungsvorteile. Die Daten, die Sie direkt mit AWS KMS verschlüsseln, müssen im Netzwerk übertragen werden. Die Umschlagsverschlüsselung reduziert die Netzwerklast, da nur die Anforderung und Lieferung des weitaus kleineren Datenschlüssels über das Netzwerk übertragen werden. Der Datenschlüssel wird lokal in Ihrer Anwendung oder vom verschlüsselnden AWS-Service verwendet. Damit entfällt die Übertragung des gesamten Datenblocks an AWS KMS und die damit verbundene Netzwerklatenz.

F: Was ist der Unterschied zwischen einem von mir erstellten CMK und CMKs, die automatisch für mich von anderen AWS-Services erstellt werden?
Sie können auswählen, welchen CMK ein AWS-Service verwenden soll, wenn er Daten für Sie verschlüsselt. Diese werden als kundenverwaltete CMKs bezeichnet, über die Sie die volle Kontrolle haben. Sie definieren die Zugangssteuerung und Nutzungsrichtlinie für jeden Schlüssel und können anderen Konten und Services Berechtigungen zur Nutzung gewähren. Wenn Sie kein CMK angeben, erstellt der jeweilige Service einen von AWS verwalteten CMK, wenn Sie das erste Mal versuchen, eine verschlüsselte Ressource in diesem Service zu erstellen. AWS verwaltet die Richtlinien, die mit von AWS verwalteten CMKs verbunden sind, in Ihrem Auftrag. Sie können von AWS verwaltete Schlüssel in Ihrem Konto verfolgen. Die gesamte Nutzung wird in AWS CloudTrail protokolliert, Sie haben aber keine direkte Kontrolle über die Schlüssel selbst.

F: Warum sollte ich meine eigenen CMKs erstellen?
Mit der Erstellung Ihres eigenen CMK haben Sie mehr Kontrolle als mit von AWS verwalteten CMKs. Wenn Sie einen symmetrischen kundenverwalteten CMK erstellen, können Sie Schlüsselmaterial verwenden, das von AWS KMS innerhalb eines AWS CloudHSM-Clusters generiert wurde, oder Ihr eigenes Schlüsselmaterial importieren. Sie können einen Alias und eine Beschreibung für den Schlüssel festlegen und auswählen, ob der Schlüssel einmal im Jahr automatisch rotiert werden soll, wenn er von AWS KMS erzeugt wurde. Sie können auch alle Berechtigungen für den Schlüssel festlegen und so steuern, wer den Schlüssel verwenden oder verwalten darf. Bei asymmetrischen kundenverwalteten CMKs gibt es eine Reihe von Vorsichtsmaßnahmen bezüglich der Verwaltung: Das Schlüsselmaterial kann nur innerhalb von AWS KMS-HSMs generiert werden. Außerdem ist keine automatische Schlüsselrotation möglich.

F: Kann ich meine eigenen Schlüssel in AWS KMS verwenden?
Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung nach AWS KMS importieren und mit allen integrierten AWS-Services sowie innerhalb Ihrer eigenen Anwendungen verwenden. Sie können keine asymmetrischen CMKs in AWS KMS importieren.

F: Wann sollte ich einen importierten Schlüssel verwenden?
Sie können einen importierten Schlüssel verwenden, um eine größere Kontrolle über das Erstellen, das Lebenszyklusmanagement und die Zuverlässigkeit Ihres Schlüssels in AWS KMS zu erhalten. Importierte Schlüssel sind dazu konzipiert, Sie beim Erfüllen Ihrer Compliance-Anforderungen zu unterstützen. Dazu gehören möglicherweise die Fähigkeit zum Generieren oder Aufbewahren einer sicheren Kopie des Schlüssels in Ihrer Infrastruktur sowie die Fähigkeit zum sofortigen Löschen der importierten Kopie des Schlüssels aus der AWS-Infrastruktur.

F: Welche Arten von Schlüsseln kann ich importieren?
Sie können symmetrische 256-Bit-Schlüssel importieren.

F: Wie wird der Schlüssel, den ich nach AWS KMS importiere, während der Übertragung geschützt?
Während des Importvorgangs muss Ihr Schlüssel in einem von AWS KMS bereitgestellten öffentlichen Schlüssel verpackt sein, wobei eines der beiden RSA PKCS#1 Schemata zu verwenden ist. Damit wird sichergestellt, dass Ihr verschlüsselter Schlüssel nur durch AWS KMS entschlüsselt werden kann.

F: Was ist der Unterschied zwischen einem Schlüssel, den ich importiere und einem Schlüssel, den ich in AWS KMS generiere?
Es gibt zwei Hauptunterschiede:

  1. Sie sind für die Aufbewahrung einer Kopie Ihrer importierten Schlüssel in Ihrer Schlüsselverwaltungsinfrastruktur verantwortlich, damit Sie sie jederzeit erneut importieren können. AWS stellt jedoch die Verfügbarkeit, Sicherheit und Zuverlässigkeit der Schlüssel sicher, die von AWS KMS für Sie erstellt wurden, bis Sie die Schlüssel zum Löschen freigeben.
  2. Sie können für einen importierten Schlüssel ein Ablaufdatum festlegen. AWS KMS löscht das Schlüsselmaterial automatisch nach der Ablaufzeit. Sie können importiertes Schlüsselmaterial auch bei Bedarf löschen. In beiden Fällen wird das Schlüsselmaterial selbst gelöscht, aber die CMK-Referenz in AWS KMS und verknüpften Metadaten wird beibehalten, damit das Schlüsselmaterial in Zukunft erneut importiert werden kann. Von AWS KMS erzeugte Schlüssel haben keine Ablaufzeit und können nicht sofort gelöscht werden. Es gibt eine obligatorische Wartezeit von 7 bis 30 Tagen. Alle kundenverwalteten CMKs, unabhängig davon, ob das Schlüsselmaterial importiert wurde, können manuell deaktiviert oder zur Löschung bestimmt werden. In diesem Fall wird der CMK selbst gelöscht, nicht nur das zugrundeliegende Schlüsselmaterial.

F: Kann ich meine Schlüssel rotieren?
Ja. Sie können auswählen, dass AWS KMS CMKs automatisch jährlich rotiert, solange diese Schlüssel innerhalb von AWS KMS-HSMs generiert wurden. Die automatische Schlüsselrotation wird nicht für importierte Schlüssel, asymmetrische Schlüssel oder Schlüssel unterstützt, die mithilfe der AWS KMS-Funktion für benutzerdefinierte Schlüsselspeicher in einem AWS CloudHSM-Cluster generiert wurden. Wenn Sie Schlüssel in AWS KMS importieren oder asymmetrische Schlüssel oder einen benutzerdefinierten Schlüsselspeicher verwenden möchten, können Sie die Schlüssel manuell rotieren, indem Sie einen neuen CMK erstellen und einen vorhandenen Schlüssel-Alias des alten CMK dem neuen CMK zuordnen.

F: Muss ich meine Daten erneut verschlüsseln, wenn die Schlüssel in AWS KMS rotiert werden?
Wenn Sie wählen, dass AWS KMS Schlüssel automatisch rotieren soll, brauchen Sie Ihre Daten nicht erneut zu verschlüsseln. AWS KMS bewahrt frühere Schlüsselversionen automatisch auf, sodass auch unter einer älteren Schlüsselversion verschlüsselte Daten entschlüsselt werden können. Alle neuen Anforderungen zur Verschlüsselung mit einem Schlüssel in AWS KMS werden unter der neuesten Version des Schlüssels verschlüsselt.

Wenn Sie Ihre importierten oder aus benutzerdefinierten Schlüsselspeichern stammenden Schlüssel manuell rotieren, müssen Sie Ihre Daten möglicherweise erneut verschlüsseln, abhängig davon, ob alte Versionen der Schlüssel weiterhin verfügbar bleiben sollen.

F: Kann ich einen Schlüssel aus AWS KMS löschen?
Ja. Sie können einen Zeitplan zur Löschung für einen Kunden-Masterschlüssel, den Sie in AWS KMS erstellt haben, und verknüpfte Metadaten festlegen, und zwar mit einer konfigurierbaren Wartezeit von 7 bis 30 Tagen. Während dieser Wartezeit können Sie die Auswirkungen der Löschung eines Schlüssels auf Ihre Anwendungen und Benutzer prüfen, die ihn unbedingt brauchen. Die standardmäßige Wartezeit beträgt 30 Tage. Sie können die Schlüssellöschung während der Wartezeit stornieren. Wenn ein Schlüssel zur Löschung vorgesehen ist, kann er erst wieder verwendet werden, wenn die Löschung während der Wartezeit storniert wird. Der Schlüssel wird am Ende der konfigurierbaren Wartezeit gelöscht, wenn Sie die Löschung nicht stornieren. Nachdem der Schlüssel gelöscht wurde, können Sie ihn nicht mehr verwenden. Unter einem gelöschten Master-Schlüssel geschützte Daten sind nicht mehr zugänglich.

Bei benutzerdefinierten Masterschlüsseln mit importiertem Schlüsselmaterial können Sie das Schlüsselmaterial löschen, ohne dass die ID oder die Metadaten des benutzerdefinierten Masterschlüssels gelöscht werden. Dazu gibt es zwei Methoden. Erstens können Sie Ihr importiertes Schlüsselmaterial nach Belieben ohne eine Wartezeit löschen. Zweitens können Sie zur Zeit des Imports des Schlüsselmaterials in den benutzerdefinierten Masterschlüssel eine Ablaufzeit definieren, mit der festgelegt wird, wie lange AWS Ihr importiertes Schlüsselmaterial verwenden kann, bevor es gelöscht wird. Sie können Ihr Schlüsselmaterial in den benutzerdefinierten Masterschlüssel re-importieren, wenn Sie es erneut verwenden müssen.

F: Was sollte ich tun, wenn mein importiertes Schlüsselmaterial abgelaufen ist oder ich es aus Versehen gelöscht habe?
Sie können Ihre Kopie des Schlüsselmaterials, das noch nicht abgelaufen ist, unter dem originalen, benutzerdefinierten Masterschlüssel nach AWS KMS re-importieren, sodass es verwendet werden kann.

F: Kann ich benachrichtigt werden, dass ich den Schlüssel re-importieren muss?
Ja. Wenn Sie Ihren Schlüssel in einen benutzerdefinierten Masterschlüssel importiert haben, erhalten Sie alle paar Minuten eine Metrik von Amazon CloudWatch, die die Zeit bis zum Ablauf des importierten Schlüssels herunterzählt. Außerdem erhalten Sie ein Amazon CloudWatch-Ereignis, wenn der importierte Schlüssel unter Ihrem benutzerdefinierten Masterschlüssel abläuft. Sie können eine Logik erstellen, die aufgrund dieser Metriken oder Ereignisse aktiv wird und den Schlüssel automatisch mit einer neuen Ablaufzeit re-importiert, um Risiken im Hinblick auf die Verfügbarkeit zu vermeiden.

F: Kann ich AWS KMS für die Verwaltung der Datenverschlüsselung außerhalb der AWS-Cloud-Services nutzen?
Ja. AWS KMS wird in AWS SDKs, im AWS Encryption SDK, bei der Client-seitigen Verschlüsselung von Amazon DynamoDB und im Amazon S3 Encryption Client unterstützt. Das erleichtert die Verschlüsselung von Daten in Ihren eigenen Anwendungen, unabhängig davon, wo diese ausgeführt werden. Besuchen Sie die Webseiten AWS Crypto Tools und Entwickeln auf AWS für weitere Informationen.

F: Gibt es eine Begrenzung für die Anzahl der Schlüssel, die ich in AWS KMS erstellen kann?
Sie können bis zu 10 000 CMKs pro Konto und Region erstellen. Da sowohl aktivierte als auch deaktivierte CMKs hinsichtlich des Limits berücksichtigt werden, sollten Sie deaktivierte Schlüssel, die Sie nicht mehr verwenden, löschen. Für Sie zur Verwendung in unterstützten AWS-Services erstellte, von AWS verwaltete CMKs werden diesbezüglich nicht gezählt. Die Anzahl der Datenschlüssel, die von einem CMK abgeleitet und in Ihrer Anwendung oder für Sie von AWS-Services zur Verschlüsselung von Daten verwendet werden, ist nicht beschränkt. Eine Erhöhung des Limits für CMKs können Sie im AWS Support Center anfordern.

F: Welche Typen von symmetrischen Schlüsseln und Algorithmen werden unterstützt?
AWS KMS unterstützt bei der CMK-Erstellung 256-Bit-Schlüssel. Generierte Datenschlüssel, die an den Aufrufer zurückgegeben werden, können 256-Bit- oder 128-Bit-Schlüssel sein oder einen beliebigen Wert von bis zu 1 024 Bytes aufweisen. Wenn AWS KMS für Sie einen 256-Bit-CMK verwendet, wird der AES-Algorithmus im Galois Counter Mode (AES-GCM) verwendet.

F: Welche Typen von asymmetrischen Schlüsseln werden unterstützt?
AWS KMS unterstützt die folgenden Typen asymmetrischer Schlüssel: RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 und ECC SECG P-256k1.

F: Welche Typen von asymmetrischen Verschlüsselungsalgorithmen werden unterstützt?
AWS KMS unterstützt die RSAES_OAEP_SHA_1- und RSAES_OAEP_SHA_256-Verschlüsselungsalgorithmen mit den Schlüsseltypen RSA 2048, RSA 3072 und RSA 4096. Verschlüsselungsalgorithmen können nicht mit den Schlüsseltypen für elliptische Kurven (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 und ECC SECG P-256k1) verwendet werden.

F: Welche Typen von asymmetrischen Signierungsalgorithmen werden unterstützt?
Bei der Verwendung von RSA-Schlüsseltypen unterstützt AWS KMS die Signierungsalgorithmen RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384 und RSASSA_PKCS1_V1_5_SHA_512.
Bei der Verwendung von Schlüsseltypen für elliptische Kurven unterstützt AWS KMS die Signierungsalgorithmen ECDSA_SHA_256, ECDSA_SHA_384 und ECDSA_SHA_512.

F: Können symmetrische CMKs aus dem Service in Klartext exportiert werden? 
Nein. Ein symmetrischer CMK oder der private Teil eines asymmetrischen CMK kann nicht aus den HSMs in Klartext exportiert werden. Der öffentliche Teil eines asymmetrischen CMK kann aus der Konsole oder durch Aufrufen der "GetPublicKey"-API exportiert werden.

F: Können Datenschlüssel und Datenschlüsselpaare aus den HSMs in Klartext exportiert werden?
Ja. Die symmetrischen Datenschlüssel können mithilfe der "GenerateDataKey"-API oder der "GenerateDataKeyWithoutPlaintext"-API exportiert werden. Außerdem können der private und der öffentliche Teil asymmetrischer Datenschlüsselpaare aus AWS KMS mithilfe der "GenerateDataKeyPair"-API oder der "GenerateDataKeypairWithoutPlaintext"-API exportiert werden

F: Wie werden Datenschlüssel und Datenschlüsselpaare für die Speicherung außerhalb des Service geschützt?
Der symmetrische Datenschlüssel oder der private Teil des asymmetrischen Datenschlüssels wird unter dem symmetrischen CMK verschlüsselt, den Sie definieren, wenn Sie die Generierung des Datenschlüssels durch AWS KMS anfordern.

F: Wie verwende ich den öffentlichen Teil eines asymmetrischen CMK?
Der öffentliche Teil des asymmetrischen Schlüsselmaterials wird in AWS KMS generiert und kann für die digitale Signaturüberprüfung durch Aufrufen der "Verify"-API oder für die Verschlüsselung des öffentlichen Schlüssels durch Aufrufen der "Encrypt"-API verwendet werden. Der öffentliche Schlüssel kann auch außerhalb von AWS KMS zur Überprüfung oder Verschlüsselung verwendet werden. Sie können die GetPublicKey-API aufrufen, um den öffentlichen Teil des asymmetrischen CMK abzurufen.

F: Was ist das Größenlimit für Daten, die für asymmetrische Vorgänge an AWS KMS gesendet werden? 
Das Größenlimit beträgt 4 KB. Wenn Sie Daten, die größer als 4 KB sind, digital signieren möchten, können Sie einen Nachrichtenauszug der Daten erstellen und an AWS KMS senden. Die digitale Signatur wird über den Auszug der Daten erstellt und zurückgegeben. Sie geben als Parameter in der Sign-API-Anforderung an, ob Sie die vollständige Nachricht oder einen Nachrichtenauszug senden. Auch alle Daten, die an die Encrypt-, Decrypt- oder Re-Encrypt-APIs gesendet werden und die Verwendung asymmetrischer Vorgänge erfordern, müssen kleiner als 4 KB sein.

F: Wie kann ich zwischen von mir erstellten symmetrischen und asymmetrischen CMKs unterscheiden?
In der Konsole verfügt jeder Schlüssel über ein neues Feld namens "Key Type" (Schlüsseltyp). Es hat den Wert "Asymmetric Key" (asymmetrischer Schlüssel) oder "Symmetric Key" (symmetrischer Schlüssel). Die "DescribeKey"-API gibt ein "KeyUsage"-Feld zurück, das angibt, ob der Schlüssel zum Signieren oder Verschlüsseln verwendet werden kann.

F: Wird das automatische Rotieren asymmetrischer CMKs unterstützt? 
Nein. Automatisches Rotieren wird für asymmetrische CMKs nicht unterstützt. Sie können sie manuell durch Erstellen eines neuen CMK und Zuordnen eines vorhandenen Schlüsselalias aus dem alten CMK zum neuen CMK rotieren.

F: Kann ein einziger asymmetrischer CMK sowohl zum Verschlüsseln als auch zum Signieren verwendet werden? 
Nein. Beim Erstellen eines CMK müssen Sie angeben, ob der Schlüssel für Verschlüsselungs- oder Signiervorgänge verwendet werden soll. Ein RSA-Schlüsseltyp kann für Signier- oder Verschlüsselungsvorgänge verwendet werden, aber nicht für beides. Schlüsseltypen für elliptische Kurven können nur für Signiervorgänge verwendet werden.

F: Gibt es Service Limits aufgrund von asymmetrischen Schlüsseln? 
Ja. Die Limits für Anfragen pro Sekunde unterscheiden sich je nach Schlüsseltyp und Algorithmus. Weitere Informationen finden Sie auf der Seite zu AWS KMS-Limits.

F: Funktionieren asymmetrische Schlüssel mit benutzerdefinierten AWS KMS-Schlüsselspeichern oder der Schlüsselimportfunktion? 
Nein. Sie können die Funktion für benutzerdefinierte Schlüsselspeicher nicht mit asymmetrischen Schlüsseln verwenden. Außerdem können Sie auch keine asymmetrischen Schlüssel in AWS KMS importieren.

F: Kann ich asymmetrische CMKs für digitale Signieranwendungen verwenden, die digitale Zertifikate benötigen?
Nicht direkt. AWS KMS kann keine digitalen Zertifikate mit von AWS KMS erstellten asymmetrischen CMKs speichern oder zuordnen. Sie können allerdings eine Zertifizierungsstelle wie ACM PCA verwenden, um ein Zertifikat für den öffentlichen Teil des asymmetrischen CMK auszustellen. Auf diese Weise können die Entitäten, die Ihren öffentlichen Schlüssel nutzen, prüfen, ob der öffentliche Schlüssel tatsächlich Ihnen gehört.

F: Für welche Anwendungsszenarien sollte ich ACM Private Certificate Authority und für welche AWS KMS verwenden? 
Der Hauptgrund für das Verwenden des ACM Private Certificate Authority (CA)-Service ist das Bereitstellen einer öffentlichen Schlüsselinfrastruktur (Public Key Infrastructure, PKI), um Entitäten zu identifizieren und Netzwerkverbindungen zu sichern. PKI stellt Prozesse und Mechanismen bereit, vor allem unter Verwendung von X.509-Zertifikaten, um kryptografische Vorgänge für öffentliche Schlüssel mit einer Struktur zu umgeben. Zertifikate stellen eine Zuordnung zwischen einer Identität und einem öffentlichen Schlüssel bereit. Der Zertifizierungsprozess, in dem eine Zertifizierungsstelle ein Zertifikat ausgibt, ermöglicht der vertrauenswürdigen Zertifizierungsstelle die Überprüfung der Identität einer anderen Entität durch Signieren eines Zertifikats. PKI stellt Identität, dezentrale Vertrauensstellung und Schlüssellebenszyklus-Verwaltung sowie den Zertifikatsstatus bereit, der durch Widerruf weitergegeben wird. Durch diese Funktionen werden den zugrunde liegenden asymmetrischen kryptografischen Schlüsseln und Algorithmen, die durch AWS KMS bereitgestellt werden, wichtige Prozesse und Infrastrukturen hinzugefügt.

ACM Private CA ermöglicht Ihnen das Ausstellen von Zertifikaten zum Identifizieren von Web- und Anwendungsservern, Service-Meshes, VPN-Benutzern, internen API-Endpunkten und IoT-Geräten. Mit Zertifikaten können Sie die Identität dieser Ressourcen einrichten und verschlüsselte TLS-/SSL-Kommunikationskanäle erstellen. Falls Sie erwägen, asymmetrische Schlüssel für die TLS-Terminierung auf Web- oder Anwendungsservern, Elastic Load Balancers, API-Gateway-Endpunkten, EC2-Instances oder Containern zu verwenden, sollten Sie ACM Private CA zum Ausstellen von Zertifikaten und Bereitstellen einer PKI-Infrastruktur verwenden.

Im Gegensatz dazu können Sie mit AWS KMS asymmetrische Schlüssel für digitale Signier- und/oder Verschlüsselungsvorgänge, die keine Zertifikate benötigen, generieren, verwalten und verwenden. Während Zertifikate die Überprüfung der Identitäten von Sender und Empfänger zwischen nicht vertrauenswürdigen Parteien ermöglichen können, ist die Art der grundlegenden asymmetrischen Vorgänge, die von AWS KMS angeboten wird, normalerweise dann hilfreich, wenn Sie über andere Mechanismen zum Überprüfen von Identitäten verfügen oder diese gar nicht überprüft werden müssen, um den gewünschten Sicherheitsvorteil zu erhalten.

F: Kann die die kryptografischen API-Anbieter meiner Anwendungen mit AWS KMS verwenden, beispielsweise OpenSSL, JCE, Bouncy Castle oder CNG?
AWS KMS stellt keine systemeigene Integration für andere kryptografische API-Anbieter bereit. Sie müssen AWS KMS-APIs direkt oder durch das AWS SDK verwenden, um Signier- und Verschlüsselungsfunktionen in Ihren Anwendungen zu integrieren.

F: Bietet AWS KMS ein Service Level Agreement (SLA) an?
Ja. Das AWS KMS SLA sieht eine Service-Gutschrift vor, wenn der monatliche Verfügbarkeitsprozentsatz eines Kunden in jedem Abrechnungszyklus unter unserer Service-Verpflichtung liegt.

Benutzerdefinierter Schlüsselspeicher

F: Was ist ein benutzerdefinierter Schlüsselspeicher?
Der benutzerdefinierte Schlüsselspeicher von AWS KMS kombiniert die Konfigurationsmöglichkeiten vonAWS CloudHSM mit der Integration und Benutzerfreundlichkeit von AWS KMS. Sie können Ihren eigenen CloudHSM-Cluster konfigurieren und AWS KMS autorisieren, diesen als dedizierten Schlüsselspeicher für Ihre Schlüssel anstatt des standardmäßigen AWS KMS-Schlüsselspeichers zu verwenden. Wenn Sie Schlüssel in AWS KMS erstellen, können Sie das Schlüsselmaterial auf Wunsch in Ihrem CloudHSM-Cluster generieren. CMKs, die in Ihrem benutzerdefinierten Schlüsselspeicher erzeugt werden, verlassen die HSMs im CloudHSM-Cluster nie als Klartext und alle AWS KMS-Vorgänge, die diese Schlüssel verwenden, werden nur in Ihren HSMs durchgeführt. In jeder anderen Hinsicht entsprechen in Ihrem benutzerdefinierten Schlüsselspeicher gespeicherte CMKs anderen AWS KMS-CMKs.

Zusätzliche Ratschläge dazu, ob die Verwendung eines benutzerdefinierten Schlüsselspeichers für Sie sinnvoll ist, finden Sie in diesem Blog.

F: Wofür benötige ich einen benutzerdefinierten Schlüsselspeicher?
Da Sie die Kontrolle über Ihren AWS CloudHSM-Cluster haben, können Sie den Lebenszyklus Ihrer CMKs unabhängig von AWS KMS verwalten. Es gibt vier Gründe, warum ein benutzerdefinierter Schlüsselspeicher für Sie nützlich sein könnte. Erstens besitzen Sie möglicherweise Schlüssel, die explizit in einer Einzelmandanten-HSM oder in einer HSM geschützt werden müssen, über die Sie direkte Kontrolle haben. Zweitens haben Sie möglicherweise Schlüssel, die in einer HSM gespeichert werden müssen, welche insgesamt bis FIPS 140-2 Level 3 validiert wurden (die in dem standardmäßigen AWS KMS-Schlüsselspeicher verwendeten HSMs sind entweder validiert oder werden bis Level 2 validiert, mit Level 3 in mehreren Kategorien). Drittens müssen Sie möglicherweise in der Lage sein, Schlüsselmaterial sofort aus AWS KMS zu entfernen und einen unabhängigen Nachweis darüber zu erbringen. Schließlich müssen Sie womöglich die gesamte Verwendung Ihrer Schlüssel unabhängig von AWS KMS oder AWS CloudTrail überprüfen können.

F: Haben benutzerdefinierte Schlüsselspeicher Einfluss darauf, wie Schlüssel verwaltet werden?
Bei der Verwaltung von Schlüsseln in einem benutzerdefinierten Schlüsselspeicher gibt es im Vergleich zum standardmäßigen AWS KMS-Schlüsselspeicher zwei Unterschiede. Sie können Schlüsselmaterial nicht in Ihren benutzerdefinierten Schlüsselspeicher importieren und AWS KMS kann Schlüssel nicht automatisch für Sie rotieren. In jeder anderen Hinsicht – unter anderem hinsichtlich der Typen von erzeugbaren Schlüsseln, der Verwendungsweise von Aliasnamen und der Definition von Richtlinien – werden Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher gespeichert werden, genau so verwaltet wie jeder andere kundenverwaltete AWS KMS-CMK.

F: Kann ich einen benutzerdefinierten Schlüsselspeicher verwenden, um einen von AWS verwalteten Customer Master Key (CMK) zu speichern?
Nein, nur kundenverwaltete CMKs können in einem benutzerdefinierten Schlüsselspeicher von AWS KMS gespeichert und verwaltet werden. Von AWS verwaltete CMKs, die in Ihrem Auftrag von anderen AWS-Services zur Verschlüsselung Ihrer Daten erstellt werden, werden stets im standardmäßigen Schlüsselspeicher von AWS KMS generiert und gespeichert.

F: Haben benutzerdefinierte Schlüsselspeicher Einfluss darauf, wie Schlüssel verwendet werden?
Nein, API-Anfragen an AWS KMS zur Verwendung eines CMK für die Ver- und Entschlüsselung von Daten werden identisch behandelt. Die Authentifizierungs- und Autorisierungsprozesse werden unabhängig davon ausgeführt, wo der Schlüssel gespeichert wird Sämtliche Aktivitäten unter Verwendung eines Schlüssels in einem benutzerdefinierten Schlüsselspeicher werden auch identisch in AWS CloudTrail protokolliert. Die tatsächlichen Kryptografievorgänge geschehen jedoch exklusiv im benutzerdefinierten Schlüsselspeicher oder im standardmäßigen AWS KMS-Schlüsselspeicher.

F: Wie kann ich die Verwendung von Schlüsseln in einem benutzerdefinierten Schlüsselspeicher prüfen?
Neben den Aktivitäten, die durch AWS KMS in AWS CloudTrail protokolliert werden, bietet ein benutzerdefinierter Schlüsselspeicher drei weitere Prüfungsmechanismen. Erstens protokolliert AWS CloudHSM zusätzlich alle API-Aktivitäten in CloudTrail, zum Beispiel Cluster-Erstellungen und hinzugefügte oder entfernte HSMs. Zweitens erfasst jeder Cluster auch seine eigenen lokalen Protokolle zur Aufzeichnung von Benutzer- und Schlüsselverwaltungsaktivitäten. Drittens kopiert jede CloudHSM-Instance die lokalen Benutzer- und Schlüsselaktivitätsprotokolle auf AWS CloudWatch.

F: Wie wirkt sich ein benutzerdefinierter Schlüsselspeicher auf die Verfügbarkeit von Schlüsseln aus?
Die Verwendung eines benutzerdefinierten Schlüsselspeichers in AWS KMS überträgt die Verantwortung der Schlüsselverfügbarkeit zur Verwendung durch AWS KMS auf Sie. Konfigurationsfehler in CloudHSM und die versehentliche Löschung von Schlüsselmaterial in einem AWS CloudHSM-Cluster können sich auf die Verfügbarkeit auswirken. Die Anzahl der verwendeten HSMs und Ihre Auswahl der Availability Zones (AZs) können sich ebenfalls auf die Resilienz Ihres Clusters auswirken. Wie bei jedem Schlüsselverwaltungssystem ist es wichtig, zu verstehen, sich die Verfügbarkeit von Schlüsseln auf die Wiederherstellung verschlüsselter Daten auswirken kann.

F: Welche Leistungsgrenzen sind bei einem benutzerdefinierten Schlüsselspeicher zu erwarten?
Die Geschwindigkeit, mit der Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher von AWS KMS gespeichert wurden, über AWS KMS API-Aufrufe verwendet werden können, ist geringer als bei Schlüsseln, die im standardmäßigen AWS KMS-Schlüsselspeicher gespeichert werden. Weitere Informationen zu den aktuellen Leistungsgrenzen finden Sie im AWS KMS-Entwicklerhandbuch.

F: Mit welchen Kosten ist ein benutzerdefinierter Schlüsselspeicher verbunden?
Die Preise für AWS KMS bleiben bei der Verwendung eines benutzerdefinierten Schlüsselspeichers unverändert. Jeder benutzerdefinierte Schlüsselspeicher erfordert jedoch, dass Ihr AWS CloudHSM-Cluster mindestens zwei HSMs enthält. Diese HSMs werden zu den standardmäßigen AWS CloudHSM-Preisen abgerechnet. Für die Verwendung eines benutzerdefinierten Schlüsselspeichers fallen keine zusätzlichen Gebühren an.

F: Welche zusätzlichen Fähigkeiten und Ressourcen sind zur Konfiguration eines benutzerdefinierten Schlüsselspeichers erforderlich?
AWS KMS-Anwender, die einen benutzerdefinierten Schlüsselspeicher verwenden möchten, müssen weiterhin einen AWS CloudHSM-Cluster einrichten, HSMs hinzufügen, die Benutzer der HSMs verwalten und möglicherweise HSMs aus Datensicherungen wiederherstellen. Dies sind sicherheitsempfindliche Aufgaben und Sie sollten sicherstellen, dass die angemessenen Ressourcen und Organisationskontrollen vorhanden sind.

F: Kann ich Schlüssel in einen benutzerdefinierten Schlüsselspeicher importieren?
Nein, die Möglichkeit, Ihr eigenes Schlüsselmaterial in einen benutzerdefinierten Schlüsselspeicher von AWS KMS zu importieren, wird nicht unterstützt. Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher gespeichert werden, können nur in den HSMs generiert werden, die Ihren AWS CloudHSM-Cluster bilden.

F: Kann ich Schlüssel zwischen dem standardmäßigen AWS KMS-Schlüsselspeicher und einem benutzerdefinierten Schlüsselspeicher migrieren?
Nein, die Möglichkeit, Schlüssel zwischen den unterschiedlichen Typen von AWS KMS-Schlüsselspeichern zu migrieren, wird aktuell nicht unterstützt. Alle Schlüssel müssen im Schlüsselspeicher erstellt werden, in dem sie verwendet werden, außer in Fällen, in denen Sie Ihr eigenes Schlüsselmaterial in den standardmäßigen AWS KMS-Schlüsselspeicher importieren.

F: Kann ich in einem benutzerdefinierten Schlüsselspeicher gespeicherte Schlüssel rotieren?
Die Möglichkeit, Schlüsselmaterial in einem benutzerdefinierten Schlüsselspeicher von AWS KMS automatisch zu rotieren, wird nicht unterstützt. Die Schlüsselrotation muss manuell erfolgen, indem Sie neue Schlüssel erstellen und von Ihrem Anwendungscode verwendete AWS KMS-Schlüsselaliasnamen neu zuweisen, um die neuen Schlüssel für zukünftige Verschlüsselungsvorgänge zu verwenden.

F: Kann ich meinen AWS CloudHSM-Cluster für andere Anwendungen verwenden?
Ja, AWS KMS erfordert keinen exklusiven Zugang zu Ihrem AWS CloudHSM-Cluster. Wenn Sie bereits einen Cluster besitzen, können Sie ihn als benutzerdefinierten Schlüsselspeicher verwenden und für andere Anwendungen einsetzen. Wenn Ihr Cluster jedoch intensive AWS KMS-fremde Workloads unterstützt, werden Sie möglicherweise einen reduzierten Durchsatz für Vorgänge mit CMKs in Ihrem benutzerdefinierten Schlüsselspeicher verzeichnen. Gleichermaßen kann sich eine hohe AWS KMS-Anforderungsrate an Ihren benutzerdefinierten Schlüsselspeicher auf andere Anwendungen auswirken.

F: Wo erfahre ich mehr über AWS CloudHSM?
Besuchen Sie die Webseite von AWS CloudHSM für einen Überblick zum Service und für weitere Einzelheiten zur Konfiguration und Verwendung des Service lesen Sie das Benutzerhandbuch von AWS CloudHSM.  

Fakturierung

F: Wie wird mir AWS KMS in Rechnung gestellt?
Bei AWS KMS zahlen Sie nur für das, was Sie auch tatsächlich nutzen. Es fallen keine Mindestgebühren an. Sie können mit der Verwendung dieses Service beginnen, ohne dass Ihnen Einrichtungsgebühren oder sonstige Verpflichtungen entstehen. Nach Ende eines Monats wird Ihre Kreditkarte automatisch mit den Nutzungsgebühren für den betreffenden Monat belastet.

Ihnen werden alle von Ihnen erstellten CMKs sowie Ihre API-Aufrufe an den Service monatlich in Rechnung gestellt, wenn ein kostenloses Kontingent überschritten wurde.

Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

F: Gibt es ein kostenloses Kontingent?
Ja. Mit dem kostenlosen Nutzungskontingent von AWS können Sie AWS KMS in allen Regionen kostenlos* verwenden. Von AWS verwaltete CMKs, die in Ihrem Auftrag vom AWS-Services erstellt wurden, können Sie kostenlos in Ihrem Konto speichern. Es gibt ein kostenloses Kontingent für die Nutzung, das für jeden Monat eine bestimmte Anzahl kostenloser Anforderungen an den Service bereitstellt. Informationen zur Preisgestaltung einschließlich des kostenlosen Kontingents finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

*API-Anforderungen mit asymmetrischen CMKs und API-Anforderungen an die GenerateDataKeyPair- und GenerateDataKeyPairWithoutPlaintext-APIs sind vom kostenlosen Kontingent ausgeschlossen.

F: Sind Steuern bereits in den Preisen enthalten?
Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen finden Sie hier.

Sicherheit

F: Wer kann meine Schlüssel in AWS KMS verwenden und verwalten?
AWS KMS erzwingt die Verwendung der von Ihnen definierten Management-Richtlinien. Sie wählen aus, welche AWS Identity and Access Management (IAM)-Benutzer und -Rollen in Ihrem Konto oder anderen Konten Ihre Schlüssel verwenden und verwalten dürfen.

F: Wie schützt AWS die von mir erstellten CMKs?
AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre CMKs im Klartext aus dem Service abrufen kann. Der Service verwendet Hardwaresicherheitsmodule (HSMs), die entweder unter FIPS-140-2 validiert wurden oder aktuell validiert werden, für den Schutz der Vertraulichkeit und Integrität Ihrer Schlüssel, unabhängig davon, ob Sie AWS KMS oder AWS CloudHSM verwenden, um Schlüssel zu erstellen oder diese selbst in den Service importieren. Ihre Klartext-CMKs verlassen nie die HSMs, werden zu keiner Zeit auf die Festplatte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Vorgänge im temporären Speicher der HSMs verwendet. AWS KMS-Schlüssel werden nie außerhalb der AWS-Regionen übertragen, in denen Sie erstellt wurden. Aktualisierungen der Software auf den Service-Hosts und der AWS KMS HSM-Firmware werden durch eine Mehrparteien-Zugangskontrolle gesteuert, die von einer unabhängigen Gruppe innerhalb von Amazon sowie einem NIST-zertifizierten Labor gemäß FIPS 140-2 geprüft und überprüft wird.

Weitere Informationen über diese Sicherheitskontrollen finden Sie im Whitepaper AWS KMS Cryptographic Details. Sie können auch das FIPS 140-2-Zertifikat für AWS KMS-HSM und die zugehörigeSicherheitsrichtlinie lesen. Dort finden Sie nähere Einzelheiten dazu, wie die HSM-Funktion von AWS KMS die Sicherheitsanforderungen von FIPS 140-2 erfüllt. Außerdem können Sie eine Kopie des Berichts "Service Organization Controls" (SOC) von AWS Artifact herunterladen, um weitere Informationen zu den Sicherheitskontrollen zu erhalten, die vom Service zum Schutz Ihrer CMKs verwendet werden.

F: Wie migriere ich meine vorhandenen CMKs für die Verwendung von FIPS 140-2-validierten HSMs?
Alle CMKs werden unabhängig von ihrem Erstellungsdatum oder ihrer Herkunft automatisch mithilfe von HSMs geschützt, die gemäß FIPS 140-2 validiert wurden oder derzeit validiert werden. Sie selbst müssen keine Maßnahmen ergreifen, damit die FIPS 140-2-validierten HSMs verwendet werden.

F: Welche AWS-Regionen verfügen über FIPS 140-2-validierte HSMs?
FIPS 140-2-validierte HSMs sind in allen AWS-Regionen verfügbar, in denen AWS KMS angeboten wird.

F: Worin besteht der Unterschied zwischen den FIPS 140-2-validierten Endpunkten und den FIPS 140-2-validierten HSMs in AWS KMS?
AWS KMS ist ein zweistufiger Service. Die API-Endpunkte erhalten Clientanforderungen über eine HTTPS-Verbindung. Dabei werden ausschließlich TLS-Ciphersuites verwendet, die Perfect Forward Secrecy unterstützen. Diese API-Endpunkte authentifizieren und autorisieren die Anforderung, bevor diese für eine kryptografische Operation an die HSMs von AWS KMS oder Ihren AWS CloudHSM-Cluster (falls Sie den benutzerdefinierten Schlüsselspeicher von KMS verwenden) übergeben wird.

F: Wie kann ich unter Verwendung der FIPS 140-2-validierten Endpunkte API-Anforderungen an AWS KMS stellen?
Sie konfigurieren Ihre Anwendungen für die Herstellung einer Verbindung zu den eindeutigen regionalen FIPS 140-2 validated HTTPSEndpunkten. Die FIPS 140-2-validierten HTTPS-Endpunkte in AWS KMS basieren auf dem OpenSSL FIPS Object Module. Sie können die Sicherheitsrichtlinie des OpenSSL-Moduls unter https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf prüfen. FIPS 140-2-validierte API-Endpunkte sind in allen Handelsregionen verfügbar, in denen AWS KMS erhältlich ist.

F: Kann ich mit AWS KMS die Anforderungen an Verschlüsselung und Schlüsselverwaltung des Payment Card Industry Data Security Standard (PCI DSS 3.2.1) einhalten?
Ja. AWS KMS verfügt nachweislich über die Funktionalität und Sicherheitskontrollen, die die Einhaltung der Anforderungen an Verschlüsselung und Schlüsselverwaltung (hauptsächlich festgelegt in den Abschnitten 3.5 und 3.6) des PCI DSS 3.2.1 ermöglichen.

Weitere Informationen über PCI DSS-konforme Services in AWS finden Sie unter PCI DSS FAQs.

F: Wie schützt AWS KMS die Datenschlüssel, die ich exportiere und in meiner Anwendung einsetze?
Sie können die Generierung von Datenschlüsseln durch AWS KMS anfordern und sie zur Verwendung in Ihrer eigenen Anwendung ausgeben. Die Datenschlüssel sind unter einem Masterschlüssel verschlüsselt, den Sie in AWS KMS definieren, sodass Sie den verschlüsselten Datenschlüssel gefahrlos mit Ihren verschlüsselten Daten speichern können. Ihre verschlüsselten Datenschlüssel (und folglich Ihre Quelldaten) können nur durch Benutzer entschlüsselt werden, die zur Verwendung des ursprünglichen Masterschlüssels zur Entschlüsselung des Datenschlüssels berechtigt sind.

F: Kann ich einen CMK exportieren und in meinen eigenen Anwendungen verwenden?
Nein. CMKs werden ausschließlich im Service erstellt und verwendet, um ihre Sicherheit zu gewährleisten, Ihre Richtlinien konsistent durchsetzbar zu machen und ein zentrales Protokoll ihrer Verwendung bereitzustellen.

F: In welcher geografischen Region werden meine Schlüssel gespeichert?
Von AWS KMS erzeugte Schlüssel werden nur in der Region gespeichert und verwendet, in der sie erstellt wurden. Sie können nicht in eine andere Region übertragen werden. Schlüssel beispielsweise, die in der Region EU-Zentral (Frankfurt) erstellt wurden, werden nur in der Region EU-Zentral (Frankfurt) gespeichert und verwendet.

F: Wie kann ich feststellen, wer die Konfiguration meiner Schlüssel in AWS KMS verwendet oder geändert hat?
Protokolle in AWS CloudTrail zeigen alle AWS KMS-API-Anforderungen, einschließlich Verwaltungsanfragen (z. B. Erstellen, Rotieren, Deaktivieren, Bearbeitung von Richtlinien) und Verschlüsselungsanforderungen (z. B. Verschlüsselung/Entschlüsselung). Aktivieren Sie AWS CloudTrail in Ihrem Konto, um diese Protokolle anzuzeigen.

F: Wie unterscheidet sich AWS KMS von AWS CloudHSM?
AWS CloudHSM stellt Ihnen einen insgesamt auf FIPS 140-2 Level 3 validierten HSM-Cluster mit einem einzelnen Mandanten in Ihrer Amazon Virtual Private Cloud (VPC) bereit, um Ihre Schlüssel zu speichern und zu verwenden. Sie besitzen über einen von AWS unabhängigen Authentifizierungsmechanismus die alleinige Kontrolle darüber, wie Ihre Schlüssel verwendet werden. Sie interagieren mit Schlüsseln in Ihrem AWS CloudHSM-Cluster ähnlich wie mit Ihren Anwendungen, die in Amazon EC2 ausgeführt werden. Sie können AWS CloudHSM zur Unterstützung diverser Anwendungsfälle einsetzen, darunter Digital Rights Management (DRM), Public Key Infrastructure (PKI), Dokumentensignierung und kryptografische Funktionen unter Verwendung von PKCS#11-, Java JCE- oder Microsoft CNG-Schnittstellen.

Mit AWS KMS können Sie die Verschlüsselungsschlüssel, die Ihre Anwendungen und unterstützte AWS-Services in mehreren Regionen auf der ganzen Welt verwenden, von einer einzigen Konsole aus erstellen und kontrollieren. Der Service verwendet ein FIPS-HSM, das gemäß FIPS 140-2 validiert wurde oder derzeit validiert wird, um die Sicherheit Ihrer Schlüssel zu gewährleisten. Durch die zentrale Verwaltung aller Ihrer Schlüssel in AWS KMS können Sie festlegen, wer Ihre Schlüssel unter welchen Bedingungen verwenden darf, wann sie rotiert werden und wer sie verwaltet. Aufgrund der Integration von AWS KMS in AWS CloudTrail können Sie zur Unterstützung Ihrer gesetzlichen und Compliance-Maßnahmen die Verwendung Ihrer Schlüssel überwachen. Sie interagieren mit AWS KMS in Ihren Anwendungen entweder durch das AWS SDK, wenn Sie die Service-APIs direkt aufrufen möchten, über andere, in AWS KMS integrierte AWS-Services oder durch Verwendung des AWS Encryption SDK, wenn Sie eine clientseitige Verschlüsselung durchführen möchten.

Standard Product Icons (Features) Squid Ink
Weitere Informationen zur Preisberechnung

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Erfahren Sie mehr 
Sign up for a free account
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Standard Product Icons (Start Building) Squid Ink
Beginnen Sie mit der Entwicklung in der Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung