Testen Sie AWS Key Management Service

Erste Schritte mit AWS
oder bei der Konsole anmelden

Erstellen Sie ein kostenloses Konto auf Amazon Web Services und erhalten Sie 12 Monate Zugang zu kostenlosen Produkten und Services.

Details zum kostenlosen Kontingent für AWS anzeigen »


AWS KMS ist ein verwalteter Verschlüsselungsservice, mit dem Sie Ihre Daten einfach verschlüsseln können. AWS KMS bietet eine hochverfügbare Speicherungs-, Verwaltungs- und Überwachungslösung für Schlüssel, sodass Sie Ihre Daten in allen AWS-Services und Ihren eigenen Anwendungen verschlüsseln können.

Wenn Sie Entwickler sind und Daten in Ihren Anwendungen verschlüsseln müssen, sollten Sie AWS SDKs mit AWS KMS-Unterstützung durchführen, damit die Verschlüsselungsschlüssel einfach verwendet und geschützt werden können. Wenn Sie IT-Administrator sind und nach einer skalierbaren Schlüsselverwaltungs-Infrastruktur suchen, die Ihre Entwickler und die wachsende Anzahl von deren Anwendungen unterstützt, sollten Sie AWS KMS verwenden, um Ihre Lizenzgebühren und den betrieblichen Aufwand zu reduzieren. Wenn Sie für die Erprobung der Datensicherheit zur Erfüllung gesetzlicher Anforderungen oder zu Compliance-Zwecken zuständig sind, sollten Sie AWS KMS verwenden, um zu überprüfen, ob die Daten in allen Anwendungen konsistent verschlüsselt werden und wo sie verwendet und gespeichert werden.

Für einen einfachen Einstieg in die Nutzung von AWS KMS aktivieren Sie am besten das Kontrollkästchen für die Verschlüsselung Ihrer Daten in unterstützten AWS-Services und verwenden Sie die Standardschlüssel, die in Ihrem Konto für jeden Service erstellt werden. Wenn Sie weitergehende Kontrolle über die Verwaltung dieser Schlüssel haben möchten, können Sie Schlüssel in AWS KMS erstellen und deren Verwendung beim Erstellen verschlüsselter Ressourcen in den unterstützten AWS-Services festlegen. Sie können Sie auch direkt in Ihren eigenen Anwendungen verwenden. Auf AWS KMS kann aus dem Abschnitt "Encryption Keys" der AWS Identity and Access Management(IAM)-Konsole und der AWS KMS-Befehlszeilenschnittstelle zugegriffen werden. Der programmgesteuerte Zugriff erfolgt vom AWS Software Development Kit aus. Weitere Informationen finden Sie auf der Seite Erste Schritte.

Die Verfügbarkeit ist auf unserer globalen Seite Produkte und Services nach Region aufgelistet.

Sie können in AWS KMS die folgenden Schlüsselverwaltungsfunktionen ausführen:

  • Schlüssel mit eindeutigem Alias und Beschreibung
  • Ihre eigenen Schlüssel importieren
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel verwalten dürfen
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel zur Ver- und Entschlüsselung von Daten verwenden dürfen
  • Festlegen, dass AWS KMS Ihre Schlüssel jährlich einmal rotiert
  • Schlüssel vorübergehend deaktivieren, sodass niemand sie verwenden kann
  • Reaktivieren deaktivierter Schlüssel
  • Löschen von Schlüsseln, die Sie nicht mehr verwenden
  • Verwendung von Schlüsseln durch Prüfen der Protokolle in AWS CloudTrail überwachen

Mit AWS KMS können Sie Ihre Schlüssel zentral verwalten und sicher speichern. Sie können Schlüssel in KMS generieren oder aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importieren. Diese Schlüssel können in Ihren Anwendungen und unterstützten AWS-Services zum Schutz Ihrer Daten verwendet werden, der Schlüssel verlässt jedoch nie AWS KMS. Sie übermitteln Daten an AWS KMS, um sie unter Schlüsseln, die Sie kontrollieren, verschlüsseln oder entschlüsseln zu lassen. Sie legen Nutzungsrichtlinien für diese Schlüssel fest, die bestimmen, welche Benutzer diese zum Ver- und Entschlüsseln verwenden können. Alle Anforderungen zur Verwendung dieser Schlüssel werden in AWS CloudTrail protokolliert, sodass Sie immer herausfinden können, wer welchen Schlüssel wann verwendet hat.

Sie können AWS KMS zur Unterstützung der lokalen Datenverschlüsselung in Ihren eigenen Anwendungen verwenden, oder die Verschlüsselung in einem unterstützten AWS-Service durchführen lassen. Sie können ein AWS SDK mit AWS KMS-Unterstützung zur Verschlüsselung Ihrer Daten nutzen, wo auch immer Ihre Anwendungen laufen. Sie können die Verschlüsselung Ihrer Daten auch bei der Speicherung von einem unterstützten AWS-Service durchführen lassen. AWS CloudTrail bietet Zugriffsprotokolle, anhand derer Sie überwachen können, wie Ihre Schlüssel in beiden Situationen verwendet wurden.

AWS Key Management Service ist nahtlos integriert in mehrere andere AWS-Services, um das Verschlüsseln von Daten in diesen Services auf die Aktivierung eines Kontrollkästchens und die Auswahl des Master-Schlüssels zu vereinfachen, den Sie verwenden möchten. Auf der Seite Produktdetails finden Sie eine Liste der AWS-Services, die derzeit in KMS integriert sind. Jegliche Verwendung von Schlüsseln innerhalb der integrierten Services erscheint in den Protokollen von AWS CloudTrail. Weitere Informationen darüber, wie integrierte Services AWS KMS verwenden, finden Sie im AWS KMS Developer’s Guide.

Die in AWS KMS integrierten AWS-Cloud-Services verwenden zum Schutz Ihrer Daten eine Methode namens Umschlagsverschlüsselung. Umschlagsverschlüsselung ist ein optimiertes Verfahren zur Datenverschlüsselung, das zwei unterschiedliche Schlüssel verwendet. Es wird ein Datenschlüssel generiert, den der AWS-Service zur Verschlüsselung aller Daten und Ressourcen verwendet. Der Datenschlüssel ist unter einem Masterschlüssel verschlüsselt, den Sie in AWS KMS definieren. Der verschlüsselte Datenschlüssel wird dann durch den AWS-Service gespeichert. Wenn Sie eine Entschlüsselung Ihrer Daten durch den AWS-Service benötigen, wird der verschlüsselte Datenschlüssel an AWS KMS weitergeleitet und unter dem Masterschlüssel entschlüsselt, unter dem er ursprünglich verschlüsselt wurde. Danach kann der Service Ihre Daten entschlüsseln.

AWS KMS unterstützt zwar die Verschlüsselung gesendeter Daten unter 4 KB, Umschlagsverschlüsselung bietet jedoch deutliche Leistungsvorteile. Daten, die Sie direkt mit KMS verschlüsseln, müssen im Netzwerk übertragen werden. Umschlagsverschlüsselung reduziert die Netzwerklasten für Ihre Anwendung oder den AWS-Cloud-Service. Nur die Anforderung des Datenschlüssels und deren Erledigung durch KMS müssen über das Netzwerk laufen. Da der Datenschlüssel immer in verschlüsselter Form gespeichert wird, kann er problemlos und sicher bei Bedarf verteilt werden, ohne dass Sie sich wegen Risiken Sorgen machen müssen. Es werden verschlüsselte Datenschlüssel an AWS KMS gesendet und unter Masterschlüsseln entschlüsselt. So können Sie schließlich Ihre Daten entschlüsseln. Der Datenschlüssel ist direkt in Ihrer Anwendung verfügbar. Sie müssen nicht den ganzen Block an AWS KMS senden und keine Netzwerk-Latenz in Kauf nehmen.

Sie können auswählen, welchen Masterschlüssel ein AWS-Service verwenden soll, wenn er Daten für Sie verschlüsselt. Wenn Sie das erste Mal versuchen, eine verschlüsselte Ressource zu erstellen, wird in Ihrem Konto der Einfachheit halber für jeden Service ein Standard-Masterschlüssel erstellt. Dieser Schlüssel wird durch AWS KMS verwaltet, Sie können seine Verwendung jedoch immer in AWS CloudTrail überwachen. Alternativ können Sie in AWS KMS einen benutzerdefinierten Masterschlüssel erstellen, den Sie dann in Ihren eigenen Anwendungen oder aus einem unterstützten AWS-Service verwenden können. AWS wird die Richtlinien für Standard-Masterschlüssel bei Bedarf aktualisieren, um neue Funktionen in unterstützten Services automatisch zu aktivieren. AWS verändert die Richtlinien für von Ihnen erstellte Schlüsseln nicht.

Durch das Erstellen eines Schlüssels in AWS KMS haben Sie bessere Kontrolle, als mit Masterschlüsseln des standardmäßigen Services. Wenn Sie einen benutzerdefinierten Masterschlüssel erstellen, können Sie wählen, ob Sie Schlüsselmaterial verwenden, das durch KMS für Sie generiert wurde, oder ob Sie Ihr eigenes Schlüsselmaterial importieren. Sie können einen Alias definieren sowie eine Beschreibung und Sie können festlegen, dass der Schlüssel einmal pro Jahr automatisch rotiert wird, wenn er auf Schlüsselmaterial beruht, dass durch KMS generiert wurde. Sie können auch Berechtigungen für den Schlüssel festlegen und so steuern, wer den Schlüssel verwenden und verwalten darf. Verwaltungs- und Nutzungsaktivitäten im Zusammenhang mit dem Schlüssel können in AWS CloudTrail überwacht werden.

Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung nach KMS importieren und mit allen integrierten AWS-Services sowie innerhalb Ihrer eigenen Anwendungen verwenden.

Sie können einen importierten Schlüssel verwenden, um eine größere Kontrolle über das Erstellen, das Lebenszyklusmanagement und die Zuverlässigkeit Ihres Schlüssels in KMS zu erhalten. Importierte Schlüssel sind dazu konzipiert, Sie beim Erfüllen Ihrer Compliance-Anforderungen zu unterstützen. Dazu gehören möglicherweise die Fähigkeit zum Generieren oder Aufbewahren einer sicheren Kopie des Schlüssels in Ihrer Infrastruktur sowie die Fähigkeit zum Löschen der importierten Kopie des Schlüssels aus der AWS-Infrastruktur, wenn Sie ihn nicht mehr benötigen.

Sie können symmetrische 256-Bit-Schlüssel importieren.

Während des Imports muss Ihr Schlüssel in einem von KMS bereitgestellten öffentlichen Schlüssel verpackt sein, wobei eines der beiden RSA PKCS#1 Schemata zu verwenden ist. Damit wird sichergestellt, dass Ihr verschlüsselter Schlüssel nur durch KMS entschlüsselt werden kann.

Es gibt zwei wichtige Unterschiede zwischen einem Schlüssel, den Sie importieren, und einem Schlüssel, der durch KMS für Sie erstellt wird:
  1. Sie müssen eine Kopie Ihrer importierten Schlüssel sicher in Ihrer Infrastruktur für die Schlüsselverwaltung aufbewahren, sodass Sie sie jederzeit neu importieren können. AWS stellt die Verfügbarkeit, Sicherheit und Zuverlässigkeit der Schlüssel sicher, die von KMS für Sie erstellt wurden, bis Sie die Schlüssel zum Löschen freigeben.
  2. Sie können eine Ablaufzeit für einen importierten Schlüssel festlegen, sodass er nach Ablauf automatisch von KMS gelöscht wird. Außerdem können Sie einen importierten Schlüssel auf Anforderung löschen, ohne den zugrunde liegenden Masterschlüssel zu löschen. Sie können einen benutzerdefinierten Masterschlüssel mit einem importierten Schlüssel jederzeit manuell deaktivieren oder löschen. Ein von KMS generierter Schlüssel kann nur für eine Löschung geplant werden. Eine Ablaufzeit kann für ihn nicht festgelegt werden.

Ja. Sie können wählen, dass KMS Schlüssel, die von KMS für Sie erstellt wurden, jedes Jahr rotiert. Automatisches Rotieren wird für importierte Schlüssel nicht unterstützt. Wenn Sie Schlüssel nach KMS importieren, können Sie diese nach Belieben jederzeit rotieren.

Wenn Sie wählen, dass KMS Schlüssel, die von KMS für Sie erstellt worden, automatisch rotieren, brauchen Sie Ihre Daten nicht erneut zu verschlüsseln. AWS KMS bewahrt frühere Schlüsselversionen auf, sodass auch unter einer älteren Schlüsselversion verschlüsselte Daten entschlüsselt werden können. Alle neuen Anforderungen zur Verschlüsselung mit einem Schlüssel in AWS KMS werden unter der neuesten Version des Schlüssels verschlüsselt.

Wenn Sie Ihre Schlüssel manuell rotieren, müssen Sie abhängig von der Konfiguration Ihrer Anwendung Ihre Daten möglicherweise erneut verschlüsseln.  

Ja. Sie können einen Zeitplan zur Löschung für einen Kunden-Master-Schlüssel, den Sie in KMS erstellt haben, und verknüpfte Metadaten festlegen, und zwar mit einer konfigurierbaren Wartezeit von 7 bis 30 Tagen. Während dieser Wartezeit können Sie die Auswirkungen der Löschung eines Schlüssels auf Ihre Anwendungen und Benutzer prüfen, die ihn unbedingt brauchen. Die standardmäßige Wartezeit beträgt 30 Tage. Sie können die Löschung während der Wartezeit stornieren. Wenn ein Schlüssel zur Löschung vorgesehen ist, kann er erst wieder verwendet werden, wenn die Löschung während der Wartezeit storniert wird. Der Schlüssel wird am Ende der konfigurierbaren Wartezeit gelöscht, wenn Sie die Löschung nicht stornieren. Nachdem der Schlüssel gelöscht wurde, können Sie ihn nicht mehr verwenden. Unter einem gelöschten Master-Schlüssel geschützte Daten sind nicht mehr zugänglich.

Bei benutzerdefinierten Masterschlüsseln mit importiertem Schlüsselmaterial können Sie das Schlüsselmaterial löschen, ohne dass die ID oder die Metadaten des benutzerdefinierten Masterschlüssels gelöscht werden. Dazu gibt es zwei Methoden. Erstens können Sie Ihr importiertes Schlüsselmaterial nach Belieben ohne eine Wartezeit löschen. Zweitens können Sie zur Zeit des Imports des Schlüsselmaterials in den benutzerdefinierten Masterschlüssel eine Ablaufzeit definieren, mit der festgelegt wird, wie lange AWS Ihr importiertes Schlüsselmaterial verwenden kann, bevor es gelöscht wird. Sie können Ihr Schlüsselmaterial in den benutzerdefinierten Masterschlüssel re-importieren, wenn Sie es erneut verwenden müssen.

Sie können Ihre Kopie des Schlüsselmaterials, das noch nicht abgelaufen ist, unter dem originalen, benutzerdefinierten Masterschlüssel nach KMS re-importieren, sodass es verwendet werden kann.

Ja. Wenn Sie Ihren Schlüssel in einen benutzerdefinierten Masterschlüssel importiert haben, erhalten Sie alle paar Minuten eine Metrik von Amazon CloudWatch, die die Zeit bis zum Ablauf des importierten Schlüssels herunterzählt. Außerdem erhalten Sie ein Amazon CloudWatch-Ereignis, wenn der importierte Schlüssel unter Ihrem benutzerdefinierten Masterschlüssel abläuft. Sie können eine Logik erstellen, die aufgrund dieser Metriken oder Ereignisse aktiv wird und den Schlüssel automatisch mit einer neuen Ablaufzeit re-importiert, um Risiken im Hinblick auf die Verfügbarkeit zu vermeiden. 

Ja. AWS KMS wird in AWS SDKs, im AWS Encryption SDK und im Amazon S3 Encryption Client unterstützt. Das erleichtert die Verschlüsselung von Daten in Ihren eigenen Anwendungen, unabhängig davon, wo diese ausgeführt werden. AWS SDK wird derzeit in Java-, Ruby- und .NET-Plattformen unterstützt, und PHP-Plattformen unterstützen AWS KMS-APIs. Weitere Informationen finden Sie auf der Website Developing on AWS.

Sie können bis zu 1000 benutzerdefinierte Masterschlüssel pro Konto und Region erstellen. Da sowohl aktivierte als auch deaktivierte Kunden-Master-Schlüssel hinsichtlich des Limits berücksichtigt werden, empfehlen wir, deaktivierte Schlüssel zu löschen, die Sie nicht mehr verwenden. Für Sie zur Verwendung in unterstützten AWS-Services erstellte Standard-Masterschlüssel zählen bei dieser Beschränkung nicht mit. Die Anzahl der Datenschlüssel, die von einem Masterschlüssel abgeleitet und in Ihrer Anwendung oder für Sie von AWS-Services zur Verschlüsselung von Daten verwendet werden, ist nicht beschränkt. Im AWS Support-Center können Sie eine Anhebung des Limits für benutzerdefinierte Masterschlüssel beantragen.

Bei AWS KMS zahlen Sie nur für das, was Sie auch tatsächlich nutzen. Es fallen keine Mindestgebühren an. Sie können mit der Verwendung dieses Service beginnen, ohne dass Ihnen Einrichtungsgebühren oder sonstige Verpflichtungen entstehen. Nach Ende eines Monats wird Ihre Kreditkarte automatisch mit den Nutzungsgebühren für den betreffenden Monat belastet.

Sie werden für alle von Ihnen erstellten benutzerdefinierten Masterschlüssel sowie für Ihre API-Aufrufe an den Service monatlich belastet, wenn ein kostenloses Kontingent überschritten wurde.

Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

Ja. Mit dem kostenlosen Nutzungskontingent von AWS können Sie AWS KMS in allen Regionen kostenlos verwenden. Für Sie erstellte Standard-Masterschlüssel können in Ihrem Konto gespeichert werden. Es gibt auch ein kostenloses Kontingent für die Nutzung, das für jeden Monat eine bestimmte Anzahl kostenloser Anforderungen an AWS KMS bietet. Informationen zur Preisgestaltung einschließlich des kostenlosen Kontingents finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen finden Sie hier.

AWS KMS erzwingt die Verwendung der von Ihnen definierten Management-Richtlinien. Sie wählen aus, welche AWS Identity and Access Management(IAM)-Benutzer und -Rollen in Ihrem Konto oder anderen Konten Ihre Schlüssel verwenden und verwalten dürfen.

AWS KMS ist so konzipiert, dass niemand auf Ihre Masterschlüssel Zugriff hat. Der Service baut auf Systemen auf, die für den Schutz Ihrer Masterschlüssel konzipiert wurden. Dabei werden umfassende Härtungsmethoden eingesetzt: Es werden niemals Klartext-Masterschlüssel auf einem Datenträger gespeichert, sie werden nicht dauerhaft im Arbeitsspeicher gespeichert, es gibt Beschränkungen, welche Systeme zum Gerät eine Verbindung herstellen können usw. Jeder Zugriff zum Aktualisieren von Software im Service wird über einen Genehmigungsprozess mit mehreren Ebenen kontrolliert, der durch eine unabhängige Gruppe in Amazon überwacht und geprüft wird.

Weitere Informationen über diese Sicherheitskontrollen finden Sie im Whitepaper AWS KMS Cryptographic Details (Einzelheiten zur Verschlüsselung in AWS KMS). Außerdem können Sie eine Kopie des auf AWS Compliance verfügbaren Berichts "Service Organization Controls" (SOC) anfordern, um weitere Informationen zu den Sicherheitskontrollen zu erhalten, die AWS zum Schutz Ihrer Daten und Masterschlüssel einsetzt.

 

Ja. KMS verfügt nachweislich über die Funktionalität und Sicherheitskontrollen, die die Einhaltung der Anforderungen an Verschlüsselung und Schlüsselverwaltung ermöglichen (hauptsächlich festgelegt in den Abschnitten 3.5 und 3.6 des PCI DSS 3.1).

Weitere Informationen über PCI DSS-konforme Services in AWS finden Sie unter PCI DSS – Häufig gestellte Fragen.

Sie können die Generierung von Datenschlüsseln durch AWS KMS anfordern, die zur Verwendung in Ihrer eigenen Anwendung ausgegeben werden. Die Datenschlüssel sind unter einem Masterschlüssel verschlüsselt, den Sie in AWS KMS definieren, sodass Sie den verschlüsselten Datenschlüssel gefahrlos mit Ihren verschlüsselten Daten speichern können. Ihre verschlüsselten Datenschlüssel (und folglich Ihre Quelldaten) können nur durch Benutzer entschlüsselt werden, die zur Verwendung des Masterschlüssels, der ursprünglich zur Verschlüsselung des jeweiligen Datenschlüssels verwendet wurde, berechtigt sind.

Masterschlüssel in AWS KMS haben eine Länge von 256 Bit. Datenschlüssel können mit einer Länge von 128 oder 256 Bit generiert und unter dem Masterschlüssel verschlüsselt werden, den Sie festlegen. Mit AWS KMS können Sie auch Zufallsdaten beliebiger Länge generieren, die Sie passend zu Verschlüsselungszwecken festlegen.

Nein. Masterschlüssel werden ausschließlich in AWS KMS erstellt und verwendet, um ihre Sicherheit zu gewährleisten, Ihre Richtlinien konsistent durchsetzbar zu machen und ein zentrales Protokoll ihrer Nutzung bereitzustellen.

Schlüssel werden nur in der Region gespeichert und verwendet, in der sie erstellt wurden. Sie können nicht in eine andere Region übertragen werden. Schlüssel beispielsweise, die in der Region EU-Zentral (Frankfurt) erstellt wurden, werden nur in der Region EU-Zentral (Frankfurt) gespeichert und verwendet.

Protokolle in AWS CloudTrail zeigen Anforderungen für Ihre Masterschlüssel, einschließlich Verwaltungsanfragen (z. B. Erstellen, Rotieren, Deaktivieren, Bearbeitung von Richtlinien) und Verschlüsselungsanforderungen (z. B. Verschlüsselung/Entschlüsselung). Aktivieren Sie AWS CloudTrail in Ihrem Konto, um diese Protokolle anzuzeigen.

AWS CloudHSM stellt Ihnen ein mit FIPS 140-3 Level 2-validiertes, dediziertes HSM mit einem einzelnen Mandanten in Ihrer Amazon Virtual Private Cloud (VPC) bereit, um Ihre Schlüssel zu speichern und zu verwenden. Sie haben uneingeschränkte Kontrolle über Ihre Schlüssel und die Anwendungs-Software, die diese mit AWS CloudHSM verwendet. Darüber hinaus können Sie AWS CloudHSM zur Unterstützung zahlreicher Anwendungsfälle und Anwendungen verwenden, wie z. B. Digital Rights Management (DRM), Public Key Infrastructure (PKI), asymmetrische kryptografische Funktionen, Dokumentensignatur und hochleistungsfähige, VPC-interne kryptografische Beschleunigung.

Mit AWS KMS können Sie die Verschlüsselungsschlüssel, die Ihre Anwendungen und unterstützte AWS-Services in mehreren Regionen auf der ganzen Welt verwenden, von einer einzigen Konsole aus kontrollieren. Durch die zentrale Verwaltung aller Ihrer Schlüssel in AWS KMS können Sie besser kontrollieren, wer Ihre Schlüssel verwenden darf, wann sie rotiert werden und wer sie verwaltet. Aufgrund der Integration von AWS KMS in AWS CloudTrail können Sie zur Unterstützung Ihrer gesetzlichen und Compliance-Maßnahmen die Verwendung Ihrer Schlüssel überwachen.