Allgemeines

Was ist AWS Key Management Service (KMS)?
AWS KMS ist ein verwalteter Verschlüsselungsservice, mit dem Sie Ihre Daten einfach verschlüsseln können. AWS KMS bietet eine hochverfügbare Speicherungs-, Verwaltungs- und Überwachungslösung für Schlüssel, sodass Sie Ihre Daten in allen AWS-Services und Ihren eigenen Anwendungen verschlüsseln können.

Weshalb sollte ich AWS KMS verwenden?
Wenn Sie Entwickler sind und Daten in Ihren Anwendungen verschlüsseln müssen, sollten Sie AWS SDKs mit AWS KMS-Unterstützung durchführen, damit die Verschlüsselungsschlüssel einfach verwendet und geschützt werden können. Wenn Sie IT-Administrator sind und nach einer skalierbaren Schlüsselverwaltungs-Infrastruktur suchen, die Ihre Entwickler und die wachsende Anzahl von deren Anwendungen unterstützt, sollten Sie AWS KMS verwenden, um Ihre Lizenzgebühren und den betrieblichen Aufwand zu reduzieren. Wenn Sie für die Erprobung der Datensicherheit zur Erfüllung gesetzlicher Anforderungen oder zu Compliance-Zwecken zuständig sind, sollten Sie AWS KMS verwenden, um zu überprüfen, ob die Daten in allen Anwendungen konsistent verschlüsselt werden und wo sie verwendet und gespeichert werden.

F: Welche ersten Schritte sind für die Benutzung von AWS KMS notwendig?
Für einen einfachen Einstieg in die Nutzung von AWS KMS aktivieren Sie am besten das Kontrollkästchen für die Verschlüsselung Ihrer Daten in unterstützten AWS-Services und verwenden Sie die Standardschlüssel, die in Ihrem Konto für jeden Service erstellt werden. Wenn Sie weitergehende Kontrolle über die Verwaltung dieser Schlüssel haben möchten, können Sie Schlüssel in AWS KMS erstellen und deren Verwendung beim Erstellen verschlüsselter Ressourcen in den unterstützten AWS-Services festlegen. Sie können Sie auch direkt in Ihren eigenen Anwendungen verwenden. Auf AWS KMS kann aus dem Abschnitt "Encryption Keys" der AWS Identity and Access Management(IAM)-Konsole und der AWS KMS-Befehlszeilenschnittstelle zugegriffen werden. Der programmgesteuerte Zugriff erfolgt vom AWS Software Development Kit aus. Weitere Informationen finden Sie auf der Seite Erste Schritte.

F: In welchen Regionen ist KMS verfügbar?
Die Verfügbarkeit ist auf unserer globalen Seite Produkte und Services nach Region aufgelistet.

F: Welche Schlüsselverwaltungsfunktionen sind in AWS KMS verfügbar?
Sie können in AWS KMS die folgenden Schlüsselverwaltungsfunktionen ausführen:

  • Schlüssel mit eindeutigem Alias und Beschreibung
  • Ihre eigenen Schlüssel importieren
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel verwalten dürfen
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel zur Ver- und Entschlüsselung von Daten verwenden dürfen
  • Festlegen, dass AWS KMS Ihre Schlüssel jährlich einmal rotiert
  • Schlüssel vorübergehend deaktivieren, sodass niemand sie verwenden kann
  • Reaktivieren deaktivierter Schlüssel
  • Löschen von Schlüsseln, die Sie nicht mehr verwenden
  • Verwendung von Schlüsseln durch Prüfen der Protokolle in AWS CloudTrail überwachen

F: Wie funktioniert AWS KMS?
Mit AWS KMS können Sie Ihre Schlüssel zentral verwalten und sicher speichern. Sie können Schlüssel in AWS KMS generieren oder aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importieren. Diese Schlüssel können in Ihren Anwendungen und unterstützten AWS-Services zum Schutz Ihrer Daten verwendet werden, der Schlüssel verlässt jedoch nie AWS KMS. Sie übermitteln Daten an AWS KMS, um sie unter Schlüsseln, die Sie kontrollieren, verschlüsseln oder entschlüsseln zu lassen. Sie legen Nutzungsrichtlinien für diese Schlüssel fest, die bestimmen, welche Benutzer diese zum Ver- und Entschlüsseln verwenden können. Alle Anforderungen zur Verwendung dieser Schlüssel werden in AWS CloudTrail protokolliert, sodass Sie immer herausfinden können, wer welchen Schlüssel wann verwendet hat.

F: Wo werden meine Daten verschlüsselt, wenn ich AWS KMS nutze?
Sie können AWS KMS zur Unterstützung der lokalen Datenverschlüsselung in Ihren eigenen Anwendungen verwenden, oder die Verschlüsselung in einem unterstützten AWS-Service durchführen lassen. Sie können ein AWS SDK mit AWS KMS-Unterstützung zur Verschlüsselung Ihrer Daten nutzen, wo auch immer Ihre Anwendungen laufen. Sie können die Verschlüsselung Ihrer Daten auch bei der Speicherung von einem unterstützten AWS-Service durchführen lassen. AWS CloudTrail bietet Zugriffsprotokolle, anhand derer Sie überwachen können, wie Ihre Schlüssel in beiden Situationen verwendet wurden.

Welche AWS-Cloud-Services sind in AWS KMS integriert?
AWS KMS ist nahtlos integriert in mehrere andere AWS-Services, um das Verschlüsseln von Daten in diesen Services auf die Aktivierung eines Kontrollkästchens und die Auswahl des Masterschlüssels zu vereinfachen, den Sie verwenden möchten. Auf der Seite Produktdetails finden Sie eine Liste der AWS-Services, die derzeit in AWS KMS integriert sind. Jegliche Verwendung von Schlüsseln innerhalb der integrierten Services erscheint in den Protokollen von AWS CloudTrail. Weitere Informationen darüber, wie integrierte Services AWS KMS verwenden, finden Sie im AWS KMS Developer’s Guide.

F: Wie setzt AWS-Cloud-Services meine Schlüssel zur Verschlüsselung von Daten ein?
Die in AWS KMS integrierten AWS-Cloud-Services verwenden zum Schutz Ihrer Daten eine Methode namens Umschlagsverschlüsselung. Umschlagsverschlüsselung ist ein optimiertes Verfahren zur Datenverschlüsselung, das zwei unterschiedliche Schlüssel verwendet. Es wird ein Datenschlüssel generiert, den der AWS-Service zur Verschlüsselung aller Daten und Ressourcen verwendet. Der Datenschlüssel ist unter einem Masterschlüssel verschlüsselt, den Sie in AWS KMS definieren. Der verschlüsselte Datenschlüssel wird dann durch den AWS-Service gespeichert. Wenn Sie eine Entschlüsselung Ihrer Daten durch den AWS-Service benötigen, wird der verschlüsselte Datenschlüssel an AWS KMS weitergeleitet und unter dem Masterschlüssel entschlüsselt, unter dem er ursprünglich verschlüsselt wurde. Danach kann der Service Ihre Daten entschlüsseln.

F: Warum Umschlagsverschlüsselung verwenden? Warum sollten die Daten nicht einfach zur direkten Verschlüsselung an AWS KMS gesendet werden?
AWS KMS unterstützt zwar die Verschlüsselung gesendeter Daten unter 4 KB, Umschlagsverschlüsselung bietet jedoch deutliche Leistungsvorteile. Daten, die Sie direkt mit AWS KMS verschlüsseln, müssen im Netzwerk übertragen werden. Umschlagsverschlüsselung reduziert die Netzwerklasten für Ihre Anwendung oder den AWS Cloud-Service. Nur die Anforderung des Datenschlüssels und deren Erledigung durch AWS KMS müssen über das Netzwerk laufen. Da der Datenschlüssel immer in verschlüsselter Form gespeichert wird, kann er problemlos und sicher bei Bedarf verteilt werden, ohne dass Sie sich wegen Risiken Sorgen machen müssen. Es werden verschlüsselte Datenschlüssel an AWS KMS gesendet und unter Masterschlüsseln entschlüsselt. So können Sie schließlich Ihre Daten entschlüsseln. Der Datenschlüssel ist direkt in Ihrer Anwendung verfügbar. Sie müssen nicht den ganzen Block an AWS KMS senden und keine Netzwerk-Latenz in Kauf nehmen.

Welcher Unterschied besteht zwischen von mir erstellten Schlüsseln und Masterschlüsseln, die in AWS-Cloud-Services für mich erstellt werden?
Sie können auswählen, welchen Masterschlüssel ein AWS-Service verwenden soll, wenn er Daten für Sie verschlüsselt. Wenn Sie das erste Mal versuchen, eine verschlüsselte Ressource zu erstellen, wird in Ihrem Konto der Einfachheit halber für jeden Service ein Standard-Masterschlüssel erstellt. Dieser Schlüssel wird durch AWS KMS verwaltet, Sie können seine Verwendung jedoch immer in AWS CloudTrail überwachen. Alternativ können Sie in AWS KMS einen benutzerdefinierten Masterschlüssel erstellen, den Sie dann in Ihren eigenen Anwendungen oder aus einem unterstützten AWS-Service verwenden können. AWS wird die Richtlinien für Standard-Masterschlüssel bei Bedarf aktualisieren, um neue Funktionen in unterstützten Services automatisch zu aktivieren. AWS verändert die Richtlinien für von Ihnen erstellte Schlüsseln nicht.

Warum sollte ich einen benutzerdefinierten Masterschlüssel erstellen?
Durch das Erstellen eines Schlüssels in AWS KMS haben Sie bessere Kontrolle, als mit Masterschlüsseln des standardmäßigen Services. Wenn Sie einen benutzerdefinierten Masterschlüssel erstellen, können Sie wählen, ob Sie Schlüsselmaterial verwenden, das durch AWS KMS für Sie generiert wurde, oder ob Sie Ihr eigenes Schlüsselmaterial importieren. Sie können einen Alias definieren sowie eine Beschreibung und Sie können festlegen, dass der Schlüssel einmal pro Jahr automatisch rotiert wird, wenn er auf Schlüsselmaterial beruht, dass durch AWS KMS generiert wurde. Sie können auch Berechtigungen für den Schlüssel festlegen und so steuern, wer den Schlüssel verwenden und verwalten darf. Verwaltungs- und Nutzungsaktivitäten im Zusammenhang mit dem Schlüssel können in AWS CloudTrail überwacht werden.

F: Kann ich Schlüssel nach AWS KMS importieren?
Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung nach AWS KMS importieren und mit allen integrierten AWS-Services sowie innerhalb Ihrer eigenen Anwendungen verwenden.

F: Wann sollte ich einen importierten Schlüssel verwenden?
Sie können einen importierten Schlüssel verwenden, um eine größere Kontrolle über das Erstellen, das Lebenszyklusmanagement und die Zuverlässigkeit Ihres Schlüssels in AWS KMS zu erhalten. Importierte Schlüssel sind dazu konzipiert, Sie beim Erfüllen Ihrer Compliance-Anforderungen zu unterstützen. Dazu gehören möglicherweise die Fähigkeit zum Generieren oder Aufbewahren einer sicheren Kopie des Schlüssels in Ihrer Infrastruktur sowie die Fähigkeit zum Löschen der importierten Kopie des Schlüssels aus der AWS-Infrastruktur, wenn Sie ihn nicht mehr benötigen.

F: Welche Arten von Schlüsseln kann ich importieren?
Sie können symmetrische 256-Bit-Schlüssel importieren.

F: Wie wird der Schlüssel, den ich nach AWS KMS importiere, während der Übertragung geschützt?
Während des Imports muss Ihr Schlüssel in einem von AWS KMS bereitgestellten öffentlichen Schlüssel verpackt sein, wobei eines der beiden RSA PKCS#1 Schemata zu verwenden ist. Damit wird sichergestellt, dass Ihr verschlüsselter Schlüssel nur durch AWS KMS entschlüsselt werden kann.

F:Was ist der Unterschied zwischen einem Schlüssel, den ich importiere, und einem Schlüssel, der durch AWS KMS für mich generiert wird?
Es gibt zwei wichtige Unterschiede zwischen einem Schlüssel, den Sie importieren, und einem Schlüssel, der durch AWS KMS für Sie erstellt wird:

  1. Sie müssen eine Kopie Ihrer importierten Schlüssel sicher in Ihrer Infrastruktur für die Schlüsselverwaltung aufbewahren, sodass Sie sie jederzeit neu importieren können. AWS stellt die Verfügbarkeit, Sicherheit und Zuverlässigkeit der Schlüssel sicher, die von AWS KMS für Sie erstellt wurden, bis Sie die Schlüssel zum Löschen freigeben.
  2. Sie können eine Ablaufzeit für einen importierten Schlüssel festlegen, sodass er nach Ablauf automatisch von AWS KMS gelöscht wird. Außerdem können Sie einen importierten Schlüssel auf Anforderung löschen, ohne den zugrunde liegenden Masterschlüssel zu löschen. Sie können einen benutzerdefinierten Masterschlüssel mit einem importierten Schlüssel jederzeit manuell deaktivieren oder löschen. Ein von AWS KMS generierter Schlüssel kann nur deaktiviert oder für eine Löschung geplant werden. Eine Ablaufzeit kann für ihn nicht festgelegt werden.

F: Kann ich meine Schlüssel rotieren?
Ja. Sie können wählen, dass AWS KMS Schlüssel, die von AWS KMS für Sie erstellt wurden, jedes Jahr automatisch rotiert. Automatisches Rotieren wird für importierte Schlüssel nicht unterstützt. Wenn Sie Schlüssel nach AWS KMS importieren, können Sie diese nach Belieben jederzeit manuell rotieren.

F: Muss ich meine Daten erneut verschlüsseln, wenn die Schlüssel in AWS KMS rotiert werden?
Wenn Sie wählen, dass AWS KMS Schlüssel, die von AWS KMS für Sie generiert wurden, automatisch rotieren soll, brauchen Sie Ihre Daten nicht erneut zu verschlüsseln. AWS KMS bewahrt frühere Schlüsselversionen auf, sodass auch unter einer älteren Schlüsselversion verschlüsselte Daten entschlüsselt werden können. Alle neuen Anforderungen zur Verschlüsselung mit einem Schlüssel in AWS KMS werden unter der neuesten Version des Schlüssels verschlüsselt.

Wenn Sie Ihre Schlüssel manuell rotieren, müssen Sie abhängig von der Konfiguration Ihrer Anwendung Ihre Daten möglicherweise erneut verschlüsseln.

F: Kann ich einen Schlüssel aus AWS KMS löschen?
Ja. Sie können einen Zeitplan zur Löschung für einen Kunden-Masterschlüssel, den Sie in AWS KMS erstellt haben, und verknüpfte Metadaten festlegen, und zwar mit einer konfigurierbaren Wartezeit von 7 bis 30 Tagen. Während dieser Wartezeit können Sie die Auswirkungen der Löschung eines Schlüssels auf Ihre Anwendungen und Benutzer prüfen, die ihn unbedingt brauchen. Die standardmäßige Wartezeit beträgt 30 Tage. Sie können die Löschung während der Wartezeit stornieren. Wenn ein Schlüssel zur Löschung vorgesehen ist, kann er erst wieder verwendet werden, wenn die Löschung während der Wartezeit storniert wird. Der Schlüssel wird am Ende der konfigurierbaren Wartezeit gelöscht, wenn Sie die Löschung nicht stornieren. Nachdem der Schlüssel gelöscht wurde, können Sie ihn nicht mehr verwenden. Unter einem gelöschten Master-Schlüssel geschützte Daten sind nicht mehr zugänglich.

Bei benutzerdefinierten Masterschlüsseln mit importiertem Schlüsselmaterial können Sie das Schlüsselmaterial löschen, ohne dass die ID oder die Metadaten des benutzerdefinierten Masterschlüssels gelöscht werden. Dazu gibt es zwei Methoden. Erstens können Sie Ihr importiertes Schlüsselmaterial nach Belieben ohne eine Wartezeit löschen. Zweitens können Sie zur Zeit des Imports des Schlüsselmaterials in den benutzerdefinierten Masterschlüssel eine Ablaufzeit definieren, mit der festgelegt wird, wie lange AWS Ihr importiertes Schlüsselmaterial verwenden kann, bevor es gelöscht wird. Sie können Ihr Schlüsselmaterial in den benutzerdefinierten Masterschlüssel re-importieren, wenn Sie es erneut verwenden müssen.

F: Was sollte ich tun, wenn mein importiertes Schlüsselmaterial abgelaufen ist oder ich es aus Versehen gelöscht habe?
Sie können Ihre Kopie des Schlüsselmaterials, das noch nicht abgelaufen ist, unter dem originalen, benutzerdefinierten Masterschlüssel nach AWS KMS re-importieren, sodass es verwendet werden kann.

F: Kann ich benachrichtigt werden, dass ich den Schlüssel re-importieren muss?
Ja. Wenn Sie Ihren Schlüssel in einen benutzerdefinierten Masterschlüssel importiert haben, erhalten Sie alle paar Minuten eine Metrik von Amazon CloudWatch, die die Zeit bis zum Ablauf des importierten Schlüssels herunterzählt. Außerdem erhalten Sie ein Amazon CloudWatch-Ereignis, wenn der importierte Schlüssel unter Ihrem benutzerdefinierten Masterschlüssel abläuft. Sie können eine Logik erstellen, die aufgrund dieser Metriken oder Ereignisse aktiv wird und den Schlüssel automatisch mit einer neuen Ablaufzeit re-importiert, um Risiken im Hinblick auf die Verfügbarkeit zu vermeiden.

F: Kann ich AWS KMS für die Verwaltung der Datenverschlüsselung außerhalb der AWS-Cloud-Services nutzen?
Ja. AWS KMS wird in AWS SDKs, im AWS Encryption SDK und im Amazon S3 Encryption Client unterstützt. Das erleichtert die Verschlüsselung von Daten in Ihren eigenen Anwendungen, unabhängig davon, wo diese ausgeführt werden. AWS SDK wird derzeit in Java-, Ruby- und .NET-Plattformen unterstützt, und PHP-Plattformen unterstützen AWS KMS-APIs. Weitere Informationen finden Sie auf der Website Developing on AWS.

F: Gibt es eine Begrenzung für die Anzahl der Schlüssel, die ich in AWS KMS erstellen kann?
Sie können bis zu 1000 benutzerdefinierte Masterschlüssel pro Konto und Region erstellen. Da sowohl aktivierte als auch deaktivierte Kunden-Master-Schlüssel hinsichtlich des Limits berücksichtigt werden, empfehlen wir, deaktivierte Schlüssel zu löschen, die Sie nicht mehr verwenden. Für Sie zur Verwendung in unterstützten AWS-Services erstellte Standard-Masterschlüssel zählen bei dieser Beschränkung nicht mit. Die Anzahl der Datenschlüssel, die von einem Masterschlüssel abgeleitet und in Ihrer Anwendung oder für Sie von AWS-Services zur Verschlüsselung von Daten verwendet werden, ist nicht beschränkt. Im AWS Support Center können Sie eine Anhebung des Limits für benutzerdefinierte Masterschlüssel beantragen.

Fakturierung

F: Wie wird mir AWS KMS in Rechnung gestellt?
Bei AWS KMS zahlen Sie nur für das, was Sie auch tatsächlich nutzen. Es fallen keine Mindestgebühren an. Sie können mit der Verwendung dieses Service beginnen, ohne dass Ihnen Einrichtungsgebühren oder sonstige Verpflichtungen entstehen. Nach Ende eines Monats wird Ihre Kreditkarte automatisch mit den Nutzungsgebühren für den betreffenden Monat belastet.

Sie werden für alle von Ihnen erstellten benutzerdefinierten Masterschlüssel sowie für Ihre API-Aufrufe an den Service monatlich belastet, wenn ein kostenloses Kontingent überschritten wurde.

Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

F: Gibt es ein kostenloses Kontingent?
Ja. Mit dem kostenlosen Nutzungskontingent von AWS können Sie AWS KMS in allen Regionen kostenlos verwenden. Für Sie erstellte Standard-Masterschlüssel können in Ihrem Konto gespeichert werden. Es gibt auch ein kostenloses Kontingent für die Nutzung, das für jeden Monat eine bestimmte Anzahl kostenloser Anforderungen an AWS KMS bietet. Informationen zur Preisgestaltung einschließlich des kostenlosen Kontingents finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

F: Sind Steuern bereits in den Preisen enthalten?
Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen finden Sie hier.

Sicherheit

F: Wer kann meine Schlüssel in AWS KMS verwenden und verwalten?
AWS KMS erzwingt die Verwendung der von Ihnen definierten Management-Richtlinien. Sie wählen aus, welche AWS Identity and Access Management(IAM)-Benutzer und -Rollen in Ihrem Konto oder anderen Konten Ihre Schlüssel verwenden und verwalten dürfen.

F: Wie schützt AWS die Masterschlüssel, die ich in AWS KMS erstelle?
AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet FIPS 140-2-validierte Hardwaresicherheitsmodule (HSMs) für den Schutz der Vertraulichkeit und Integrität Ihrer Schlüssel, der unabhängig davon, ob Sie bei AWS KMS die Erstellung der Schlüssel in Ihrem Namen anfordern oder diese in den Service importieren, gewährleistet wird. Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. AWS KMS-Schlüssel werden nie außerhalb der AWS-Regionen übertragen, in denen Sie erstellt wurden. Updates der Software auf den Service-Hosts und der HSM-Firmware von AWS KMS werden durch eine von mehreren Parteien durchgeführte Zugriffskontrolle kontrolliert, die von einer unabhängigen Gruppe in Amazon überwacht und überprüft wird.

Weitere Informationen über diese Sicherheitskontrollen finden Sie im Whitepaper AWS KMS Cryptographic Details. Sie können auch das FIPS 140-2 certificate for AWS KMS HSM und die zugehörigeSicherheitsrichtlinie lesen. Dort finden Sie nähere Einzelheiten dazu, wie die HSM-Funktion von AWS KMS die Sicherheitsanforderungen von FIPS 140-2 erfüllt. Außerdem können Sie eine Kopie des Berichts "Service Organization Controls" (SOC) von AWS Artifact herunterladen, um weitere Informationen zu den Sicherheitskontrollen zu erhalten, die AWS KMS zum Schutz Ihrer Masterschlüssel einsetzt.

F: Wie migriere ich meine vorhandenen AWS KMS-Masterschlüssel für die Verwendung von FIPS 140-2-validierten HSMs?
Sämtliche Masterschlüssel in AWS KMS werden unabhängig von ihrem Erstellungsdatum oder -ort automatisch unter Verwendung von FIPS 140-2-validierten HSMs geschützt. Sie selbst müssen keine Maßnahmen ergreifen, damit die FIPS 140-2-validierten HSMs verwendet werden.

F: Welche AWS-Regionen verfügen über FIPS 140-2-validierte HSMs?
FIPS 140-2-validierte HSMs sind in allen AWS-Regionen verfügbar, in denen AWS KMS angeboten wird.

F: Was ist in der FIPS 140-2-Validierung für HSMs von AWS KMS enthalten?
Sie finden Details zu dieser Validierung im FIPS 140-2 certificate for AWS KMS HSM zusammen mit der zugehörigen Sicherheitsrichtlinie.

F: Worin besteht der Unterschied zwischen den FIPS 140-2-validierten Endpunkten und den FIPS 140-2-validierten HSMs in AWS KMS?
AWS KMS ist ein zweistufiger Service. Die API-Endpunkte erhalten Clientanforderungen über eine HTTPS-Verbindung. Dabei werden ausschließlich TLS-Ciphersuites verwendet, die Perfect Forward Secrecy unterstützen. Diese API-Endpunkte authentifizieren und autorisieren die Anforderung, bevor diese für eine kryptografische Operation an die HSMs von AWS KMS übergeben wird.

F: Wie kann ich unter Verwendung der FIPS 140-2-validierten Endpunkte API-Anforderungen an AWS KMS stellen?
Sie konfigurieren Ihre Anwendungen für die Herstellung einer Verbindung zu den eindeutigen regionalen FIPS 140-2 validated HTTPSEndpunkten. Die FIPS 140-2-validierten HTTPS-Endpunkte in AWS KMS basieren auf dem OpenSSL FIPS Object Module. Sie können die Sicherheitsrichtlinie des OpenSSL-Moduls unter https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf prüfen. FIPS 140-2-validierte API-Endpunkte sind in allen Handelsregionen verfügbar, in denen AWS KMS erhältlich ist.

F: Kann ich mit AWS KMS die Anforderungen an Verschlüsselung und Schlüsselverwaltung des Payment Card Industry Data Security Standard (PCI DSS 3.1) einhalten?
Ja. AWS KMS verfügt nachweislich über die Funktionalität und Sicherheitskontrollen, die die Einhaltung der Anforderungen an Verschlüsselung und Schlüsselverwaltung ermöglichen (hauptsächlich festgelegt in den Abschnitten 3.5 und 3.6 des PCI DSS 3.1).

Weitere Informationen über PCI DSS-konforme Services in AWS finden Sie unter PCI DSS FAQs.

F: Wie schützt AWS KMS die Datenschlüssel, die ich exportiere und in meiner Anwendung einsetze?
Sie können die Generierung von Datenschlüsseln durch AWS KMS anfordern, die zur Verwendung in Ihrer eigenen Anwendung ausgegeben werden. Die Datenschlüssel sind unter einem Masterschlüssel verschlüsselt, den Sie in AWS KMS definieren, sodass Sie den verschlüsselten Datenschlüssel gefahrlos mit Ihren verschlüsselten Daten speichern können. Ihre verschlüsselten Datenschlüssel (und folglich Ihre Quelldaten) können nur durch Benutzer entschlüsselt werden, die zur Verwendung des Masterschlüssels, der ursprünglich zur Verschlüsselung des jeweiligen Datenschlüssels verwendet wurde, berechtigt sind.

F: Wie lang sind die durch AWS KMS generierten Schlüssel?
Masterschlüssel in AWS KMS haben eine Länge von 256 Bit. Datenschlüssel können mit einer Länge von 128 oder 256 Bit generiert und unter dem Masterschlüssel verschlüsselt werden, den Sie festlegen. Mit AWS KMS können Sie auch Zufallsdaten beliebiger Länge generieren, die Sie passend zu Verschlüsselungszwecken festlegen.

F: Kann ich einen Masterschlüssel aus AWS KMS exportieren und in meinen eigenen Anwendungen verwenden?
Nein. Masterschlüssel werden ausschließlich in AWS KMS erstellt und verwendet, um ihre Sicherheit zu gewährleisten, Ihre Richtlinien konsistent durchsetzbar zu machen und ein zentrales Protokoll ihrer Nutzung bereitzustellen.

F: In welcher geografischen Region werden meine Schlüssel gespeichert?
Schlüssel werden nur in der Region gespeichert und verwendet, in der sie erstellt wurden. Sie können nicht in eine andere Region übertragen werden. Schlüssel beispielsweise, die in der Region EU-Zentral (Frankfurt) erstellt wurden, werden nur in der Region EU-Zentral (Frankfurt) gespeichert und verwendet.

F: Wie kann ich feststellen, wer die Konfiguration meiner Schlüssel in AWS KMS verwendet oder geändert hat?
Protokolle in AWS CloudTrail zeigen Anforderungen für Ihre Masterschlüssel, einschließlich Verwaltungsanfragen (z. B. Erstellen, Rotieren, Deaktivieren, Bearbeitung von Richtlinien) und Verschlüsselungsanforderungen (z. B. Verschlüsselung/Entschlüsselung). Aktivieren Sie AWS CloudTrail in Ihrem Konto, um diese Protokolle anzuzeigen.

F: Wie unterscheidet sich AWS KMS von AWS CloudHSM?
AWS CloudHSM stellt Ihnen einen mit FIPS 140-2 Level 3 validierten HSM-Cluster mit einem einzelnen Mandanten in Ihrer Amazon Virtual Private Cloud (VPC) bereit, um Ihre Schlüssel zu speichern und zu verwenden. Sie besitzen über einen von AWS unabhängigen Authentifizierungsmechanismus die alleinige Kontrolle darüber, wie Ihre Schlüssel verwendet werden. Sie interagieren mit Schlüsseln in Ihrem AWS CloudHSM-Cluster ähnlich wie mit Ihren Anwendungen, die in Amazon EC2 ausgeführt werden. Sie können AWS CloudHSM zur Unterstützung diverser Anwendungsfälle einsetzen, darunter Digital Rights Management (DRM), Public Key Infrastructure (PKI), Dokumentensignierung und kryptografische Funktionen unter Verwendung von PKCS#11-, Java JCE- oder Microsoft CNG-Schnittstellen.

Mit AWS KMS können Sie die Verschlüsselungsschlüssel, die Ihre Anwendungen und unterstützte AWS-Services in mehreren Regionen auf der ganzen Welt verwenden, von einer einzigen Konsole aus erstellen und kontrollieren. Der Service verwendet für den Schutz Ihrer Schlüssel ein FIPS 140-2-validiertes HSM. Durch die zentrale Verwaltung aller Ihrer Schlüssel in AWS KMS können Sie besser kontrollieren, wer Ihre Schlüssel unter welchen Bedingungen verwenden darf, wann sie rotiert werden und wer sie verwaltet. Aufgrund der Integration von AWS KMS in AWS CloudTrail können Sie zur Unterstützung Ihrer gesetzlichen und Compliance-Maßnahmen die Verwendung Ihrer Schlüssel überwachen. Sie interagieren mit AWS KMS über Ihre Anwendungen, wobei Sie das AWS-SDK verwenden, wenn Sie die Service-APIs direkt aufrufen möchten, oder das AWS Encryption SDK , falls Sie eine clientseitige Verschlüsselung durchführen möchten.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Weitere Informationen über die Preisberechnung

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Erfahren Sie mehr 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Beginnen Sie mit der Entwicklung in der Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung