Allgemeines

Was ist AWS Key Management Service (KMS)?
AWS KMS ist ein verwalteter Service, mit dem Sie Ihre Daten einfach verschlüsseln können. AWS KMS bietet eine hochverfügbare Speicherungs-, Verwaltungs- und Überwachungslösung zur Verschlüsselung von Daten innerhalb Ihrer eigenen Anwendungen und zur Steuerung der Verschlüsselung gespeicherter Daten in AWS-Services.

Weshalb sollte ich AWS KMS verwenden?
Wenn Sie Entwickler sind und Daten in Ihren Anwendungen verschlüsseln müssen, sollten Sie das AWS Encryption SDK mit AWS KMS-Unterstützung verwenden, damit die Verschlüsselungsschlüssel einfach verwendet und geschützt werden können. Wenn Sie IT-Administrator sind und nach einer skalierbaren Schlüsselverwaltungs-Infrastruktur suchen, die Ihre Entwickler und die wachsende Anzahl von deren Anwendungen unterstützt, sollten Sie AWS KMS verwenden, um Ihre Lizenzgebühren und den betrieblichen Aufwand zu reduzieren. Wenn Sie für die Erprobung der Datensicherheit zur Erfüllung gesetzlicher Anforderungen oder zu Compliance-Zwecken zuständig sind, sollten Sie AWS KMS verwenden, um zu überprüfen, ob die Daten in allen Anwendungen konsistent verschlüsselt werden und wo sie verwendet und gespeichert werden.

F: Welche ersten Schritte sind für die Benutzung von AWS KMS notwendig?
Für einen einfachen Einstieg in die Nutzung von AWS KMS wählen Sie am besten die Verschlüsselung Ihrer Daten innerhalb unterstützter AWS-Services mit von AWS verwalteten Master-Schlüsseln, die automatisch in Ihrem Konto für jeden Service erstellt werden. Wenn Sie die volle Kontroller über die Schlüsselverwaltung wünschen, darunter die Fähigkeit, den zugang zu Schlüsseln konto- oder serviceübergreifend zu teilen, können Sie Ihre eigenen Master-Schlüssel in KMS erstellen. Sie können die Master-Schlüssel, die Sie in KMS erstellen, auch direkt in Ihren eigenen Anwendungen verwenden. Sie können auf AWS KMS über die KMS-Konsole zugreifen, die unter Sicherheit, Identität und Compliance auf der AWS Services-Startseite der AWS-Konsole gruppiert ist. Sie können auf KMS APIs auch direkt über die AWS KMS-Befehlszeilenschnittstelle oder, für einen programmatischen Zugriff, über das AWS SDK zugreifen. KMS APIs können indirekt verwendet werden, um Daten innerhalb Ihrer eigenen Anwendungen zu verschlüsseln, indem Sie das AWS Encryption SDK verwenden. Weitere Informationen finden Sie auf der Seite Erste Schritte.

F: In welchen Regionen ist KMS verfügbar?
Die Verfügbarkeit ist auf unserer globalen Seite Produkte und Services nach Region aufgelistet.

F: Welche Schlüsselverwaltungsfunktionen sind in AWS KMS verfügbar?
Sie können in AWS KMS die folgenden Schlüsselverwaltungsfunktionen ausführen:

  • Schlüssel mit eindeutigem Alias und Beschreibung
  • Import von eigenem Schlüsselmaterial
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel verwalten dürfen
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel zur Ver- und Entschlüsselung von Daten verwenden dürfen
  • Festlegen, dass AWS KMS Ihre Schlüssel jährlich einmal rotiert
  • Schlüssel vorübergehend deaktivieren, sodass niemand sie verwenden kann
  • Reaktivieren deaktivierter Schlüssel
  • Löschen von Schlüsseln, die Sie nicht mehr verwenden
  • Verwendung von Schlüsseln durch Prüfen der Protokolle in AWS CloudTrail überwachen
  • Erstellen von benutzerdefinierten Schlüsselspeichern*
  • Verbinden und Trennen benutzerdefinierter Schlüsselspeicher
  • Löschen benutzerdefinierter Schlüsselspeicher*

* Dier Verwendung von benutzerdefinierten Schlüsselspeichern erfordert die Verfügbarkeit von CloudHSM-Ressourcen in Ihrem Konto.

F: Wie funktioniert AWS KMS?
Mit AWS KMS können Sie Ihre Schlüssel zentral verwalten und sicher speichern. Diese werden als „Customer Master Keys“ oder CMKs bezeichnet. Sie können CMKs in KMS oder in einem AWS CloudHSM-Cluster generieren oder sie aus Ihrer eigenen Schlüsselmanagement-Infrastruktur importieren. Diese Master-Schlüssel werden von Hardware-Sicherheitsmodulen (HSMs) geschützt und werden nur in diesen Modulen verwendet. Sie können Daten mit diesen Master-Schlüsseln direkt zur Ver- oder Entschlüsselung an KMS senden. Sie legen Nutzungsrichtlinien für diese Schlüssel fest, die bestimmen, welche Benutzer diese zum Ver- und Entschlüsseln verwenden können und unter welchen Bedingungen.

AWS KMS ist mit AWS-Services und clientseitigen toolkits integriert, die eine Methode namens Umschlagsverschlüsselung verwenden, um Ihre Daten zu verschlüsseln. Mit dieser Methode erzeugt KMS Datenschlüssel, die zur Verschlüsselung von Daten verwendet und selbst mit Ihren Master-Schlüsseln in KMS verschlüsselt werden. Datenschlüssel werden von KMS nicht aufbewahrt oder verwaltet. AWS-Services verschlüsseln Ihre Daten und speichern eine verschlüsselte Kopie des Datenschlüssels zusammen mit den damit geschützten Daten. Wenn ein Service Ihre Daten entschlüsseln muss, fordert er KMS zur Entschlüsselung des Datenschlüssels mithilfe des Master-Schlüssels an. Wenn der Benutzer, der die Daten vom AWS-Service anfordert, zur Entschlüsselung im Rahmen Ihrer Master-Schlüsselrichtlinie berechtigt ist, empfängt der Service den entschüsselten Datenschlüssel von KMS. Damit kann er dann Ihre Daten entschlüsseln und in Klartext wiedergeben. Alle Anforderungen zur Verwendung Ihrer Master-Schlüssel werden in AWS CloudTrail protokolliert, sodass Sie immer herausfinden können, wer welchen Schlüssel wann und in welchem Kontext verwendet hat.

F: Wo werden meine Daten verschlüsselt, wenn ich AWS KMS nutze?
In der Regel gibt es drei Szenarien zur Datenverschlüsselung mit AWS KMS. Erstens können Sie KMS APIs direkt zur Ver- und Entschlüsselung von Daten mithilfe Ihrer in KMS gespeicherten Master-Schlüssel verwenden. Zweitens können Sie Ihre Daten von AWS-Services mithilfe der in KMS gespeicherten Master-Schlüssel verschlüsseln lassen. In diesem Fall werden Daten mit Datenschlüsseln verschlüsselt, die durch Ihre Master-Schlüssel in KMS geschützt werden. Drittens können Sie das AWS Encryption SDK verwenden, das mit AWS KMS integriert ist, um die Verschlüsselung innerhalb Ihrer eigenen Anwendungen durchzuführen, egal, ob diese auf AWS ausgeführt werden oder nicht.

Welche AWS-Cloud-Services sind in AWS KMS integriert?
AWS KMS ist nahtlos in die meisten anderen AWS-Services integriert, um das Verschlüsseln von Daten in diesen Services auf die Aktivierung eines Kontrollkästchens zu vereinfachen. In einigen Fällen werden Daten standardmäßig mit Schlüsseln verschlüsselt, die in KMS gespeichert, aber vom jeweiligen AWS-Service besessen und verwaltet werden. In vielen Fällen werden die Master-Schlüssel von Ihnen besessen und in Ihrem eigenen Konto verwaltet. Einige Services bieten Ihnen die Wahl, die Schlüssel selbst zu verwalten oder es dem Service zu gestatten, die Schlüssel in Ihrem Auftrag zu verwalten. Hier finden Sie die Liste der AWS-Services, die aktuell mit KMS integriert sind. Weitere Informationen darüber, wie integrierte Services AWS KMS verwenden, finden Sie im AWS KMS Developer’s Guide.

F: Warum Umschlagsverschlüsselung verwenden? Warum sollten die Daten nicht einfach zur direkten Verschlüsselung an AWS KMS gesendet werden?
AWS KMS unterstützt zwar die direkte Verschlüsselung gesendeter Daten unter 4 KB, Umschlagsverschlüsselung bietet jedoch deutliche Leistungsvorteile. Daten, die Sie direkt mit AWS KMS verschlüsseln, müssen im Netzwerk übertragen werden. Die Umschlagsverschlüsselung reduziert die Netzwerklast, da nur die Anforderung und Lieferung des weitaus kleineren Datenschlüssels über das Netzwerk übertragen wird. Der Datenschlüssel wird lokal in Ihrer Anwendung oder vom verschlüsselnden AWS-Service verwendet. Damit entfällt die Übertragung des gesamten Datenblocks an KMS und die damit verbundene Netzwerklatenz.

F: Was ist der Unterschied zwischen einem von mir erstellten Master-Schlüssel und Master-Schlüsseln, die die automatisch für mich von anderen AWS-Services erstellt werden?
Sie können auswählen, welchen bestimmten Customer Master Key (CMK) ein AWS-Service verwenden soll, wenn er Daten für Sie verschlüsselt. Diese werden als kundenverwaltete CMKs bezeichnet und sie haben die volle Kontrolle über sie. Sie definieren die Zugangssteuerung und Nutzungsrichtlinie für jeden Schlüssel und können anderen Konten und Services Berechtigungen zur Nutzung gewähren. Wenn Sie kein CMK angeben, erstellt der jeweilige Service einen von AWS verwalteten CMK, wenn Sie das erste Mal versuchen, eine verschlüsselte Ressource in diesem Service zu erstellen. AWS verwaltet die Richtlinien, die mit von AWS verwalteten CMKs verbunden sind, in Ihrem Auftrag. Sie können von AWS verwaltete Schlüssel in Ihrem Konto verfolgen. Die gesamte Nutzung wird in AWS CloudTrail protokolliert, Sie haben aber keine direkte Kontrolle über die Schlüssel selbst.

F: Warum sollte ich meine eigenen Customer Master Keys erstellen?
Mit der Erstellung Ihres eigenen CMK in AWS KMS haben Sie mehr Kontrolle als mit von AWS verwalteten CMKs. Wenn Sie einen kundenverwalteten CMK erstellen, können Sie Schlüsselmaterial verwenden, das von AWS KMS oder innerhalb eines AWS CloudHSM-Clusters generiert wurde, oder Ihr eigenes Schlüsselmaterial importieren. Sie können einen Alias und eine Beschreibung für den Schlüssel festlegen und auswählen, ob der Schlüssel einmal im Jahr automatisch rotiert werden soll, wenn er von AWS KMS erzeugt wurde. Sie können auch alle Berechtigungen für den Schlüssel festlegen und so steuern, wer den Schlüssel verwenden oder verwalten darf.

F: Kann ich Schlüssel nach AWS KMS importieren?
Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung nach AWS KMS importieren und mit allen integrierten AWS-Services sowie innerhalb Ihrer eigenen Anwendungen verwenden.

F: Wann sollte ich einen importierten Schlüssel verwenden?
Sie können einen importierten Schlüssel verwenden, um eine größere Kontrolle über das Erstellen, das Lebenszyklusmanagement und die Zuverlässigkeit Ihres Schlüssels in AWS KMS zu erhalten. Importierte Schlüssel sind dazu konzipiert, Sie beim Erfüllen Ihrer Compliance-Anforderungen zu unterstützen. Dazu gehören möglicherweise die Fähigkeit zum Generieren oder Aufbewahren einer sicheren Kopie des Schlüssels in Ihrer Infrastruktur sowie die Fähigkeit zum sofortigen Löschen der importierten Kopie des Schlüssels aus der AWS-Infrastruktur.

F: Welche Arten von Schlüsseln kann ich importieren?
Sie können symmetrische 256-Bit-Schlüssel importieren.

F: Wie wird der Schlüssel, den ich nach AWS KMS importiere, während der Übertragung geschützt?
Während des Importvorgangs muss Ihr Schlüssel in einem von AWS KMS bereitgestellten öffentlichen Schlüssel verpackt sein, wobei eines der beiden RSA PKCS#1 Schemata zu verwenden ist. Damit wird sichergestellt, dass Ihr verschlüsselter Schlüssel nur durch AWS KMS entschlüsselt werden kann.

F: Was ist der Unterschied zwischen einem Schlüssel, den ich importiere und einem Schlüssel, den ich in AWS KMS generiere?
Es gibt zwei Hauptunterschiede:

  1. Sie sind für die Aufbewahrung einer Kopie Ihrer importierten Schlüssel in Ihrer Schlüsselverwaltungsinfrastruktur verantwortlich, damit Sie sie jederzeit erneut importieren können. AWS stellt jedoch die Verfügbarkeit, Sicherheit und Zuverlässigkeit der Schlüssel sicher, die von AWS KMS für Sie erstellt wurden, bis Sie die Schlüssel zum Löschen freigeben.
  2. Sie können für einen importierten Schlüssel ein Ablaufdatum festlegen. AWS KMS löscht das Schlüsselmaterial automatisch nach der Ablaufzeit. Sie können auch importiertes Schlüsselmaterial bei Bedarf löschen. In beiden Fällen wird das Schlüsselmaterial selbst gelöscht, aber die CMK-Referenz in KMS und verknüpften Metadaten wird beibehalten, damit das Schlüsselmaterial in Zukunft erneut importiert werden kann. Von AWS KMS erzeugte Schlüssel haben keine Ablaufzeit und können nicht sofort gelöscht werden. Es gibt eine obligatorische Wartezeit von 7 bis 30 Tagen. Alle kundenverwalteten CMKs, unabhängig davon, ob das Schlüsselmaterial importiert wurde, können manuell deaktiviert oder zur Löschung bestimmt werden. In diesem Fall wird der CMK selbst gelöscht, nicht nur das zugrundeliegende Schlüsselmaterial.

F: Kann ich meine Schlüssel rotieren?
Ja. Sie können wählen, dass AWS KMS CMKs automatisch jährlich rotiert, solange diese Schlüssel von AWS KMS erzeugt wurden. Die automatische Schlüsselrotation wird nicht für importierte Schlüssel oder Schlüssel unterstützt, die mithilfe der KMS-Funktion für benutzerdefinierte Schlüsselspeicher in einem AWS CloudHSM-Cluster erzeugt wurden. Wenn Sie Schlüssel in AWS KMS importieren oder einen benutzerdefinierten Schlüsselspeicher wählen, können Sie die Schlüssel manuell jederzeit rotieren, indem Sie einen neuen CMK erstellen und einen Schlüssel-Alias des alten Schlüssels dem neuen Schlüssel zuweisen.

F: Muss ich meine Daten erneut verschlüsseln, wenn die Schlüssel in AWS KMS rotiert werden?
Wenn Sie wählen, dass AWS KMS Schlüssel automatisch rotieren soll, brauchen Sie Ihre Daten nicht erneut zu verschlüsseln. AWS KMS bewahrt frühere Schlüsselversionen automatisch auf, sodass auch unter einer älteren Schlüsselversion verschlüsselte Daten entschlüsselt werden können. Alle neuen Anforderungen zur Verschlüsselung mit einem Schlüssel in AWS KMS werden unter der neuesten Version des Schlüssels verschlüsselt.

Wenn Sie Ihre importierten oder aus benutzerdefinierten Schlüsselspeichern stammenden Schlüssel manuell rotieren, müssen Sie Ihre Daten möglicherweise erneut verschlüsseln, abhängig davon, ob alte Versionen der Schlüssel weiterhin verfügbar bleiben sollen.

F: Kann ich einen Schlüssel aus AWS KMS löschen?
Ja. Sie können einen Zeitplan zur Löschung für einen Kunden-Masterschlüssel, den Sie in AWS KMS erstellt haben, und verknüpfte Metadaten festlegen, und zwar mit einer konfigurierbaren Wartezeit von 7 bis 30 Tagen. Während dieser Wartezeit können Sie die Auswirkungen der Löschung eines Schlüssels auf Ihre Anwendungen und Benutzer prüfen, die ihn unbedingt brauchen. Die standardmäßige Wartezeit beträgt 30 Tage. Sie können die Schlüssellöschung während der Wartezeit stornieren. Wenn ein Schlüssel zur Löschung vorgesehen ist, kann er erst wieder verwendet werden, wenn die Löschung während der Wartezeit storniert wird. Der Schlüssel wird am Ende der konfigurierbaren Wartezeit gelöscht, wenn Sie die Löschung nicht stornieren. Nachdem der Schlüssel gelöscht wurde, können Sie ihn nicht mehr verwenden. Unter einem gelöschten Master-Schlüssel geschützte Daten sind nicht mehr zugänglich.

Bei benutzerdefinierten Masterschlüsseln mit importiertem Schlüsselmaterial können Sie das Schlüsselmaterial löschen, ohne dass die ID oder die Metadaten des benutzerdefinierten Masterschlüssels gelöscht werden. Dazu gibt es zwei Methoden. Erstens können Sie Ihr importiertes Schlüsselmaterial nach Belieben ohne eine Wartezeit löschen. Zweitens können Sie zur Zeit des Imports des Schlüsselmaterials in den benutzerdefinierten Masterschlüssel eine Ablaufzeit definieren, mit der festgelegt wird, wie lange AWS Ihr importiertes Schlüsselmaterial verwenden kann, bevor es gelöscht wird. Sie können Ihr Schlüsselmaterial in den benutzerdefinierten Masterschlüssel re-importieren, wenn Sie es erneut verwenden müssen.

F: Was sollte ich tun, wenn mein importiertes Schlüsselmaterial abgelaufen ist oder ich es aus Versehen gelöscht habe?
Sie können Ihre Kopie des Schlüsselmaterials, das noch nicht abgelaufen ist, unter dem originalen, benutzerdefinierten Masterschlüssel nach AWS KMS re-importieren, sodass es verwendet werden kann.

F: Kann ich benachrichtigt werden, dass ich den Schlüssel re-importieren muss?
Ja. Wenn Sie Ihren Schlüssel in einen benutzerdefinierten Masterschlüssel importiert haben, erhalten Sie alle paar Minuten eine Metrik von Amazon CloudWatch, die die Zeit bis zum Ablauf des importierten Schlüssels herunterzählt. Außerdem erhalten Sie ein Amazon CloudWatch-Ereignis, wenn der importierte Schlüssel unter Ihrem benutzerdefinierten Masterschlüssel abläuft. Sie können eine Logik erstellen, die aufgrund dieser Metriken oder Ereignisse aktiv wird und den Schlüssel automatisch mit einer neuen Ablaufzeit re-importiert, um Risiken im Hinblick auf die Verfügbarkeit zu vermeiden.

F: Kann ich AWS KMS für die Verwaltung der Datenverschlüsselung außerhalb der AWS-Cloud-Services nutzen?
Ja. AWS KMS wird in AWS SDKs, im AWS Encryption SDK, bei der Client-seitigen Verschlüsselung von Amazon DynamoDB und im Amazon S3 Encryption Client unterstützt. Das erleichtert die Verschlüsselung von Daten in Ihren eigenen Anwendungen, unabhängig davon, wo diese ausgeführt werden. Besuchen Sie die Webseiten AWS Crypto Tools und Entwickeln auf AWS für weitere Informationen.

F: Gibt es eine Begrenzung für die Anzahl der Schlüssel, die ich in AWS KMS erstellen kann?
Sie können bis zu 1000 benutzerdefinierte Masterschlüssel pro Konto und Region erstellen. Da sowohl aktivierte als auch deaktivierte Kunden-Master-Schlüssel hinsichtlich des Limits berücksichtigt werden, empfehlen wir, deaktivierte Schlüssel zu löschen, die Sie nicht mehr verwenden. Für Sie zur Verwendung in unterstützten AWS-Services erstellte, von AWS verwaltete Masterschlüssel zählen bei dieser Beschränkung nicht mit. Die Anzahl der Datenschlüssel, die von einem Masterschlüssel abgeleitet und in Ihrer Anwendung oder für Sie von AWS-Services zur Verschlüsselung von Daten verwendet werden, ist nicht beschränkt. Im AWS Support Center können Sie eine Anhebung des Limits für benutzerdefinierte Masterschlüssel beantragen.

Bietet AWS KMS ein Service Level Agreement (SLA) an?
Ja. Das AWS KMS SLA sieht eine Service-Gutschrift vor, wenn der monatliche Verfügbarkeitsprozentsatz eines Kunden in jedem Abrechnungszyklus unter unserer Service-Verpflichtung liegt.

Benutzerdefinierter Schlüsselspeicher

F: Was ist ein benutzerdefinierter Schlüsselspeicher?
Der benutzerdefinierte Schlüsselspeicher von AWS KMS kombiniert die Konfigurationsmöglichkeiten vonAWS CloudHSM mit der Integration und Benutzerfreundlichkeit von AWS KMS. Sie können Ihren eigenen CloudHSM-Cluster konfigurieren und KMS autorisieren, diesen als dedizierten Schlüsselspeicher für Ihre Schlüssel zu verwenden, statt den standardmäßigen KMS-Schlüsselspeicher. Wenn Sie Schlüssel in KMS erstellen, können Sie wählen, das Schlüsselmaterial in Ihrem CloudHSM-Cluster zu generieren. Master-Schlüssel, die in Ihrem benutzerdefinierten Schlüsselspeicher erzeugt werden, verlassen die HSMs im CloudHSM-Cluster nie als Klartext und alle KMS-Vorgänge, die diese Schlüssel verwenden, werden nur in Ihren HSMs durchgeführt. In jeder anderen Hinsicht entsprechen in Ihrem benutzerdefinierten Schlüsselspeicher gespeicherte Master-Schlüssel anderen KMS CMKs.

Zusätzliche Ratschläge dazu, ob die Verwendung eines benutzerdefinierten Schlüsselspeichers für Sie sinnvoll ist, finden Sie in diesem Blog.

F: Wofür benötige ich einen benutzerdefinierten Schlüsselspeicher?
Da Sie die Kontrolle über Ihren AWS CloudHSM-Cluster haben, haben Sie die Option, den Lebenszyklus Ihrer AWS KMS Master-Schlüssel unabhängig von KMS zu verwalten. Es gibt vier Gründe, warum ein benutzerdefinierter Schlüsselspeicher für Sie nützlich sein könnte. Erstens besitzen Sie möglicherweise Schlüssel, die explizit in einer Einzelmandanten-HSM oder in einer HSM geschützt werden müssen, über die Sie direkte Kontrolle haben. Zweitens haben Sie möglicherweise Schlüssel, die in einer HSM gespeichert werden müssen, welche insgesamt bis FIPS 140-2 Level 3 validiert wurde (die in dem standardmäßigen KMS-Schlüsselspeicher verwendeten HSMs sind bis Level 2 validiert, mit Level 3 in mehreren Kategorien). Drittens müssen Sie möglicherweise in der Lage sein, Schlüsselmaterial sofort von KMS zu entfernen und einen unabhängigen Nachweis darüber erbringen. Schließlich müssen Sie womöglich die gesamte Nutzung Ihrer Schlüssel unabhängig von KMS oder AWS CloudTrail überprüfen können.

F: Haben benutzerdefinierte Schlüsselspeicher Einfluss darauf, wie Schlüssel verwaltet werden?
Bei der Verwaltung von Schlüsseln in einem benutzerdefinierten Schlüsselspeicher gibt es im Vergleich zum standardmäßigen AWS KMS-Schlüsselspeicher zwei Unterschiede. Sie können Schlüsselmaterial nicht in Ihren benutzerdefinierten Schlüsselspeicher importieren und KMS kann Schlüssel nicht automatisch für Sie rotieren. In jeder anderen Hinsicht - darunter hinsichtlich der Arten von erzeugbaren Schlüsseln, der Verwendungsweise von Aliases und der Definition von Richtlinien - werden Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher gespeichert werden, genau so veraltet wie jeder andere kundenverwaltete KMS CMK.

F: Kann ich einen benutzerdefinierten Schlüsselspeicher verwenden, um einen von AWS verwalteten Customer Master Key zu speichern?
Nein, nur kundenverwaltete CMKs können in einem benutzerdefinierten Schlüsselspeicher von AWS KMS gespeichert und verwaltet werden. Von AWS verwaltete CMKs, die in Ihrem Auftrag von anderen AWS-Services zur Verschlüsselung Ihrer Daten erstellt werden, werden stets im standardmäßigen Schlüsselspeicher von KMS erzeugt und gespeihcert.

F: Haben benutzerdefinierte Schlüsselspeicher Einfluss darauf, wie Schlüssel verwendet werden?
Nein, API-Anfragen an AWS KMS zur Verwendung eines CMK für die Ver- und Entschlüsselung von Daten werden identisch behandelt. Die Authentifizierungs- und Autorisierungsprozesse werden unabhängig davon ausgeführt, wo der Schlüssel gespeichert wird Sämtliche Aktivitäten unter Verwendung eines Schlüssels in einem benutzerdefinierten Schlüsselspeicher werden auch identisch in AWS CloudTrail protokolliert. Die tatsächlichen Kryptografievorgänge geschehen jedoch exklusiv im benutzerdefinierten Schlüsselspeicher oder im standardmäßigen KMS-Schlüsselspeicher.

F: Wie kann ich die Verwendung von Schlüsseln in einem benutzerdefinierten Schlüsselspeicher prüfen?
Neben den Aktivitäten, die durch AWS KMS in AWS CloudTrail protokolliert werden, bietet ein benutzerdefinierter Schlüsselspeicher drei weitere Prüfungsmechanismen. Erstens protokolliert AWS CloudHSM zusätzlich alle API-Aktivitäten in CloudTrail, zum Beispiel Cluster-Erstellungen und hinzugefügte oder entfernte HSMs. Zweitens erfasst jeder Cluster auch seine eigenen lokalen Protokolle zur Aufzeichnung von Benutzer- und Schlüsselverwaltungsaktivitäten. Drittens kopiert jede CloudHSM-Instance die lokalen Benutzer- und Schlüsselaktivitätsprotokolle auf AWS CloudWatch.

F: Wie wirkt sich ein benutzerdefinierter Schlüsselspeicher auf die Verfügbarkeit von Schlüsseln aus?
Die Verwendung eines benutzerdefinierten Schlüsselspeichers in AWS KMS überträgt die Verantwortung der Schlüsselverfügbarkeit zur Nutzung durch KMS auf Sie. Konfigurationsfehler in CloudHSM und die versehentliche Löschung von Schlüsselmaterial in einem AWS CloudHSM-Cluster können sich auf die Verfügbarkeit auswirken. Die Anzahl der verwendeten HSMs und Ihre Auswahl der Availability Zones (AZs) können sich ebenfalls auf die Resilienz Ihres Clusters auswirken. Wie bei jedem Schlüsselverwaltungssystem ist es wichtig, zu verstehen, sich die Verfügbarkeit von Schlüsseln auf die Wiederherstellung verschlüsselter Daten auswirken kann.

F: Welche Leistungsgrenzen sind bei einem benutzerdefinierten Schlüsselspeicher zu erwarten?
Die Geschwindigkeit, mit der Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher von AWS KMS gespeichert wurden, über AWS KMS API-Aufrufe verwendet werden können, ist geringer als bei Schlüsseln, die im standardmäßigen AWS KMS Schlüsselspeicher gespeichert werden. Mehr zu den aktuellen Leistungsgrenzen finden Sie im KMS-Entwicklerhandbuch.

F: Mit welchen Kosten ist ein benutzerdefinierter Schlüsselspeicher verbunden?
Die Preise für AWS KMS bleiben bei der Verwendung eines benutzerdefinierten Schlüsselspeichers unverändert. Jeder benutzerdefinierte Schlüsselspeicher erfordert jedoch, dass Ihr AWS CloudHSM-Cluster mindestens zwei HSMs enthält. Diese HSMs werden zu den standardmäßigen AWS CloudHSM-Preisen abgerechnet. Für die Verwendung eines benutzerdefinierten Schlüsselspeichers fallen keine zusätzlichen Gebühren an.

F: Welche zusätzlichen Fähigkeiten und Ressourcen sind zur Konfiguration eines benutzerdefinierten Schlüsselspeichers erforderlich?
AWS KMS-Anwender, die einen benutzerdefinierten Schlüsselspeicher verwenden möchten, müssen weiterhin einen AWS CloudHSM-Cluster einrichten, HSMs hinzufügen, die Benutzer der HSMs verwalten und möglicherweise HSMs aus Datensicherungen wiederherstellen. Dies sind sicherheitsempfindliche Aufgaben und Sie sollten sicherstellen, dass die angemessenen Ressourcen und Organisationskontrollen vorhanden sind.

F: Kann ich Schlüssel in einen benutzerdefinierten Schlüsselspeicher importieren?
Nein, die Möglichkeit, Ihr eigenes Schlüsselmaterial in einen benutzerdefinierten Schlüsselspeicher von AWS KMS zu importieren, wird nicht unterstützt. Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher gespeichert werden, können nur in den HSMs erzeugt werden, die Ihren AWS CloudHSM-Cluster bilden.

F: Kann ich Schlüssel zwischen dem standardmäßigen KMS-Schlüsselspeicher und einem benutzerdefinierten Schlüsselspeicher migrieren?
Nein, die Möglichkeit, Schlüssel zwischen den unterschiedlichen Arten von AWS KMS-Schlüsselspeichern zu migrieren, wird aktuell nicht unterstützt. Alle Schlüssel müssen im Schlüsselspeicher erstellt werden, in dem sie verwendet werden, außer in Fällen, bei denen Sie Ihr eigenes Schlüsselmaterial in den standardmäßigen KMS-Schlüsselspeicher importieren.

F: Kann ich in einem benutzerdefinierten Schlüsselspeicher gespeicherte Schlüssel rotieren?
Die Möglichkeit, Schlüsselmaterial in einem benutzerdefinierten Schlüsselspeicher von AWS KMS automatisch zu rotieren, wird nicht unterstützt. Die Schlüsselrotation muss manuell erfolgen, indem Sie neue Schlüssel erstellen und von Ihrem Anwendungscode verwendete KMS-Schlüsselaliase neu zuweisen, um die neuen Schlüssel für zukünftige Verschlüsselungsvorgänge zu verwenden.

F: Kann ich meinen AWS CloudHSM-Cluster für andere Anwendungen verwenden?
Ja, AWS KMS erfordert keinen exklusiven Zugang zu Ihrem AWS CloudHSM-Cluster. Wenn Sie bereits einen Cluster besitzen, können Sie ihn als benutzerdefinierten Schlüsselspeicher verwenden und für andere Anwendungen einsetzen. Wenn Ihr Cluster jedoch intensive Nicht-KMS-Workloads unterstützt, werden Sie möglicherweise einen reduzierten Durchsatz für Vorgänge mit KMS-Masterschlüsseln in Ihrem benutzerdefinierten Schlüsselspeicher verzeichnen. Gleichermaßen kann sich eine hohe KMS-Anforderungsrate bei Ihrem benutzerdefinierten Schlüsselspeicher auf andere Anwendungen auswirken.

F: Wo erfahre ich mehr über AWS CloudHSM?
Besuchen Sie die Webseite von AWS CloudHSM für einen Überblick zum Service und für weitere Einzelheiten zur Konfiguration und Verwendung des Service lesen Sie das Benutzerhandbuch von AWS CloudHSM.  

Fakturierung

F: Wie wird mir AWS KMS in Rechnung gestellt?
Bei AWS KMS zahlen Sie nur für das, was Sie auch tatsächlich nutzen. Es fallen keine Mindestgebühren an. Sie können mit der Verwendung dieses Service beginnen, ohne dass Ihnen Einrichtungsgebühren oder sonstige Verpflichtungen entstehen. Nach Ende eines Monats wird Ihre Kreditkarte automatisch mit den Nutzungsgebühren für den betreffenden Monat belastet.

Ihnen werden alle von Ihnen erstellten Customer Master Keys (CMKs) sowie Ihre API-Aufrufe an den Service monatlich in Rechnung gestellt, wenn ein kostenloses Kontingent überschritten wurde.

Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

F: Gibt es ein kostenloses Kontingent?
Ja. Mit dem kostenlosen Nutzungskontingent von AWS können Sie AWS KMS in allen Regionen kostenlos verwenden. Von AWS verwaltete Master-Schlüssel, die in Ihrem Auftrag von AWS-Services erstellt wurden, können Sie kostenlos in Ihrem Konto speichern. Es gibt ein kostenloses Kontingent für die Nutzung, das für jeden Monat eine bestimmte Anzahl kostenloser Anforderungen an AWS KMS bietet. Informationen zur Preisgestaltung einschließlich des kostenlosen Kontingents finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

F: Sind Steuern bereits in den Preisen enthalten?
Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen finden Sie hier.

Sicherheit

F: Wer kann meine Schlüssel in AWS KMS verwenden und verwalten?
AWS KMS erzwingt die Verwendung der von Ihnen definierten Management-Richtlinien. Sie wählen aus, welche AWS Identity and Access Management(IAM)-Benutzer und -Rollen in Ihrem Konto oder anderen Konten Ihre Schlüssel verwenden und verwalten dürfen.

F: Wie schützt AWS die Masterschlüssel, die ich in AWS KMS erstelle?
AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Master-Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet FIPS 140-2-validierte Hardwaresicherheitsmodule (HSMs) für den Schutz der Vertraulichkeit und Integrität Ihrer Schlüssel, unabhängig davon, ob Sie AWS KMS oder AWS CloudHSM zur Erstellung Ihrer Schlüssel verwenden oder diese selbst in den Service importieren. Ihre Klartext-Schlüssel verlassen nie die HSMs, werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. AWS KMS-Schlüssel werden nie außerhalb der AWS-Regionen übertragen, in denen Sie erstellt wurden. Aktualisierungen der Software auf den Service-Hosts und der AWS KMS HSM-Firmware werden durch eine Mehrparteien-Zugangskontrolle gesteuert, die von einer unabhängigen Gruppe innerhalb von Amazon sowie einem NIST-zertifizierten Labor gemäß FIPS 140-2 geprüft und überprüft wird.

Weitere Informationen über diese Sicherheitskontrollen finden Sie im Whitepaper AWS KMS Cryptographic Details. Sie können auch das FIPS 140-2 certificate for AWS KMS HSM und die zugehörigeSicherheitsrichtlinie lesen. Dort finden Sie nähere Einzelheiten dazu, wie die HSM-Funktion von AWS KMS die Sicherheitsanforderungen von FIPS 140-2 erfüllt. Außerdem können Sie eine Kopie des Berichts "Service Organization Controls" (SOC) von AWS Artifact herunterladen, um weitere Informationen zu den Sicherheitskontrollen zu erhalten, die AWS KMS zum Schutz Ihrer Masterschlüssel einsetzt.

F: Wie migriere ich meine vorhandenen AWS KMS-Masterschlüssel für die Verwendung von FIPS 140-2-validierten HSMs?
Sämtliche Masterschlüssel in AWS KMS werden unabhängig von ihrem Erstellungsdatum oder -ort automatisch unter Verwendung von FIPS 140-2-validierten HSMs geschützt. Sie selbst müssen keine Maßnahmen ergreifen, damit die FIPS 140-2-validierten HSMs verwendet werden.

F: Welche AWS-Regionen verfügen über FIPS 140-2-validierte HSMs?
FIPS 140-2-validierte HSMs sind in allen AWS-Regionen verfügbar, in denen AWS KMS angeboten wird.

F: Worin besteht der Unterschied zwischen den FIPS 140-2-validierten Endpunkten und den FIPS 140-2-validierten HSMs in AWS KMS?
AWS KMS ist ein zweistufiger Service. Die API-Endpunkte erhalten Clientanforderungen über eine HTTPS-Verbindung. Dabei werden ausschließlich TLS-Ciphersuites verwendet, die Perfect Forward Secrecy unterstützen. Diese API-Endpunkte authentifizieren und autorisieren die Anforderung, bevor diese für eine kryptografische Operation an die HSMs von AWS KMS oder Ihren AWS CloudHSM-Cluster (falls Sie den benutzerdefinierten Schlüsselspeicher von KMS verwenden) übergeben wird.

F: Wie kann ich unter Verwendung der FIPS 140-2-validierten Endpunkte API-Anforderungen an AWS KMS stellen?
Sie konfigurieren Ihre Anwendungen für die Herstellung einer Verbindung zu den eindeutigen regionalen FIPS 140-2 validated HTTPSEndpunkten. Die FIPS 140-2-validierten HTTPS-Endpunkte in AWS KMS basieren auf dem OpenSSL FIPS Object Module. Sie können die Sicherheitsrichtlinie des OpenSSL-Moduls unter https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf prüfen. FIPS 140-2-validierte API-Endpunkte sind in allen Handelsregionen verfügbar, in denen AWS KMS erhältlich ist.

F: Kann ich mit AWS KMS die Anforderungen an Verschlüsselung und Schlüsselverwaltung des Payment Card Industry Data Security Standard (PCI DSS 3.1) einhalten?
Ja. AWS KMS verfügt nachweislich über die Funktionalität und Sicherheitskontrollen, die die Einhaltung der Anforderungen an Verschlüsselung und Schlüsselverwaltung ermöglichen (hauptsächlich festgelegt in den Abschnitten 3.5 und 3.6 des PCI DSS 3.1).

Weitere Informationen über PCI DSS-konforme Services in AWS finden Sie unter PCI DSS FAQs.

F: Wie schützt AWS KMS die Datenschlüssel, die ich exportiere und in meiner Anwendung einsetze?
Sie können die Generierung von Datenschlüsseln durch AWS KMS anfordern und sie zur Verwendung in Ihrer eigenen Anwendung ausgeben. Die Datenschlüssel sind unter einem Masterschlüssel verschlüsselt, den Sie in AWS KMS definieren, sodass Sie den verschlüsselten Datenschlüssel gefahrlos mit Ihren verschlüsselten Daten speichern können. Ihre verschlüsselten Datenschlüssel (und folglich Ihre Quelldaten) können nur durch Benutzer entschlüsselt werden, die zur Verwendung des ursprünglichen Masterschlüssels zur Entschlüsselung des Datenschlüssels berechtigt sind.

F: Wie lang sind die durch AWS KMS generierten Schlüssel?
Masterschlüssel in AWS KMS haben eine Länge von 256 Bit. Datenschlüssel können mit einer Länge von 128 oder 256 Bit generiert und unter dem Masterschlüssel verschlüsselt werden, den Sie festlegen. Mit AWS KMS können Sie auch Zufallsdaten beliebiger Länge generieren, die Sie passend zu Verschlüsselungszwecken festlegen.

F: Kann ich einen Masterschlüssel aus AWS KMS exportieren und in meinen eigenen Anwendungen verwenden?
Nein. Masterschlüssel werden ausschließlich in AWS KMS erstellt und verwendet, um ihre Sicherheit zu gewährleisten, Ihre Richtlinien konsistent durchsetzbar zu machen und ein zentrales Protokoll ihrer Nutzung bereitzustellen.

F: In welcher geografischen Region werden meine Schlüssel gespeichert?
Von AWS KMS erzeugte Schlüssel werden nur in der Region gespeichert und verwendet, in der sie erstellt wurden. Sie können nicht in eine andere Region übertragen werden. Schlüssel beispielsweise, die in der Region EU-Zentral (Frankfurt) erstellt wurden, werden nur in der Region EU-Zentral (Frankfurt) gespeichert und verwendet.

F: Wie kann ich feststellen, wer die Konfiguration meiner Schlüssel in AWS KMS verwendet oder geändert hat?
Protokolle in AWS CloudTrail zeigen alle KMS API-Anforderungen, einschließlich Verwaltungsanfragen (z. B. Erstellen, Rotieren, Deaktivieren, Bearbeitung von Richtlinien) und Verschlüsselungsanforderungen (z. B. Verschlüsselung/Entschlüsselung). Aktivieren Sie AWS CloudTrail in Ihrem Konto, um diese Protokolle anzuzeigen.

F: Wie unterscheidet sich AWS KMS von AWS CloudHSM?
AWS CloudHSM stellt Ihnen einen insgesamt auf FIPS 140-2 Level 3 validierten HSM-Cluster mit einem einzelnen Mandanten in Ihrer Amazon Virtual Private Cloud (VPC) bereit, um Ihre Schlüssel zu speichern und zu verwenden. Sie besitzen über einen von AWS unabhängigen Authentifizierungsmechanismus die alleinige Kontrolle darüber, wie Ihre Schlüssel verwendet werden. Sie interagieren mit Schlüsseln in Ihrem AWS CloudHSM-Cluster ähnlich wie mit Ihren Anwendungen, die in Amazon EC2 ausgeführt werden. Sie können AWS CloudHSM zur Unterstützung diverser Anwendungsfälle einsetzen, darunter Digital Rights Management (DRM), Public Key Infrastructure (PKI), Dokumentensignierung und kryptografische Funktionen unter Verwendung von PKCS#11-, Java JCE- oder Microsoft CNG-Schnittstellen.

Mit AWS KMS können Sie die Verschlüsselungsschlüssel, die Ihre Anwendungen und unterstützte AWS-Services in mehreren Regionen auf der ganzen Welt verwenden, von einer einzigen Konsole aus erstellen und kontrollieren. Der Service verwendet für den Schutz Ihrer Schlüssel ein FIPS 140-2-validiertes HSM. Durch die zentrale Verwaltung aller Ihrer Schlüssel in AWS KMS können Sie besser kontrollieren, wer Ihre Schlüssel unter welchen Bedingungen verwenden darf, wann sie rotiert werden und wer sie verwaltet. Aufgrund der Integration von AWS KMS in AWS CloudTrail können Sie zur Unterstützung Ihrer gesetzlichen und Compliance-Maßnahmen die Verwendung Ihrer Schlüssel überwachen. Sie interagieren mit AWS KMS in Ihren Anwendungen entweder durch das AWS SDK, wenn Sie die Service-APIs direkt aufrufen möchten, über andere, mit KMS integrierte AWS-Services, oder durch Verwendung des AWS Encryption SDK, wenn Sie eine clientseitige Verschlüsselung durchführen möchten.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Weitere Informationen über die Preisberechnung

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Erfahren Sie mehr 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Beginnen Sie mit der Entwicklung in der Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung