Die folgenden häufig gestellten Fragen gelten nicht für AWS Key Management Service in der Region AWS China (Peking), die von Sinnet betrieben wird, sowie in der Region AWS China (Ningxia), die von NWCD betrieben wird. Informationen bezüglich dieser beiden Regionen in China finden Sie unter diesem Link zu häufig gestellten Fragen.

Allgemeines

F: Was ist AWS KMS?
AWS KMS ist ein verwalteter Service, der Ihnen hilft, die für kryptografische Vorgänge verwendeten Schlüssel problemloser zu erstellen und zu steuern. Der Service bietet eine hochverfügbare Schlüsselgenerierungs-, Speicherungs-, Verwaltungs- und Überwachungslösung zum Verschlüsseln oder digitalen Signieren von Daten innerhalb Ihrer eigenen Anwendungen und zur Steuerung der Verschlüsselung von Daten in AWS-Services.

F: Weshalb sollte ich AWS KMS verwenden?
Wenn Sie für das Sichern von Daten in AWS-Services verantwortlich sind, sollten Sie AWS KMS für die zentrale Verwaltung der Verschlüsselungsschlüssel verwenden, die den Zugriff auf Ihre Daten steuern. Wenn Sie Entwickler sind und Daten in Ihren Anwendungen verschlüsseln müssen, sollten Sie das AWS Encryption SDK mit AWS KMS verwenden, damit die symmetrischen Verschlüsselungsschlüssel in Ihrem Code problemloser generiert, verwendet und geschützt werden können. Wenn Sie als Entwickler Daten mithilfe asymmetrischer Schlüssel digital signieren oder verifizieren müssen, sollten Sie den Service verwenden, um die benötigten privaten Schlüssel zu erstellen und zu verwalten. Wenn Sie nach einer skalierbaren Schlüsselverwaltungs-Infrastruktur suchen, die Ihre Entwickler und die wachsende Anzahl von deren Anwendungen unterstützt, sollten Sie den Service verwenden, um Ihre Lizenzgebühren und den betrieblichen Aufwand zu reduzieren. Wenn Sie für das Sicherstellen der Datensicherheit für gesetzliche oder Compliance-Zwecke verantwortlich sind, sollten Sie den Service verwenden, da er dazu beiträgt, den konsistenten Schutz Ihrer Daten sicherzustellen. Er kann außerdem für verschiedene branchenspezifische und regionale Compliance-Systeme eingesetzt werden.

F: Welche ersten Schritte sind für die Benutzung von AWS KMS notwendig?
Für einen einfachen Einstieg in die Nutzung von AWS KMS wählen Sie am besten die Verschlüsselung Ihrer Daten innerhalb des unterstützten AWS-Service mit AWS-eigenen Stammschlüsseln, die automatisch von jedem Service erstellt werden. Wenn Sie die volle Kontrolle über die Verwaltung Ihrer Schlüssel wünschen, einschließlich der Möglichkeit, den Zugriff auf Schlüssel über Konten oder Dienste hinweg zu teilen, können Sie Ihre eigenen AWS-KMS-Kunden verwalteten Schlüssel in AWS KMS erstellen. Sie können die erstellten KMS-Schlüssel auch direkt in Ihren eigenen Anwendungen verwenden. Sie können auf AWS KMS über die KMS-Konsole zugreifen, die unter Sicherheit, Identität und Compliance auf der AWS-Services-Startseite der AWS-KMS-Konsole gruppiert ist. Sie können auf AWS KMS-APIs auch direkt über die AWS KMS Command Line Interface (CLI) oder, für einen programmgesteuerten Zugriff, über das AWS SDK zugreifen. AWS KMS-APIs können auch indirekt verwendet werden, um Daten innerhalb Ihrer eigenen Anwendungen mithilfe des AWS Encryption SDK zu verschlüsseln. Weitere Informationen finden Sie auf der Seite Erste Schritte.

F: In welchen Regionen ist AWS KMS verfügbar?
Die Verfügbarkeit ist auf unserer globalen Seite Produkte und Services nach Region aufgelistet.

F: Welche Schlüsselverwaltungsfunktionen sind in AWS KMS verfügbar?

Sie können die folgenden Schlüsselverwaltungsfunktionen ausführen:

  • Erstellen symmetrischer, asymmetrischer und HMAC-Schlüssel, bei denen das Schlüsselmaterial nur innerhalb des Service verwendet wird
  • Erstellen Sie symmetrische Schlüssel, bei denen das Schlüsselmaterial in einem benutzerdefinierten Schlüsselspeicher unter Ihrer Kontrolle generiert und verwendet wird, der entweder durch AWS CloudHSM oder in Ihrem eigenen externen Schlüsselmanager außerhalb von AWS gesichert ist.
  • Importieren Ihres eigenen symmetrischen Schlüsselmaterials für die Verwendung innerhalb des Service
  • Definieren, welche AWS Identity and Access Management (IAM) Benutzer und Rollen Schlüssel verwalten können
  • Definieren, welche IAM-Benutzer und -Rollen Schlüssel zur Ver- und Entschlüsselung von Daten verwenden dürfen
  • Auswählen, dass Schlüssel, die vom Service generiert wurden, automatisch jährlich rotiert werden
  • Vorübergehendes Deaktivieren von Schlüsseln, sodass niemand sie verwenden kann
  • Reaktivieren deaktivierter Schlüssel
  • Zeitliches Planen der Löschung nicht mehr verwendeter Schlüssel
  • Überwachen der Verwendung von Schlüsseln durch Prüfung der Protokolle in AWS CloudTrail
 
F: Wie funktioniert AWS KMS?
Sie können die Verwendung des Service durch Anfordern der Erstellung eines AWS-KMS-Schlüssel starten. Sie kontrollieren den Lebenszyklus jedes vom Kunden verwalteten KMS-Schlüssels und wer ihn verwenden oder verwalten kann. Sobald Sie einen KMS-Schlüssel erstellt haben, können Sie Daten direkt an den Service AWS KMS übermitteln, um sie zu verschlüsseln, zu entschlüsseln, zu signieren, zu verifizieren oder um einen HMAC mit diesem KMS-Schlüssel zu erzeugen oder zu verifizieren. Sie legen Nutzungsrichtlinien für diese Schlüssel fest, die bestimmen, welche Benutzer welche Aktionen unter welchen Bedingungen ausführen können.
 
AWS-Services und clientseitige Toolkits, die in AWS KMS integriert sind, verwenden zum Schutz Ihrer Daten eine Methode namens Umschlagsverschlüsselung. Mithilfe dieser Methode generiert AWS KMS Datenschlüssel, die verwendet werden, um Daten lokal im AWS-Service oder in Ihrer Anwendung zu verschlüsseln. Die Datenschlüssel sind selbst unter einem von Ihnen definierten AWS-KMS-Schlüssel verschlüsselt. Datenschlüssel werden von AWS KMS nicht aufbewahrt oder verwaltet. AWS-Services verschlüsseln Ihre Daten und speichern eine verschlüsselte Kopie des Datenschlüssels zusammen mit den verschlüsselten Daten. Wenn ein Service Ihre Daten entschlüsseln muss, fordert er AWS KMS zur Entschlüsselung des Datenschlüssels mithilfe des KMS-Schlüssels an. Wenn der Benutzer, der die Daten vom AWS-Service anfordert, zur Entschlüsselung im Rahmen des KMS-Schlüssels berechtigt ist, empfängt der AWS-Service den entschüsselten Datenschlüssel von AWS KMS. Damit kann der AWS-Service dann Ihre Daten entschlüsseln und als Klartext zurückgeben. Alle Anforderungen zur Verwendung Ihrer KMS-Schlüssel werden in CloudTrail protokolliert, sodass Sie immer herausfinden können, wer welchen Schlüssel wann und in welchem Kontext verwendet hat.

F: Wo werden meine Daten verschlüsselt, wenn ich AWS KMS verwende?
In der Regel gibt es drei Szenarien zur Datenverschlüsselung mit AWS KMS. Erstens können Sie AWS KMS-APIs direkt zur Ver- und Entschlüsselung von Daten mithilfe Ihrer im Service gespeicherten KMS-Schlüssel verwenden. Zweitens können Sie Ihre Daten von AWS-Services mithilfe der im Service gespeicherten KMS-Schlüssel verschlüsseln lassen. In diesem Fall werden Daten mit Datenschlüsseln verschlüsselt, die durch Ihre KMS-Schlüssel geschützt werden. Drittens können Sie das AWS Encryption SDK verwenden, das in AWS KMS integriert ist, um die Verschlüsselung innerhalb Ihrer eigenen Anwendungen durchzuführen, egal, ob diese auf AWS ausgeführt werden oder nicht.

Welche AWS-Cloud-Services sind in AWS KMS integriert?
AWS KMS ist nahtlos in die meisten anderen AWS-Services integriert, um das Verschlüsseln von Daten in diesen Services einfacher zu gestalten. In einigen Fällen werden Daten standardmäßig mit Schlüsseln verschlüsselt, die in AWS KMS gespeichert sind, sich aber im Besitz des jeweiligen AWS-Service befinden und von diesem verwaltet werden. In vielen Fällen sind die AWS-KMS-Schlüssel in Ihrem Besitz und werden von Ihnen innerhalb Ihres Kontos verwaltet. Einige Services bieten Ihnen die Wahl, die Schlüssel selbst zu verwalten oder es dem Service zu gestatten, die Schlüssel in Ihrem Auftrag zu verwalten. Hier finden Sie die Liste der AWS-Services, die aktuell in AWS KMS integriert sind. Weitere Informationen darüber, wie integrierte Services AWS KMS verwenden, finden Sie im AWS-KMS-Entwicklerhandbuch.

F: Warum Umschlagsverschlüsselung verwenden? Warum sollten die Daten nicht einfach zur direkten Verschlüsselung an AWS KMS gesendet werden?
AWS KMS unterstützt zwar die direkte Verschlüsselung der gesendeten Daten bis zu 4 KB, die Envelope-Verschlüsselung bietet jedoch erhebliche Leistungsvorteile. Die Daten, die Sie direkt mit AWS KMS verschlüsseln, müssen im Netzwerk übertragen werden. Die Umschlagsverschlüsselung reduziert die Netzwerklast, da nur die Anforderung und Lieferung des weitaus kleineren Datenschlüssels über das Netzwerk übertragen werden. Der Datenschlüssel wird lokal in Ihrer Anwendung oder vom verschlüsselnden AWS-Service verwendet. Damit entfällt die Übertragung des gesamten Datenblocks an AWS KMS und die damit verbundene Netzwerklatenz.

F: Was ist der Unterschied zwischen einem von mir erstellten KMS-Schlüssel und KMS-Schlüsseln, die die automatisch für mich von anderen AWS-Services erstellt werden?
Sie können auswählen, welchen KMS-Schlüssel ein AWS-Service verwenden soll, wenn er Daten für Sie verschlüsselt. Diese werden als kundenverwaltete KMS-Schlüssel bezeichnet, über die Sie die volle Kontrolle haben. Sie definieren die Zugangssteuerung und Nutzungsrichtlinie für jeden Schlüssel und können anderen Konten und Services Berechtigungen zur Nutzung gewähren. Zusätzlich zu den vom Kunden verwalteten Schlüsseln bietet AWS KMS auch zwei Arten von Schlüsseln, die von AWS verwaltet werden: (1) AWS-verwaltete KMS-Schlüssel sind Schlüssel, die in Ihrem Konto erstellt, aber von AWS verwaltet werden, und (2) AWS-eigene Schlüssel sind Schlüssel, die vollständig von AWS-Konten aus verwaltet werden. Sie können von AWS verwaltete Schlüssel in Ihrem Konto verfolgen. Die gesamte Nutzung wird in CloudTrail protokolliert, Sie haben aber keine direkte Kontrolle über die Schlüssel selbst. AWS-eigene Schlüssel sind am stärksten automatisiert und ermöglichen die Verschlüsselung Ihrer Daten innerhalb von AWS, bieten jedoch keine Richtlinienkontrollen oder CloudTrail-Protokolle über ihre Schlüsselaktivitäten.

F: Warum sollte ich meine eigenen AWS-KMS-Schlüssel erstellen?
Mit der Erstellung Ihres eigenen KMS-Schlüssels haben Sie mehr Kontrolle als mit von AWS verwalteten KMS-Schlüsseln. Wenn Sie einen symmetrischen, vom Kunden verwalteten KMS-Schlüssel erstellen, können Sie wählen, ob Sie von AWS KMS generiertes Schlüsselmaterial verwenden, das innerhalb eines AWS-CloudHSM-Clusters oder eines externen Schlüsselmanagers (über den benutzerdefinierten Schlüsselspeicher) generiert wurde, oder ob Sie Ihr eigenes Schlüsselmaterial importieren. Sie können einen Alias und eine Beschreibung für den Schlüssel festlegen und auswählen, ob der Schlüssel einmal im Jahr automatisch rotiert werden soll, wenn er von AWS KMS erzeugt wurde. Sie können auch alle Berechtigungen für den Schlüssel festlegen und so steuern, wer den Schlüssel verwenden oder verwalten darf. Bei asymmetrischen kundenverwalteten KMS-Schlüsseln gibt es eine Reihe von Vorsichtsmaßnahmen bezüglich der Verwaltung: Das Schlüsselmaterial kann nur innerhalb von AWS-KMS-HSMs generiert werden. Außerdem ist keine automatische Schlüsselrotation möglich.

F: Kann ich meine eigenen Schlüssel in AWS KMS verwenden?
Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung nach AWS KMS importieren und mit allen integrierten AWS-Services sowie innerhalb Ihrer eigenen Anwendungen verwenden. Sie können keine asymmetrischen KMS-Schlüssel in AWS KMS importieren.

F: Wann sollte ich einen importierten Schlüssel verwenden?
Sie können einen importierten Schlüssel verwenden, um eine größere Kontrolle über das Erstellen, das Lebenszyklusmanagement und die Zuverlässigkeit Ihres Schlüssels in AWS KMS zu erhalten. Importierte Schlüssel sind dazu konzipiert, Sie beim Erfüllen Ihrer Compliance-Anforderungen zu unterstützen. Dazu gehören möglicherweise die Fähigkeit zum Generieren oder Aufbewahren einer sicheren Kopie des Schlüssels in Ihrer Infrastruktur sowie die Fähigkeit zum sofortigen Löschen der importierten Kopie des Schlüssels aus der AWS-Infrastruktur.

F: Welche Arten von Schlüsseln kann ich importieren?
Sie können symmetrische 256-Bit-Schlüssel importieren.

F: Wie wird der Schlüssel, den ich nach AWS KMS importiere, während der Übertragung geschützt?
Während des Importvorgangs muss Ihr Schlüssel in einem von AWS KMS bereitgestellten öffentlichen Schlüssel verpackt sein, wobei eines der beiden RSA PKCS#1 Schemata zu verwenden ist. Damit wird sichergestellt, dass Ihr verschlüsselter Schlüssel nur von AWS KMS entschlüsselt werden kann.

F: Was ist der Unterschied zwischen einem Schlüssel, den ich importiere und einem Schlüssel, den ich in AWS KMS generiere?
Es gibt zwei Hauptunterschiede:

  1. Sie sind für die Aufbewahrung einer Kopie Ihrer importierten Schlüssel in Ihrer Schlüsselverwaltungsinfrastruktur verantwortlich, damit Sie sie jederzeit erneut importieren können. AWS überprüft jedoch die Verfügbarkeit, Sicherheit und Zuverlässigkeit der Schlüssel, die von AWS KMS für Sie erstellt wurden, bis Sie die Schlüssel zum Löschen freigeben.
  2. Sie können für einen importierten Schlüssel ein Ablaufdatum festlegen. AWS KMS löscht das Schlüsselmaterial automatisch nach der Ablaufzeit. Sie können importiertes Schlüsselmaterial auch bei Bedarf löschen. In beiden Fällen wird das Schlüsselmaterial selbst gelöscht, aber die KMS-Schlüssel-Referenz in AWS KMS und verknüpften Metadaten wird beibehalten, damit das Schlüsselmaterial in Zukunft erneut importiert werden kann. Von AWS KMS erzeugte Schlüssel haben keine Ablaufzeit und können nicht sofort gelöscht werden. Es gibt eine obligatorische Wartezeit von 7 bis 30 Tagen. Alle kundenverwalteten KMS-Schlüssel, unabhängig davon, ob das Schlüsselmaterial importiert wurde, können manuell deaktiviert oder zur Löschung bestimmt werden. In diesem Fall wird der KMS-Schlüssel selbst gelöscht, nicht nur das zugrundeliegende Schlüsselmaterial.

F: Kann ich meine Schlüssel rotieren?
Ja. Sie können auswählen, dass AWS KMS KMS-Schlüssel automatisch jährlich rotiert, solange diese Schlüssel innerhalb von AWS-KMS-HSMs generiert wurden. Die automatische Schlüsselrotation wird nicht für importierte Schlüssel, asymmetrische Schlüssel oder Schlüssel unterstützt, die mithilfe der AWS KMS-Funktion für benutzerdefinierte Schlüsselspeicher in einem CloudHSM-Cluster generiert wurden. Wenn Sie Schlüssel in AWS KMS importieren oder asymmetrische Schlüssel oder einen benutzerdefinierten Schlüsselspeicher verwenden möchten, können Sie die Schlüssel manuell rotieren, indem Sie einen neuen KMS-Schlüssel erstellen und einen vorhandenen Schlüssel-Alias des alten KMS-Schlüssels dem neuen KMS-Schlüssel zuweisen.

F: Muss ich meine Daten erneut verschlüsseln, wenn die Schlüssel in AWS KMS rotiert werden?
Wenn Sie wählen, dass AWS KMS Schlüssel automatisch rotieren soll, brauchen Sie Ihre Daten nicht erneut zu verschlüsseln. AWS KMS bewahrt frühere Schlüsselversionen automatisch auf, sodass auch unter einer älteren Schlüsselversion verschlüsselte Daten entschlüsselt werden können. Alle neuen Anforderungen zur Verschlüsselung mit einem Schlüssel in AWS KMS werden unter der neuesten Version des Schlüssels verschlüsselt.

Wenn Sie Ihre importierten oder aus benutzerdefinierten Schlüsselspeichern stammenden Schlüssel manuell rotieren, müssen Sie Ihre Daten möglicherweise erneut verschlüsseln, abhängig davon, ob alte Versionen der Schlüssel weiterhin verfügbar bleiben sollen.

F: Kann ich einen Schlüssel aus AWS KMS löschen?
Ja. Sie können einen Zeitplan zur Löschung für einen AWS-KMS-Schlüssel, den Sie in AWS KMS erstellt haben, und verknüpfte Metadaten festlegen, und zwar mit einer konfigurierbaren Wartezeit von 7 bis 30 Tagen. Diese Wartezeit hilft Ihnen, die Auswirkungen des Löschens eines Schlüssels auf Ihre Anwendungen und Benutzer, die davon abhängig sind, zu überprüfen. Die standardmäßige Wartezeit beträgt 30 Tage. Sie können die Schlüssellöschung während der Wartezeit stornieren. Wenn ein Schlüssel zur Löschung vorgesehen ist, kann er erst wieder verwendet werden, wenn die Löschung während der Wartezeit storniert wird. Der Schlüssel wird am Ende der konfigurierbaren Wartezeit gelöscht, wenn Sie die Löschung nicht stornieren. Nachdem der Schlüssel gelöscht wurde, können Sie ihn nicht mehr verwenden. Unter einem gelöschten Stamm-Schlüssel geschützte Daten sind nicht mehr zugänglich.

Für Kunden-AWS-KMS-Schlüssel mit importiertem Schlüsselmaterial können Sie das Schlüsselmaterial auf zwei Arten löschen, ohne die AWS-KMS-Schlüssel-ID oder die Metadaten zu löschen. Erstens können Sie Ihr importiertes Schlüsselmaterial nach Belieben ohne eine Wartezeit löschen. Zweitens können Sie beim Importieren des Schlüsselmaterials in den AWS-KMS-Schlüssel eine Ablaufzeit festlegen, wie lange AWS Ihr importiertes Schlüsselmaterial verwenden kann, bevor es gelöscht wird. Sie können Ihr Schlüsselmaterial erneut in den AWS-KMS-Schlüssel importieren, wenn Sie es erneut verwenden müssen.

F: Was sollte ich tun, wenn mein importiertes Schlüsselmaterial abgelaufen ist oder ich es aus Versehen gelöscht habe?
Sie können Ihre Kopie des Schlüsselmaterials mit einem gültigen Ablaufzeitraum unter dem ursprünglichen AWS-KMS-Schlüssel erneut in AWS KMS importieren, damit es verwendet werden kann.

F: Kann ich benachrichtigt werden, dass ich den Schlüssel erneut importieren muss?
Ja. Nachdem Sie Ihren Schlüssel in einen AWS-KMS-Schlüssel importiert haben, erhalten Sie alle paar Minuten eine CloudWatch-Metrik, die die Zeit bis zum Ablauf des importierten Schlüssels herunterzählt. Sie erhalten außerdem ein CloudWatch-Ereignis, sobald der importierte Schlüssel unter Ihrem AWS-KMS-Schlüssel abläuft. Sie können eine Logik erstellen, die aufgrund dieser Metriken oder Ereignisse aktiv wird und den Schlüssel automatisch mit einer neuen Ablaufzeit erneut importiert, um Risiken im Hinblick auf die Verfügbarkeit zu vermeiden.

F: Kann ich AWS KMS für die Verwaltung der Datenverschlüsselung außerhalb der AWS-Cloud-Services nutzen?
Ja. AWS KMS wird in AWS SDKs, im AWS Encryption SDK, bei der Client-seitigen Verschlüsselung von Amazon DynamoDB und im Amazon-Simple-Storage-Service-Verschlüsselungsclient (S3) unterstützt. Das erleichtert die Verschlüsselung von Daten in Ihren eigenen Anwendungen, unabhängig davon, wo diese ausgeführt werden. Besuchen Sie die Webseiten AWS Crypto Tools und Entwickeln auf AWS für weitere Informationen.

F: Gibt es eine Begrenzung für die Anzahl der Schlüssel, die ich in AWS KMS erstellen kann?
Sie können bis zu 100 000 KMS-Schlüssel pro Konto und Region erstellen. Da sowohl aktivierte als auch deaktivierte KMS-Schlüssel hinsichtlich des Limits berücksichtigt werden, sollten Sie deaktivierte Schlüssel, die Sie nicht mehr verwenden, löschen. Für Sie zur Verwendung in unterstützten AWS-Services erstellte, von AWS verwaltete KMS-Schlüssel zählen bei dieser Beschränkung nicht mit. Die Anzahl der Datenschlüssel, die von einem KMS-Schlüssel abgeleitet und in Ihrer Anwendung oder für Sie von AWS-Services zur Verschlüsselung von Daten verwendet werden, ist nicht beschränkt. Eine Erhöhung des Limits für KMS-Schlüssel können Sie im AWS Support Center anfordern.

F: Welche Typen von symmetrischen Schlüsseln und Algorithmen werden unterstützt?
AWS KMS unterstützt bei der KMS-Schlüssel-Erstellung 256-Bit-Schlüssel. Generierte Datenschlüssel, die an den Aufrufer zurückgegeben werden, können 256-Bit- oder 128-Bit-Schlüssel sein oder einen beliebigen Wert von bis zu 1 024 Bytes aufweisen. Wenn AWS KMS für Sie einen 256-Bit-KMS-Schlüssel verwendet, wird der AES-Algorithmus im Galois Counter Mode (AES-GCM) verwendet.

F: Welche Typen von asymmetrischen Schlüsseln werden unterstützt?
AWS KMS unterstützt die folgenden Typen asymmetrischer Schlüssel: RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521 und ECC SECG P-256k1.

F: Welche Typen von asymmetrischen Verschlüsselungsalgorithmen werden unterstützt?
AWS KMS unterstützt die RSAES_OAEP_SHA_1- und RSAES_OAEP_SHA_256-Verschlüsselungsalgorithmen mit den Schlüsseltypen RSA 2048, RSA 3072 und RSA 4096. Verschlüsselungsalgorithmen können nicht mit den Schlüsseltypen für elliptische Kurven (ECC NIST P-256, ECC NIST P-384, ECC NIST-521 und ECC SECG P-256k1) verwendet werden.

F: Welche Typen von asymmetrischen Signierungsalgorithmen werden unterstützt?
Bei der Verwendung von RSA-Schlüsseltypen unterstützt AWS KMS die Signierungsalgorithmen RSASSA_PSS_SHA_256, RSASSA_PSS_SHA_384, RSASSA_PSS_SHA_512, RSASSA_PKCS1_V1_5_SHA_256, RSASSA_PKCS1_V1_5_SHA_384 und RSASSA_PKCS1_V1_5_SHA_512.
Bei der Verwendung von Schlüsseltypen für elliptische Kurven unterstützt AWS KMS die Signierungsalgorithmen ECDSA_SHA_256, ECDSA_SHA_384 und ECDSA_SHA_512.

F: Können alle symmetrischen KMS-Schlüssel aus dem Service in Klartext exportiert werden? 
Nein. Alle KMS-Schlüssel oder der private Teil eines asymmetrischen KMS-Schlüssels kann nicht aus den HSMs in Klartext exportiert werden. Nur der öffentliche Teil eines asymmetrischen KMS-Schlüssel kann aus der Konsole oder durch Aufrufen der „GetPublicKey“-API exportiert werden.

F: Können Datenschlüssel und Datenschlüsselpaare aus den HSMs in Klartext exportiert werden?
Ja. Die symmetrischen Datenschlüssel können mithilfe der GenerateDataKey-API oder der GenerateDataKeyWithoutPlaintext-API exportiert werden. Außerdem können der private und der öffentliche Teil asymmetrischer Datenschlüsselpaare aus AWS KMS mithilfe der GenerateDataKeyPair-API oder der GenerateDataKeypairWithoutPlaintext-API exportiert werden

F: Wie werden Datenschlüssel und Datenschlüsselpaare für die Speicherung außerhalb des Service geschützt?
Der symmetrische Datenschlüssel oder der private Teil des asymmetrischen Datenschlüssels wird unter dem symmetrischen KMS-Schlüssel verschlüsselt, den Sie definieren, wenn Sie die Generierung des Datenschlüssels durch AWS KMS anfordern.

F: Wie verwende ich den öffentlichen Teil eines asymmetrischen KMS-Schlüssels?
Der öffentliche Teil des asymmetrischen Schlüsselmaterials wird in AWS KMS generiert und kann für die digitale Signaturüberprüfung durch Aufrufen der „Verify“-API oder für die Verschlüsselung des öffentlichen Schlüssels durch Aufrufen der „Encrypt“-API verwendet werden. Der öffentliche Schlüssel kann auch außerhalb von AWS KMS zur Überprüfung oder Verschlüsselung verwendet werden. Sie können die GetPublicKey-API aufrufen, um den öffentlichen Teil des asymmetrischen KMS-Schlüssel abzurufen.

F: Was ist das Größenlimit für Daten, die für asymmetrische Vorgänge an AWS KMS gesendet werden? 
Das Größenlimit beträgt 4 KB. Wenn Sie Daten, die größer als 4 KB sind, digital signieren möchten, können Sie einen Nachrichtenauszug der Daten erstellen und an AWS KMS senden. Die digitale Signatur wird über den Auszug der Daten erstellt und zurückgegeben. Sie geben als Parameter in der Sign-API-Anforderung an, ob Sie die vollständige Nachricht oder einen Nachrichtenauszug senden. Auch alle Daten, die an die Encrypt-, Decrypt- oder Re-Encrypt-APIs gesendet werden und die Verwendung asymmetrischer Vorgänge erfordern, müssen kleiner als 4 KB sein.

F: Wie kann ich zwischen von mir erstellten symmetrischen und asymmetrischen KMS-Schlüsseln unterscheiden?
In der Konsole verfügt jeder Schlüssel über ein neues Feld namens Schlüsseltyp. Es hat den Wert asymmetrischer Schlüssel oder symmetrischer Schlüssel. Die DescribeKey-API gibt ein KeyUsage-Feld zurück, das angibt, ob der Schlüssel zum Signieren oder Verschlüsseln verwendet werden kann.

F: Wird das automatische Rotieren asymmetrischer HMAC-KMS-Schlüssel unterstützt? 
Nein. Automatisches Rotieren wird für asymmetrische oder HMAC-KMS-Schlüssel nicht unterstützt. Sie können sie manuell durch Erstellen eines neuen KMS-Schlüssels und Zuweisen eines vorhandenen Schlüsselalias aus dem alten KMS-Schlüssel zum neuen KMS-Schlüssel rotieren.

F: Kann ein einziger asymmetrischer KMS-Schlüssel sowohl zum Verschlüsseln als auch zum Signieren verwendet werden? 
Nein. Beim Erstellen eines KMS-Schlüssels müssen Sie angeben, ob der Schlüssel für Verschlüsselungs- oder Signiervorgänge verwendet werden soll. Ein RSA-Schlüsseltyp kann für Signier- oder Verschlüsselungsvorgänge verwendet werden, aber nicht für beides. Schlüsseltypen für elliptische Kurven können nur für Signiervorgänge verwendet werden.

F: Gibt es Service Limits aufgrund von asymmetrischen Schlüsseln? 
Ja. Die Limits für Anfragen pro Sekunde unterscheiden sich je nach Schlüsseltyp und Algorithmus. Weitere Informationen finden Sie auf der Seite zu AWS-KMS-Limits.

F: Funktionieren asymmetrische Schlüssel mit benutzerdefinierten AWS-KMS-Schlüsselspeichern oder der Funktion zum Import von Schlüsseln? 
Nein. Sie können die Funktion für benutzerdefinierte Schlüsselspeicher nicht mit asymmetrischen Schlüsseln verwenden. Außerdem können Sie auch keine asymmetrischen Schlüssel in AWS KMS importieren.

F: Kann ich asymmetrische KMS-Schlüssel für digitale Signieranwendungen verwenden, die digitale Zertifikate benötigen?
Nicht direkt. AWS KMS kann keine digitalen Zertifikate mit von AWS KMS erstellten asymmetrischen KMS-Schlüssel speichern oder zuordnen. Sie können allerdings eine Zertifizierungsstelle wie AWS Private Certificate Authority verwenden, um ein Zertifikat für den öffentlichen Teil des asymmetrischen KMS-Schlüssel auszustellen. Auf diese Weise können die Entitäten, die Ihren öffentlichen Schlüssel nutzen, prüfen, ob der öffentliche Schlüssel tatsächlich Ihnen gehört.

F: Für welche Anwendungsszenarien sollte ich AWS Private Certificate Authority anstatt AWS KMS verwenden?
Der Hauptgrund für das Verwenden des AWS-Private-CA-Service das Bereitstellen einer öffentlichen Schlüsselinfrastruktur (Public Key Infrastructure, PKI), um Entitäten zu identifizieren und Netzwerkverbindungen zu sichern. PKI stellt Prozesse und Mechanismen bereit, vor allem unter Verwendung von X.509-Zertifikaten, um kryptografische Vorgänge für öffentliche Schlüssel mit einer Struktur zu umgeben. Zertifikate stellen eine Zuordnung zwischen einer Identität und einem öffentlichen Schlüssel bereit. Der Zertifizierungsprozess, in dem eine Zertifizierungsstelle ein Zertifikat ausgibt, ermöglicht der vertrauenswürdigen Zertifizierungsstelle die Überprüfung der Identität einer anderen Entität durch Signieren eines Zertifikats. PKI stellt Identität, dezentrale Vertrauensstellung und Schlüssellebenszyklus-Verwaltung sowie den Zertifikatsstatus bereit, der durch Widerruf weitergegeben wird. Durch diese Funktionen werden den zugrunde liegenden asymmetrischen kryptografischen Schlüsseln und Algorithmen, die durch AWS KMS bereitgestellt werden, wichtige Prozesse und Infrastrukturen hinzugefügt.

AWS Private CA hilft Ihnen das Ausstellen von Zertifikaten zum Identifizieren von Web- und Anwendungsservern, Service-Meshes, VPN-Benutzern, internen API-Endpunkten und AWS-IoT-Core-Geräten. Zertifikate helfen Ihnen die Identität dieser Ressourcen einzurichten und verschlüsselte TLS-/SSL-Kommunikationskanäle zu erstellen. Falls Sie erwägen, asymmetrische Schlüssel für die TLS-Terminierung auf Web- oder Anwendungsservern, Elastic Load Balancers, API-Gateway-Endpunkten, Amazon-Elastic-Compute-Cloud-Instances (EC2) oder Containern zu verwenden, sollten Sie AWS Private CA zum Ausstellen von Zertifikaten und Bereitstellen einer PKI-Infrastruktur verwenden.

Im Gegensatz dazu hilft Ihnen AWS KMS asymmetrische Schlüssel für digitale Signier- und/oder Verschlüsselungsvorgänge, die keine Zertifikate benötigen, zu generieren, zu verwalten und zu verwenden. Während Zertifikate die Überprüfung der Identitäten von Sender und Empfänger unter nicht vertrauenswürdigen Parteien ermöglichen können, ist die Art der grundlegenden asymmetrischen Vorgänge, die von AWS KMS angeboten wird, normalerweise dann hilfreich, wenn Sie über andere Mechanismen zum Überprüfen von Identitäten verfügen oder diese nicht überprüft werden müssen, um den gewünschten Sicherheitsvorteil zu erhalten.

F: Kann die die kryptografischen API-Anbieter meiner Anwendungen mit AWS KMS verwenden, beispielsweise OpenSSL, JCE, Bouncy Castle oder CNG?
AWS KMS stellt keine systemeigene Integration für andere kryptografische API-Anbieter bereit. Sie müssen AWS KMS-APIs direkt oder durch das AWS SDK verwenden, um Signier- und Verschlüsselungsfunktionen in Ihren Anwendungen zu integrieren.

F: Bietet AWS KMS ein Service Level Agreement (SLA) an?
Ja. Das AWS KMS SLA sieht eine Service-Gutschrift vor, wenn Ihr monatlicher Verfügbarkeitsprozentsatz in jedem Abrechnungszyklus unter unserer Service-Verpflichtung liegt.

Sicherheit

F: Wer kann meine Schlüssel in AWS KMS verwenden und verwalten?
AWS KMS erzwingt die Verwendung der von Ihnen definierten Management-Richtlinien. Sie können auswählen, welche IAM-Benutzer und -Rollen in Ihrem Konto oder anderen Konten Ihre Schlüssel verwenden und verwalten dürfen.

F: Wie schützt AWS die von mir erstellten KMS-Schlüssel?
AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre KMS-Schlüssel im Klartext aus dem Service abrufen kann. AWS KMS verwendet Hardware-Sicherheitsmodule (HSMs), die gemäß FIPS 140-2 validiert wurden oder derzeit validiert werden, um die Vertraulichkeit und Integrität Ihrer Schlüssel zu schützen. Ihre Klartext-KMS-Schlüssel verlassen nie die HSMs, werden zu keiner Zeit auf die Festplatte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. Aktualisierungen der Software auf den Service-Hosts und der AWS-KMS-HSM-Firmware werden durch eine Mehrparteien-Zugangskontrolle gesteuert, die von einer unabhängigen Gruppe innerhalb von Amazon sowie einem NIST-zertifizierten Labor gemäß FIPS 140-2 geprüft und überprüft wird.

Weitere Informationen über diese Sicherheitskontrollen finden Sie im Whitepaper AWS KMS kryptografische Details. Sie können auch das FIPS-140-2-Zertifikat für AWS-KMS-HSM und die zugehörige Sicherheitsrichtlinie lesen. Dort finden Sie weitere Informationen dazu, wie AWS-KMS-HSM die Sicherheitsanforderungen von FIPS 140-2 erfüllt. Außerdem können Sie eine Kopie des Berichts Service Organization Controls (SOC) von AWS Artifact herunterladen, um weitere Informationen zu den Sicherheitskontrollen zu erhalten, die vom Service zum Schutz Ihrer KMS-Schlüssel verwendet werden.

F: Wie migriere ich meine vorhandenen AWS-KMS-Schlüssel für die Verwendung von FIPS-140-2-validierten HSMs?
Alle AWS-KMS-Schlüssel werden unabhängig von ihrem Erstellungsdatum oder ihrer Herkunft automatisch mithilfe von HSMs geschützt, die gemäß FIPS-140-2 validiert wurden oder derzeit validiert werden. Sie selbst müssen keine Maßnahmen ergreifen, damit die FIPS 140-2-validierten HSMs verwendet werden.

F: Welche AWS-Regionen verfügen über FIPS 140-2-validierte HSMs?
FIPS 140-2-validierte HSMs sind in allen AWS-Regionen verfügbar, in denen AWS KMS angeboten wird.

F: Worin besteht der Unterschied zwischen den FIPS 140-2-validierten Endpunkten und den FIPS 140-2-validierten HSMs in AWS KMS?
AWS KMS ist ein zweistufiger Service. Die API-Endpunkte erhalten Clientanforderungen über eine HTTPS-Verbindung. Dabei werden ausschließlich TLS-Ciphersuites verwendet, die Perfect Forward Secrecy unterstützen. Diese API-Endpunkte authentifizieren und autorisieren die Anforderung, bevor diese für eine kryptografische Operation an die HSMs von AWS KMS oder Ihren AWS CloudHSM-Cluster (falls Sie den benutzerdefinierten Schlüsselspeicher von KMS verwenden) übergeben wird.

F: Wie kann ich unter Verwendung der FIPS 140-2-validierten Endpunkte API-Anforderungen an AWS KMS stellen?
Sie konfigurieren Ihre Anwendungen für die Herstellung einer Verbindung zu den eindeutigen regionalen FIPS 140-2 validierten HTTPSEndpunkten. Die FIPS 140-2-validierten HTTPS-Endpunkte in AWS KMS basieren auf dem OpenSSL FIPS Object Module. Sie können die Sicherheitsrichtlinien für das OpenSSL-Modul hier einsehen. FIPS 140-2-validierte API-Endpunkte sind in allen Handelsregionen verfügbar, in denen AWS KMS erhältlich ist.

F: Kann ich mit AWS KMS die Anforderungen an Verschlüsselung und Schlüsselverwaltung des Payment Card Industry Data Security Standard (PCI DSS 3.2.1) einhalten?
Ja. AWS KMS verfügt nachweislich über die Funktionalität und Sicherheitskontrollen, die die Einhaltung der Anforderungen an Verschlüsselung und Schlüsselverwaltung (hauptsächlich festgelegt in den Abschnitten 3.5 und 3.6) des PCI DSS 3.2.1 ermöglichen.

Weitere Informationen über PCI DSS-konforme Services in AWS finden Sie unter PCI DSS FAQs.

F: Wie schützt AWS KMS die Datenschlüssel, die ich exportiere und in meiner Anwendung einsetze?
Sie können die Generierung von Datenschlüsseln durch AWS KMS anfordern und sie zur Verwendung in Ihrer eigenen Anwendung ausgeben. Die Datenschlüssel sind unter einem Stammschlüssel verschlüsselt, den Sie in AWS KMS definieren, sodass Sie den verschlüsselten Datenschlüssel gefahrlos mit Ihren verschlüsselten Daten speichern können. Ihre verschlüsselten Datenschlüssel (und folglich Ihre Quelldaten) können nur durch Benutzer entschlüsselt werden, die zur Verwendung des ursprünglichen Stammschlüssels zur Entschlüsselung des Datenschlüssels berechtigt sind.

F: Kann ich einen AWS-KMS-Schlüssel exportieren und in meinen eigenen Anwendungen verwenden?
Nein. AWS KMS-Schlüssel werden nur innerhalb des Services erstellt und verwendet, um ihre Sicherheit zu überprüfen, Ihre Richtlinien konsequent durchzusetzen und ein zentrales Protokoll ihrer Verwendung zu erstellen.

F: In welcher geografischen Region werden meine Schlüssel gespeichert?
Ein von AWS KMS generierter KMS-Schlüssel für eine einzelne Region wird nur in der Region gespeichert und verwendet, in der er erstellt wurde. Mit AWS KMS-Schlüsseln für mehrere Regionen können Sie einen Primärschlüssel für mehrere Regionen in mehrere Regionen innerhalb derselben AWS-Partition replizieren.

F: Wie kann ich feststellen, wer die Konfiguration meiner Schlüssel in AWS KMS verwendet oder geändert hat?
Protokolle in AWS CloudTrail zeigen alle AWS KMS-API-Anforderungen, einschließlich Verwaltungsanfragen (z. B. Erstellen, Rotieren, Deaktivieren, Bearbeitung von Richtlinien) und Verschlüsselungsanforderungen (z. B. Verschlüsselung/Entschlüsselung). Aktivieren Sie CloudTrail in Ihrem Konto, um diese Protokolle anzuzeigen.

F: Wie unterscheidet sich AWS KMS von CloudHSM?
CloudHSM stellt Ihnen einen insgesamt auf FIPS 140-2 Level 3 validierten HSM-Cluster mit einem einzelnen Mandanten in Ihrer Amazon Virtual Private Cloud (VPC) bereit, um Ihre Schlüssel zu speichern und zu verwenden. Sie besitzen durch eine von AWS unabhängigen Authentifizierungsmechanismus die alleinige Kontrolle darüber, wie Ihre Schlüssel verwendet werden. Sie interagieren mit Schlüsseln in Ihrem CloudHSM-Cluster ähnlich wie mit Ihren Anwendungen, die in Amazon EC2 ausgeführt werden. Sie können CloudHSM zur Unterstützung diverser Anwendungsfälle einsetzen, darunter Digital Rights Management (DRM), Public Key Infrastructure (PKI), Dokumentensignierung und kryptografische Funktionen unter Verwendung von PKCS#11-, Java JCE- oder Microsoft CNG-Schnittstellen.

AWS KMS hilft Ihnen die Verschlüsselungsschlüssel, die Ihre Anwendungen und unterstützte AWS-Services in mehreren Regionen auf der ganzen Welt verwenden, von einer einzigen Konsole aus zu erstellen und zu kontrollieren. Der Service verwendet ein FIPS-HSM, das gemäß FIPS 140-2 validiert wurde oder derzeit validiert wird, um die Sicherheit Ihrer Schlüssel zu gewährleisten. Die zentrale Verwaltung aller Ihrer Schlüssel in AWS KMS hilft Ihnen festzulegen, wer Ihre Schlüssel unter welchen Bedingungen verwenden darf, wann sie rotiert werden und wer sie verwaltet. Aufgrund der Integration von AWS KMS in CloudTrail können Sie zur Unterstützung Ihrer gesetzlichen und Compliance-Maßnahmen die Verwendung Ihrer Schlüssel überwachen. Sie interagieren mit AWS KMS in Ihren Anwendungen entweder durch das AWS SDK, wenn Sie die Service-APIs direkt aufrufen möchten, durch andere, in AWS KMS integrierte AWS-Services oder durch Verwendung des AWS-Verschlüsselungs-SDK, wenn Sie eine clientseitige Verschlüsselung durchführen möchten.

Fakturierung

F: Wie wird mir AWS KMS in Rechnung gestellt?
Bei AWS KMS zahlen Sie nur für das, was Sie auch tatsächlich nutzen. Es fallen keine Mindestgebühren an. Sie können mit der Verwendung dieses Service beginnen, ohne dass Ihnen Einrichtungsgebühren oder sonstige Verpflichtungen entstehen. Am Monatsende wird Ihre Kreditkarte automatisch mit den Nutzungsgebühren für den betreffenden Monat belastet.

Ihnen werden alle von Ihnen erstellten KMS-Schlüssel sowie Ihre API-Aufrufe an den Service monatlich in Rechnung gestellt, wenn ein kostenloses Kontingent überschritten wurde.

Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

F: Gibt es ein kostenloses Kontingent?
Ja. Mit dem kostenlosen AWS-Kontingent können Sie AWS KMS in allen Regionen kostenlos* verwenden. Von AWS verwaltete AWS-KMS-Schlüssel, die in Ihrem Auftrag von AWS-Services erstellt wurden, können Sie kostenlos in Ihrem Konto speichern. Es gibt ein kostenloses Kontingent für die Nutzung, das für jeden Monat eine bestimmte Anzahl kostenloser Anforderungen an den Service bereitstellt. Informationen zur Preisgestaltung einschließlich des kostenlosen Kontingents finden Sie auf der Seite mit der Preisübersicht zu AWS KMS.

*API-Anforderungen mit asymmetrischen KMS-Schlüssel und API-Anforderungen an die GenerateDataKeyPair- und GenerateDataKeyPairWithoutPlaintext-APIs sind vom kostenlosen Kontingent ausgeschlossen.

F: Sind Steuern bereits in den Preisen enthalten?
Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, darunter MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen finden Sie hier.

CloudHSM-Integration

F: Wie kann ich AWS KMS mit CloudHSM verbinden?
Der benutzerdefinierte Schlüsselspeicher von AWS KMS kombiniert die Konfigurationsmöglichkeiten vonCloudHSM mit der Integration und Benutzerfreundlichkeit von AWS KMS. Sie können Ihren eigenen CloudHSM-Cluster konfigurieren und AWS KMS autorisieren, diesen als dedizierten Schlüsselspeicher für Ihre Schlüssel anstatt des standardmäßigen AWS KMS-Schlüsselspeichers zu verwenden. Wenn Sie Schlüssel in AWS KMS erstellen, können Sie das Schlüsselmaterial auf Wunsch in Ihrem CloudHSM-Cluster generieren. KMS-Schlüssel, die in Ihrem benutzerdefinierten Schlüsselspeicher erzeugt werden, verlassen die HSMs im CloudHSM-Cluster nie als Klartext und alle AWS-KMS-Vorgänge, die diese Schlüssel verwenden, werden nur in Ihren HSMs durchgeführt. In jeder anderen Hinsicht entsprechen in Ihrem benutzerdefinierten Schlüsselspeicher gespeicherte KMS-Schlüssel anderen AWS-KMS-Schlüssel.

Zusätzliche Ratschläge dazu, ob die Verwendung eines benutzerdefinierten Schlüsselspeichers für Sie sinnvoll ist, finden Sie in diesem Blog.

F: Wofür benötige ich einen CloudHSM?
Da Sie die Kontrolle über Ihren CloudHSM-Cluster haben, können Sie den Lebenszyklus Ihrer KMS-Schlüssel unabhängig von AWS KMS verwalten. Es gibt vier Gründe, warum ein benutzerdefinierter Schlüsselspeicher für Sie nützlich sein könnte. Erstens besitzen Sie möglicherweise Schlüssel, die explizit in einer Einzelmandanten-HSM oder in einer HSM geschützt werden müssen, über die Sie direkte Kontrolle haben. Zweitens haben Sie möglicherweise Schlüssel, die in einer HSM gespeichert werden müssen, welche insgesamt bis FIPS 140-2 Level 3 validiert wurden (die in dem standardmäßigen AWS-KMS-Schlüsselspeicher verwendeten HSMs sind entweder validiert oder werden bis Level 2 validiert, mit Level 3 in mehreren Kategorien). Drittens müssen Sie möglicherweise in der Lage sein, Schlüsselmaterial sofort aus AWS KMS zu entfernen und einen unabhängigen Nachweis darüber zu erbringen. Schließlich müssen Sie womöglich die gesamte Verwendung Ihrer Schlüssel unabhängig von AWS KMS oder CloudTrail überprüfen können.

F: Wie verändert CloudHSM die Art und Weise, wie KMS-Schlüssel verwaltet werden?
Bei der Verwaltung von Schlüsseln in einem benutzerdefinierten Schlüsselspeicher unterstützt von CloudHSM gibt es im Vergleich zum standardmäßigen AWS-KMS-Schlüsselspeicher zwei Unterschiede. Sie können Schlüsselmaterial nicht in Ihren benutzerdefinierten Schlüsselspeicher importieren und AWS KMS kann Schlüssel nicht automatisch für Sie rotieren. In jeder anderen Hinsicht – unter anderem hinsichtlich der Typen von erzeugbaren Schlüsseln, der Verwendungsweise von Aliasnamen und der Definition von Richtlinien – werden Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher gespeichert werden, genau so verwaltet wie jeder andere kundenverwaltete AWS-KMS-KMS-Schlüssel.

F: Kann ich einen CloudHSM verwenden, um einen von AWS verwalteten KMS-Schlüssel zu speichern?
Nein, nur kundenverwaltete KMS-Schlüssel können in einem benutzerdefinierten Schlüsselspeicher von AWS KMS unterstützt von CloudHSM gespeichert und verwaltet werden. Von AWS verwaltete KMS-Schlüssel, die in Ihrem Auftrag von anderen AWS-Services zur Verschlüsselung Ihrer Daten erstellt werden, werden stets im standardmäßigen AWS-KMS-Schlüsselspeicher generiert und gespeichert.

F: Beeinflusst die Integration mit CloudHSM die Funktion der Verschlüsselungs-APIs in KMS?
Nein, API-Anfragen an AWS KMS zur Verwendung eines KMS-Schlüssels für die Ver- und Entschlüsselung von Daten werden identisch behandelt. Die Authentifizierungs- und Autorisierungsprozesse werden unabhängig davon ausgeführt, wo der Schlüssel gespeichert wird. Sämtliche Aktivitäten unter Verwendung eines Schlüssels in einem benutzerdefinierten Schlüsselspeicher unterstützt von CloudHSM werden auch identisch in AWS CloudTrail protokolliert. Die tatsächlichen Kryptografievorgänge geschehen jedoch exklusiv im benutzerdefinierten Schlüsselspeicher oder im standardmäßigen AWS-KMS-Schlüsselspeicher.

F: Wie kann ich die Verwendung von Schlüsseln in einem benutzerdefinierten Schlüsselspeicher prüfen?
Neben den Aktivitäten, die durch AWS KMS in CloudTrail protokolliert werden, bietet ein benutzerdefinierter Schlüsselspeicher drei weitere Prüfungsmechanismen. Erstens protokolliert CloudHSM auch alle API-Aktivitäten in CloudTrail, wie das Erstellen von Clustern und das Hinzufügen oder Entfernen von HSMs. Zweitens erfasst jeder Cluster auch seine eigenen lokalen Protokolle zur Aufzeichnung von Benutzer- und Schlüsselverwaltungsaktivitäten. Drittens kopiert jede CloudHSM-Instance die lokalen Benutzer- und Schlüsselaktivitätsprotokolle auf AWS CloudWatch.

F: Welche Auswirkungen hat die Verwendung von CloudHSM auf die Verfügbarkeit von Schlüsseln?
Die Verwendung eines benutzerdefinierten AWS-KMS-Schlüsselspeichers hilft Ihnen, dafür zu sorgen, dass Ihre Schlüssel für die Verwendung durch AWS KMS verfügbar sind. Konfigurationsfehler in CloudHSM und die versehentliche Löschung von Schlüsselmaterial in einem CloudHSM-Cluster können sich auf die Verfügbarkeit auswirken. Die Anzahl der verwendeten HSMs und Ihre Auswahl der Availability Zones (AZs) können sich ebenfalls auf die Resilienz Ihres Clusters auswirken. Wie bei jedem Schlüsselverwaltungssystem ist es wichtig, zu verstehen, sich die Verfügbarkeit von Schlüsseln auf die Wiederherstellung verschlüsselter Daten auswirken kann.

F: Welche Leistungsgrenzen sind bei einem CloudHSM zu erwarten?
Die Geschwindigkeit, mit der Schlüssel, die in einem benutzerdefinierten AWS-KMS-Schlüsselspeicher unterstützt von CloudHSM gespeichert wurden, über AWS-KMS-API-Aufrufe verwendet werden können, ist geringer als bei Schlüsseln, die im standardmäßigen AWS-KMS-Schlüsselspeicher gespeichert werden. Weitere Informationen zu den aktuellen Leistungsgrenzen finden Sie im AWS-KMS-Entwicklerhandbuch.

F: Mit welchen Kosten ist ein benutzerdefinierter Schlüsselspeicher unterstützt von CloudHSM verbunden?
Die Preise für AWS KMS bleiben bei der Verwendung eines benutzerdefinierten Schlüsselspeichers unverändert. Jeder benutzerdefinierte Schlüsselspeicher erfordert jedoch, dass Ihr AWS CloudHSM-Cluster mindestens zwei HSMs enthält. Diese HSMs werden zu den standardmäßigen AWS-CloudHSM-Preisen abgerechnet. Für die Verwendung eines benutzerdefinierten Schlüsselspeichers fallen keine zusätzlichen Gebühren an.

F: Welche zusätzlichen Fähigkeiten und Ressourcen sind zur Konfiguration eines CloudHSM erforderlich?
AWS KMS-Anwender, die einen benutzerdefinierten Schlüsselspeicher verwenden möchten, müssen weiterhin einen AWS-CloudHSM-Cluster einrichten, HSMs hinzufügen, die Benutzer der HSMs verwalten und möglicherweise HSMs aus Datensicherungen wiederherstellen. Dies sind sicherheitsempfindliche Aufgaben und Sie können überprüfen, dass die angemessenen Ressourcen und Organisationskontrollen vorhanden sind.

F: Kann ich Schlüssel in einen benutzerdefinierten Schlüsselspeicher importieren?
Nein, die Möglichkeit, Ihr eigenes Schlüsselmaterial in einen benutzerdefinierten Schlüsselspeicher von AWS KMS zu importieren, wird nicht unterstützt. Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher gespeichert werden, können nur in den HSMs generiert werden, die Ihren CloudHSM-Cluster bilden.

F: Kann ich Schlüssel zwischen dem standardmäßigen AWS KMS-Schlüsselspeicher und einem benutzerdefinierten Schlüsselspeicher migrieren?
Nein, die Möglichkeit, Schlüssel zwischen den unterschiedlichen Typen von AWS KMS-Schlüsselspeichern zu migrieren, wird aktuell nicht unterstützt. Alle Schlüssel müssen im Schlüsselspeicher erstellt werden, in dem sie verwendet werden, außer in Fällen, in denen Sie Ihr eigenes Schlüsselmaterial in den standardmäßigen AWS KMS-Schlüsselspeicher importieren.

F: Kann ich in einem benutzerdefinierten Schlüsselspeicher gespeicherte Schlüssel rotieren?
Die Möglichkeit, Schlüsselmaterial in einem benutzerdefinierten Schlüsselspeicher von AWS KMS automatisch zu rotieren, wird nicht unterstützt. Die Schlüsselrotation muss manuell erfolgen, indem Sie neue Schlüssel erstellen und von Ihrem Anwendungscode verwendete AWS-KMS-Schlüsselaliasnamen neu zuweisen, um die neuen Schlüssel für zukünftige Verschlüsselungsvorgänge zu verwenden.

F: Kann ich meinen CloudHSM-Cluster für andere Anwendungen verwenden?
Ja, AWS KMS erfordert keinen exklusiven Zugang zu Ihrem CloudHSM-Cluster. Wenn Sie bereits einen Cluster besitzen, können Sie ihn als benutzerdefinierten Schlüsselspeicher verwenden und für andere Anwendungen einsetzen. Wenn Ihr Cluster jedoch intensive AWS-KMS-fremde Workloads unterstützt, werden Sie möglicherweise einen reduzierten Durchsatz für Vorgänge mit KMS-Schlüsseln in Ihrem benutzerdefinierten Schlüsselspeicher verzeichnen. Gleichermaßen kann sich eine hohe AWS-KMS-Anforderungsrate an Ihren benutzerdefinierten Schlüsselspeicher auf andere Anwendungen auswirken.

F: Wo erfahre ich mehr über AWS CloudHSM?
Besuchen Sie die Webseite von AWS CloudHSM für einen Überblick zum Service und für weitere Informationen zur Konfiguration und Verwendung des Service lesen Sie das Benutzerhandbuch von AWS CloudHSM.  

Externer Schlüsselspeicher

F: Was ist ein externer Schlüsselspeicher (XKS)?
Ein externer Schlüsselspeicher ist ein benutzerdefinierter Schlüsselspeicher, der von einer externen Schlüsselverwaltungsinfrastruktur unterstützt wird, die Sie außerhalb von AWS besitzen und verwalten. Alle Ver- oder Entschlüsselungsvorgänge, die einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden in Ihrem Schlüsselmanager mit kryptografischen Schlüsseln und Operationen durchgeführt, die unter Ihrer Kontrolle stehen und für AWS physisch unzugänglich sind.

F: Warum sollte ich einen externen Schlüsselspeicher verwenden?
XKS kann Ihnen dabei helfen, Regeln oder Vorschriften einzuhalten, die vorschreiben, dass Verschlüsselungsschlüssel außerhalb von AWS unter Ihrer Kontrolle gespeichert und verwendet werden müssen.

F: Wie wird AWS KMS mit meinem externen Schlüsselmanager verbunden?
Anfragen an AWS KMS von integrierten AWS-Services in Ihrem Namen oder von Ihren eigenen Anwendungen werden an eine Komponente in Ihrem Netzwerk, den XKS Proxy, weitergeleitet. Der XKS Proxy ist eine Open-Source-API-Spezifikation, die Ihnen und Ihrem Schlüsselverwaltungsanbieter hilft, einen Service zu entwickeln, der diese Anfragen annimmt und sie an Ihre Schlüsselverwaltungsinfrastruktur weiterleitet, um deren Schlüssel für die Ver- und Entschlüsselung zu verwenden.

F: Welche externen Anbieter unterstützen die XKS-Proxy-Spezifikation?
Thales, Entrust, Salesforce, T-Systems, Atos, Fortanix und HashiCorp haben mit der Entwicklung von Lösungen begonnen, die mit der XKS-Proxy-Spezifikation kompatibel sind. Informationen zur Verfügbarkeit, zu den Preisen und zur Verwendung der Lösungen dieser Anbieter finden Sie in der jeweiligen Dokumentation. Wir ermutigen Sie und Ihren Partner für die Schlüsselverwaltungsinfrastruktur, die Open-Source-Spezifikation von XKS Proxy zu nutzen, um eine Lösung zu entwickeln, die Ihren Anforderungen entspricht. Die API-Spezifikation für XKS Proxy ist hier veröffentlicht.

F: Welche AWS-KMS-Funktionen unterstützen externe Schlüssel?
Externe Schlüssel unterstützen die folgenden symmetrischen Verschlüsselungsoperationen: Verschlüsseln, Wiederverschlüsseln, Entschlüsseln und Generieren von Datenschlüsseln.

F: Wie funktioniert XKS mit AWS-Services, die mit AWS KMS zur Datenverschlüsselung integriert sind?
Sie können XKS-Schlüssel verwenden, um Daten in jedem AWS-Service zu verschlüsseln, der mit AWS KMS integriert ist, indem Sie vom Kunden verwaltete Schlüssel verwenden. Sehen Sie sich die Liste der unterstützten Services hier an. AWS-Services rufen die AWS-KMS-GenerateDataKey-API auf, um einen eindeutigen Klartext-Datenschlüssel zur Verschlüsselung Ihrer Daten anzufordern. Der Datenschlüssel im Klartext wird zusammen mit einer verschlüsselten Kopie des Datenschlüssels an den Service zurückgesendet, die zusammen mit Ihren verschlüsselten Daten gespeichert wird. Um die verschlüsselte Kopie des Datenschlüssels zu erstellen, wird der Klartext-Datenschlüssel zunächst mit einem Schlüssel verschlüsselt, der in AWS KMS gespeichert ist und nur für Ihr AWS-Konto gilt. Dieser verschlüsselte Datenschlüssel wird dann an Ihre XKS-Proxy-Implementierung weitergeleitet, die mit Ihrem externen Schlüsselmanager verbunden ist, um ein zweites Mal unter dem Schlüssel verschlüsselt zu werden, den Sie in Ihrem externen Schlüsselmanager definieren. Der resultierende doppelt verschlüsselte Datenschlüssel wird in der Antwort auf die API-Anfrage GenerateDataKey zurückgegeben.

F: Was ist doppelte Verschlüsselung und wie funktioniert sie?
Die Netzwerkverbindung zwischen AWS KMS, Ihrer XKS Proxy-Implementierung und Ihrem externen Schlüsselmanager sollte mit einem Punkt-zu-Punkt-Verschlüsselungsprotokoll wie TLS geschützt sein. Um jedoch Ihre Daten zu schützen, die AWS KMS verlassen, bis sie Ihren externen Schlüsselmanager erreichen, verschlüsselt AWS KMS sie zunächst mit einem intern verwalteten KMS-Schlüssel in Ihrem Konto, der für jeden in Ihrem externen Schlüsselspeicher definierten KMS-Schlüssel spezifisch ist. Der resultierende Chiffriertext wird an Ihren externen Schlüsselmanager weitergeleitet, der ihn mit dem Schlüssel in Ihrem externen Schlüsselmanager verschlüsselt. Die doppelte Verschlüsselung bietet die Sicherheitskontrolle, dass kein verschlüsselter Text jemals entschlüsselt werden kann, ohne das Schlüsselmaterial in Ihrem externen Schlüsselmanager zu verwenden. Es bietet auch die Sicherheitskontrolle, dass der Chiffriertext, der das AWS-Netzwerk verlässt, mit den FIPS 140 zertifizierten AWS KMS HSMs verschlüsselt wird. Da Ihr externer Schlüsselmanager zum Entschlüsseln der Daten verwendet werden muss, werden Ihre verschlüsselten Daten unzugänglich, wenn Sie den Zugriff auf AWS KMS widerrufen.

F: Kann ich XKS-Schlüssel in meinen eigenen Anwendungen verwenden, die eine clientseitige Verschlüsselung implementieren?
Ja. XKS-Schlüssel können auch innerhalb Ihrer eigenen Anwendungen verwendet werden, wenn Sie eine clientseitige symmetrische Verschlüsselungslösung verwenden, die AWS KMS als Schlüsselanbieter nutzt. AWS-Open-Source-clientseitige Verschlüsselungslösungen wie das AWS Encryption SDK, S3 Encryption Client und DynamoDB Encryption Client unterstützen XKS-Schlüssel.

F: Ich habe AWS KMS bereits mit Standard-KMS-Schlüsseln, importierten KMS-Schlüsseln oder in meinem CloudHSM-Cluster gespeicherten Schlüsseln verwendet. Kann ich diese KMS-Schlüssel zu XKS migrieren oder vorhandene, unter XKS verschlüsselte Schlüssel wieder verschlüsseln?
Alle XKS-Schlüssel müssen als neue Schlüssel in KMS erstellt werden. Sie können bestehende KMS-Schlüssel nicht in XKS-Schlüssel migrieren, die in Ihrem externen Schlüsselmanager gehostet werden.

Sie können vorhandene Daten unter neu generierten XKS-Schlüsseln erneut verschlüsseln, vorausgesetzt, der AWS-Service oder Ihre eigene Anwendung unterstützt diese Aktion. Viele AWS-Services helfen Ihnen dabei, eine verschlüsselte Ressource zu kopieren und einen neuen KMS-Schlüssel zu bestimmen, mit dem die Kopie verschlüsselt wird. Sie können den XKS-Schlüssel im COPY-Befehl konfigurieren, der vom AWS-Service bereitgestellt wird. Sie können clientseitig verschlüsselte Daten in Ihren eigenen Anwendungen wieder verschlüsseln, indem Sie die KMS-ReEncrypt-API aufrufen und den XKS-Schlüssel konfigurieren.

F: Wie ist der Preis für XKS in KMS?
Wie alle Kundenmanager-Schlüssel kosten auch die XKS-Schlüssel 1 USD pro Monat und Schlüssel, bis sie gelöscht werden. Anfragen unter XKS-Schlüsseln werden zum gleichen Tarif wie alle anderen symmetrischen AWS KMS-Schlüssel berechnet. Erfahren Sie mehr über die Preise auf der AWS-KMS-Preisseite.

F: Ist eine automatische Schlüsseldrehung mit XKS-Schlüsseln möglich?
Nein. Die von AWS KMS bereitgestellte automatische Schlüsselrotation wird für XKS-Schlüssel nicht unterstützt. Das liegt daran, dass AWS KMS kein neues Schlüsselmaterial in Ihrem Namen erzeugen kann, da Sie den externen Schlüsselmanager kontrollieren, der die gesamte Schlüsselerzeugung und -speicherung durchführt. Um einen XKS-Schlüssel in AWS KMS zu drehen, müssen Sie einen brandneuen XKS-Schlüssel in Ihrem externen Schlüsselmanager erstellen und diesen Schlüssel für einen neuen KMS-Schlüssel konfigurieren, den Sie mit AWS KMS erstellen. Sie können dann Ihre AWS-Services oder clientseitigen Verschlüsselungsanwendungen so konfigurieren, dass sie den neuen XKS-Schlüssel für zukünftige Verschlüsselungsvorgänge verwenden. Solange frühere XKS-Schlüssel, die zur Erstellung früherer Chiffriertexte verwendet wurden, noch in AWS KMS aktiviert und in Ihrem externen Schlüsselmanager verfügbar sind, können Sie unter diesen XKS-Schlüsseln erfolgreich eine Entschlüsselungs-API-Anfrage stellen.

F: Wenn ich Schlüssel im externen Schlüsselspeicher deaktiviere, sperre oder lösche, wo sind meine Daten dann noch in der Cloud zugänglich?
Bei Services, die keine Schlüssel zwischenspeichern, schlägt der nächste API-Aufruf, der diesen XKS-KMS-Schlüssel verwendet, fehl. Einige Services implementieren das Zwischenspeichern von Datenschlüsseln oder andere Verfahren zur Schlüsselableitung aus Gründen der Leistung, der Latenz oder der KMS-Kostenverwaltung. Die Zwischenspeicherung dieser Schlüssel kann zwischen 5 Minuten und 24 Stunden variieren. Jede geschützte Ressource, die gerade in Gebrauch ist (z. B. eine RDS-Datenbank oder eine EC2-Instance), wird anders reagieren, nachdem Sie den Zugriff auf den Schlüssel verweigert haben. Einzelheiten finden Sie in der entsprechenden AWS-Service-Dokumentation.

F: Wie authentifiziere ich XKS-Proxy-Anfragen von AWS KMS an meinen externen Schlüsselmanager?
Um sich bei Ihrem externen Schlüsselspeicher-Proxy zu authentifizieren, signiert AWS KMS alle Anfragen an den Proxy mit AWS-SigV4-Zugangsdaten, die Sie auf Ihrem Proxy konfigurieren und an KMS weitergeben. AWS KMS authentifiziert Ihren externen Schlüsselspeicher-Proxy mit serverseitigen TLS-Zertifikaten. Optional kann Ihr Proxy gegenseitiges TLS aktivieren, um zusätzlich sicherzustellen, dass er nur Anfragen von AWS KMS annimmt.

F: Welche Arten von Autorisierungsrichtlinien kann ich für XKS-Schlüssel erstellen?
Alle üblichen AWS KMS-Autorisierungsmechanismen – IAM-Richtlinien, AWS KMS-Schlüsselrichtlinien, Zuweisungen –, die Sie mit anderen KMS-Schlüsseln verwenden, funktionieren auf die gleiche Weise für KMS-Schlüssel in externen Schlüsselspeichern.

Darüber hinaus haben Sie und/oder Ihre externen Schlüsselverwaltungspartner die Möglichkeit, eine zweite Ebene von Autorisierungskontrollen zu implementieren, die auf Anfrage-Metadaten basieren, die in jeder von AWS KMS an den XKS Proxy gesendeten Anfrage enthalten sind. Diese Metadaten umfassen den aufrufenden AWS-Benutzer/die aufrufende AWS-Rolle, den ARN des KMS-Schlüssels und die spezifische KMS-API, die angefordert wurde. Damit können Sie eine differenzierte Autorisierungsrichtlinie für die Verwendung eines Schlüssels in Ihrem externen Schlüsselmanager anwenden, die über das einfache Vertrauen in jede Anfrage von AWS KMS hinausgeht. Die Wahl der Durchsetzung von Richtlinien mit Hilfe dieser Anfrageattribute bleibt Ihren individuellen XKS-Proxy-Implementierungen überlassen.

F: Wie funktioniert die Protokollierung und Prüfung mit XKS?
Die eindeutige ID, die für jede an AWS KMS gerichtete Anfrage mit XKS-Schlüsseln generiert wird, wird auch an den XKS-Proxy weitergeleitet. Sie können die Protokolldaten (falls verfügbar) von Ihrem XKS-Proxy oder externen Schlüsselmanager verwenden, um die an AWS KMS gestellten Anfragen mit denen an Ihren externen Schlüsselmanager abzugleichen. Mit dieser Funktion können Sie überprüfen, ob alle Anfragen zur Verwendung von Schlüsseln in Ihrem externen Schlüsselmanager von einem Anruf stammen, den Sie entweder direkt oder über einen integrierten AWS-Service an AWS KMS gerichtet haben.

F: Welche Risiken gehe ich ein, wenn ich mich für XKS entscheide, anstatt die Standard-KMS-Schlüssel zu verwenden, die in AWS KMS generiert und gespeichert werden?
Verfügbarkeitsrisiko: 
Sie sind für die Verfügbarkeit des XKS Proxy und des externen Schlüsselmaterials verantwortlich. Dieses System muss hochverfügbar sein, um sicherzustellen, dass immer dann, wenn Sie einen XKS-Schlüssel benötigen, um eine verschlüsselte Ressource zu entschlüsseln oder neue Daten zu verschlüsseln, AWS KMS sich erfolgreich mit dem XKS-Proxy verbinden kann, der seinerseits eine Verbindung zu Ihrem externen Schlüsselmanager herstellen kann, um die erforderliche kryptografische Operation mit dem Schlüssel durchzuführen. Angenommen, Sie haben ein EBS-Volume mit einem XKS-Schlüssel verschlüsselt und möchten nun eine EC2-Instance starten und dieses verschlüsselte Volume anhängen. Der EC2-Service gibt den eindeutigen verschlüsselten Datenschlüssel für dieses Volume an AWS KMS weiter, um ihn zu entschlüsseln, damit er im flüchtigen Speicher der Nitro-Karte bereitgestellt werden kann, um Lese-/Schreibvorgänge auf dem Volume zu entschlüsseln und zu verschlüsseln. Wenn Ihr XKS Proxy oder externer Schlüsselmanager nicht verfügbar ist, um den Volume-Schlüssel zu entschlüsseln, kann Ihre EC2-Instance nicht gestartet werden. Bei dieser Art von Fehlern gibt AWS KMS eine KMSInvalidStateException zurück, die besagt, dass der XKS-Proxy nicht verfügbar ist. Es liegt nun an Ihnen, anhand der von KMS gelieferten Fehlermeldungen festzustellen, warum Ihr XKS Proxy und Ihr Schlüsselmanager nicht verfügbar sind.

Risiko der Dauerhaftigkeit: Da die Schlüssel in Systemen außerhalb von AWS unter Ihrer Kontrolle stehen, sind Sie allein für die Haltbarkeit aller von Ihnen erstellten externen Schlüssel verantwortlich. Wenn der externe Schlüssel für einen XKS-Schlüssel dauerhaft verloren geht oder gelöscht wird, ist der gesamte unter dem XKS-Schlüssel verschlüsselte Geheimtext nicht wiederherstellbar.

Leistungsrisiko: Sie sind dafür verantwortlich, dass Ihre XKS-Proxy- und externe Schlüsselspeicher-Infrastruktur mit ausreichenden Leistungsmerkmalen ausgestattet ist, um Ihre Anforderungen zu erfüllen. Da jede Anfrage mit XKS-Schlüsseln eine Verbindung zu Ihrem externen Schlüsselspeicher erfordert, kann Ihr XKS-Proxy zu einem Engpass werden, wenn die Anfragerate von AWS KMS die Anfragerate übersteigt, die Ihr XKS-Proxy oder externer Schlüsselmanager unterstützen kann. Wenn die verstrichene Zeit einer einzelnen Anfrage (einschließlich eines Wiederholungsversuchs) von AWS KMS an Ihren XKS-Proxy mehr als 500 ms* beträgt, gibt AWS KMS einen 400-Fehler an den aufrufenden Client zurück und teilt damit mit, dass Ihr XKS-Schlüssel nicht verfügbar ist und der aufrufende Client es nicht erneut versuchen sollte. Dieses Verhalten soll das Risiko minimieren, dass vorgelagerte AWS-Services oder Ihre eigenen Anwendungen auf sporadisch auftretende übermäßige Latenzzeiten reagieren müssen, die durch Verbindungsprobleme zu Ihrer Infrastruktur verursacht werden.

*AWS KMS wird bei jeder Anfrage, die 250ms dauert, einen einmaligen Wiederholungsversuch unternehmen. Wenn die Wiederholungsanfrage ebenfalls mehr als 250 ms dauert, wird ein 400-Fehler an den aufrufenden Client zurückgegeben.

F: Welche Auswirkungen hat die Verwendung eines externen Schlüsselspeichers auf die Service Level Availability (SLA)?
Da AWS die End-to-End-Verfügbarkeit der Verbindung zwischen AWS KMS und Ihrer externen Schlüsselspeicherinfrastruktur nicht kontrollieren kann, schließen wir die Verwendung von XKS in unserem öffentlichen KMS-Verfügbarkeits-SLA ausdrücklich aus. Außerdem sind XKS-Schlüssel in der Verfügbarkeits-SLA für jeden AWS-Service ausgeschlossen, in dem ein XKS-Schlüssel von Ihnen zur Verschlüsselung von Daten innerhalb des Services konfiguriert wurde.

Weitere Informationen zur Preisberechnung

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Beginnen Sie mit der Entwicklung in der Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung