Übersicht

Mit AWS Key Management Service (KMS) können Sie die zum Schutz Ihrer Daten verwendeten kryptografischen Schlüssel zentral steuern. Der Service ist mit anderen AWS-Services integriert und vereinfacht die Verschlüsselung von Daten, die Sie in diesen Services speichern, sowie die Zugriffskontrolle für Schlüssel zur Entschlüsselung dieser Daten. Außerdem ist AWS KMS in AWS CloudTrail integriert. Sie können daher überprüfen, wer wann welche Schlüssel für welche Ressourcen verwendet hat. Mit AWS KMS können Entwickler ihrem Anwendungscode auf einfache Weise Funktionen zur Verschlüsselung oder digitalen Signatur hinzufügen, entweder direkt oder mithilfe des AWS-SDK. Das AWS Encryption SDK unterstützt AWS KMS als Hauptschlüsselanbieter für Entwickler, die Daten in ihren Anwendungen lokal verschlüsseln/entschlüsseln müssen.

Zentrale Schlüsselverwaltung

Mit AWS KMS können Sie den Lebenszyklus und die Berechtigungen Ihrer Schlüssel zentral steuern. Sie können jederzeit neue Schlüssel erstellen und jeweils separat festlegen, wer sie verwalten und verwenden darf. Alternativ zur Verwendung von Schlüsseln, die von AWS KMS generiert wurden, können Sie Schlüssel aus der eigenen Schlüsselverwaltungsinfrastruktur importieren oder in Ihrem AWS-CloudHSM-Cluster gespeicherte Schlüssel nutzen. Sie können die automatische Rotation von in AWS KMS generierten Hauptschlüsseln einmal pro Jahr auswählen, ohne zuvor verschlüsselte Daten erneut verschlüsseln zu müssen. Der Dienst hält ältere Versionen des Hauptschlüssels automatisch verfügbar, um zuvor verschlüsselte Daten zu entschlüsseln. Sie können Ihre Masterschlüssel verwalten und deren Verwendung über die AWS-Managementkonsole, das AWS SDK oder die AWS-Befehlszeilenschnittstelle (CLI) prüfen.

* Die Option zum Importieren von Schlüsseln ist für asymmetrische Schlüssel nicht verfügbar.

AWS Service Integration

AWS KMS integriert sich in AWS-Services, um Daten im Ruhezustand zu verschlüsseln oder um die Signierung und Verifizierung mit einem AWS KMS-Kundenhauptschlüssel (CMK) zu erleichtern. Zum Schutz der Daten im Ruhezustand verwenden die integrierten AWS-Services die Umschlagverschlüsselung, bei der ein Datenschlüssel zur Verschlüsselung der Daten verwendet wird, der selbst unter einem im AWS KMS gespeicherten CMK verschlüsselt ist. Zum Signieren und Verifizieren verwenden integrierte AWS-Services ein Schlüsselpaar aus einem asymmetrischen CMK in AWS KMS. Weitere Details darüber, wie ein integrierter Service AWS KMS verwendet, finden Sie in der Dokumentation für Ihren AWS-Service.

Es gibt zwei Arten von CMK-Ressourcen, die in Ihrem AWS-Konto erstellt werden können: (i) Ein von AWS verwalteter CMK kann bei Bedarf automatisch erstellt werden. Sie können AWS Managed CMKs auflisten oder inventarisieren und erhalten eine Aufzeichnung ihrer Verwendung in AWS CloudTrail, aber die Berechtigungen für die Ressource werden von dem AWS-Service verwaltet, für dessen Verwendung sie erstellt wurde. (ii) Ein vom Kunden verwalteter CMK bietet Ihnen den höchsten Grad an Kontrolle über die Berechtigungen und den Lebenszyklus des Schlüssels.

AWS-Services integriert in AWS KMS
Alexa for Business* Amazon FinSpace Amazon Neptune AWS CloudHSM
Amazon AppFlow Amazon Forecast Amazon Nimble Studio AWS CloudTrail
Amazon Athena Amazon Fraud Detector Amazon Personalize AWS CodeArtifact
Amazon Aurora Amazon FSx for Windows File Server Amazon Redshift AWS CodeBuild
Amazon CloudWatch Logs Amazon GuardDuty Amazon Relational Database Service (RDS) AWS CodeCommit*
Amazon CodeGuru Amazon Kendra Amazon Route 53 AWS CodePipeline
Amazon Comprehend  Amazon Keyspaces (für Apache Cassandra) Amazon S3 AWS Database Migration Service
Amazon Connect Amazon Kinesis Data Streams Amazon SageMaker AWS Glue
Amazon Connect Customer Profiles Amazon Kinesis Firehose Amazon Simple Email Service (SES) AWS Glue DataBrew
Amazon DocumentDB Amazon Kinesis Video Streams Amazon Simple Notification Service (SNS) AWS IoT SiteWise
Amazon DynamoDB Amazon Lex Amazon Simple Queue Service (SQS) AWS Lambda
Amazon DynamoDB Accelerator (DAX)* Amazon Lightsail* Amazon Textract AWS License Manager
Amazon EBS Amazon Location Service Amazon Timestream AWS Secrets Manager
Amazon EC2 Image Builder Amazon Lookout for Equipment Amazon Transcribe AWS Snowball
Amazon EFS Amazon Lookout for Metrics Amazon Translate AWS Snowball Edge
Amazon Elastic Container Registry (ECR) Amazon Lookout for Vision Amazon WorkMail AWS Snowcone
Amazon Elastic Kubernetes Service (EKS) Amazon Macie Amazon WorkSpaces AWS Snowmobile
Amazon Elastic Transcoder Amazon Managed Streaming for Kafka (MSK) AWS Audit Manager AWS Storage Gateway
Amazon ElastiCache Amazon Managed Workflows for Apache Airflow (MWAA) AWS Backup AWS Systems Manager
Amazon Elasticsearch Amazon Monitron AWS Certificate Manager* AWS X-Ray
Amazon EMR Amazon MQ AWS Cloud9*  

* Unterstützt ausschließlich von AWS verwaltete AWS-KMS-Schlüssel.

** Eine Liste der in AWS KMS integrierten Services in der AWS-Region China (Peking), betrieben von Sinnet, sowie in der AWS-Region China (Ningxia), betrieben von NWCD, finden Sie unter AWS KMS Service-Integration in China.

Oben nicht aufgeführte AWS-Services verschlüsseln Kundendaten automatisch über die Verwendung von Schlüsseln, die im Eigentum des Services sind und durch diesen verwaltet werden.

Überwachungsmöglichkeiten

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage an KMS in einer Protokolldatei aufgezeichnet, die an den von Ihnen bei der Aktivierung von AWS CloudTrail festgelegten Amazon S3-Bucket geliefert wird. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.

Skalierbarkeit, Beständigkeit und hohe Verfügbarkeit

AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird der Service automatisch an Ihre Anforderungen skaliert. Er erlaubt Ihnen, tausende CMKs in Ihrem Konto zu verwalten und sie jederzeit zu verwenden. Es werden Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit definiert, Sie können allerdings bei Bedarf höhere Grenzwerte anfordern.

Die von Ihnen (oder von anderen AWS-Services in Ihrem Auftrag) erstellten CMKs können nicht aus dem Service exportiert werden. Daher übernimmt AWS KMS die Verantwortung für ihre Beständigkeit. Um Sie dabei zu unterstützen, dass Ihre Schüssel und Daten hochverfügbar bleiben, speichert es mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel in Systemen, die für eine Beständigkeit von 99,999999999 % konzipiert sind.

Wenn Sie Schlüssel in diesen Service importieren, bleibt eine Sicherungskopie der CMKs für Sie erhalten, sodass Sie diese neu importieren können, wenn sie zu dem gewünschten Zeitpunkt nicht verfügbar sein sollten. Wenn Sie die Funktion für die Speicherung benutzerdefinierter Schlüssel verwenden, um Ihre CMKs in einem AWS CloudHSM-Cluster zu erstellen, werden verschlüsselte Kopien Ihrer Schlüssel automatisch gesichert, und Sie haben die volle Kontrolle über den Wiederherstellungsprozess.

AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS Services zur Ver- und Entschlüsselung darauf angewiesen sind, ist es so konzipiert, dass es eine Verfügbarkeit bietet, die den Rest von AWS unterstützt und durch das AWS KMS Service Level Agreement unterstützt wird.

Sicher

AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet Hardware-Sicherheitsmodule (HSMs), die gemäß FIPS 140-2 validiert wurden oder derzeit validiert werden, um die Vertraulichkeit und Integrität Ihrer Schlüssel zu schützen. Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. Dies gilt unabhängig davon, ob Sie AWS KMS auffordern, in Ihrem Namen Schlüssel zu erstellen, sie in den Service zu importieren oder sie mit der Funktion zum Speichern benutzerdefinierter Schlüssel in einem AWS-CloudHSM-Cluster zu erstellen. Vom AWS-KMS-Service erstellte Schlüssel werden niemals außerhalb der AWS-Region übertragen, in der sie erstellt wurden, und können nur in der Region verwendet werden, in der sie erstellt wurden. Aktualisierungen an der AWS-KMS-HSM-Firmware werden über die Zugriffskontrolle verschiedener Anbieter gesteuert, die durch eine unabhängige Gruppe in Amazon sowie ein NIST-akkreditiertes Labor gemäß FIPS 140-2 überwacht und geprüft wird.

Mehr über den Aufbau von AWS KMS und die Kryptographie, die zur Sicherung Ihrer Schlüssel verwendet wird, erfahren Sie in den kryptografischen Details zu AWS Key Management Service.

* Die HSMs sind in der von Sinnet betriebenen Region AWS China (Peking), und in der von NWCD betriebenen Region AWS China (Ningxia) verfügbar. Sie sind von der chinesischen Regierung genehmigt (nicht FIPS 140-2-validiert), und das oben genannte Whitepaper zu den kryptografischen Details gilt nicht. 

Benutzerdefinierter Schlüsselspeicher

In AWS KMS können Sie Ihren eigenen Schlüssel über die HSMs erstellen, die Sie überwachen. Jeder benutzerdefinierte Schlüsselspeicher wird über ein AWS CloudHSM-Cluster gesichert. Wenn Sie ein CMK in einem benutzerdefinierten Schlüsselspeicher erstellen, generiert und speichert der Service Schlüsselmaterial für das CMK in einem AWS CloudHSM-Cluster, welches Sie besitzen und verwalten. Wenn Sie einen CMK in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge unter diesem Schlüssel in Ihrem AWS CloudHSM-Cluster ausgeführt.

In einem benutzerdefinierten Schlüsselspeicher gespeicherte CMKs werden von Ihnen wie alle anderen CMKs verwaltet und können mit jedem AWS-Service verwendet werden, der in AWS KMS integriert ist.

Die Verwendung eines benutzerdefinierten Schlüsselspeichers hat Zusatzkosten für das AWS CloudHSM-Cluster zur Folge und legt die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster in Ihre Hände. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.

* Der benutzerdefinierte Schlüsselspeicher ist nicht in der AWS-Region China (Peking), betrieben von Sinnet, und in der AWS-Region China (Ningxia), betrieben von NWCD, verfügbar.

** Die Option „Benutzerdefinierter Schlüsselspeicher“ ist für asymmetrische CMKs nicht verfügbar.

Asymmetrische Schlüssel

Mit AWS KMS können Sie asymmetrische CMKs und Datenschlüsselpaare erstellen und verwenden. Sie können ein CMK zur Verwendung als Schlüsselpaar für die Signatur oder Verschlüsselung festlegen. Die Schlüsselpaargenerierung und asymmetrische kryptografische Operationen unter Verwendung dieser CMKs werden innerhalb von HSMs durchgeführt. Sie können den öffentlichen Teil des asymmetrischen CMK zur Verwendung in Ihren lokalen Anwendungen anfordern, während der private Teil den Service nie verlässt.

Sie können den Service auch auffordern, ein asymmetrisches Datenschlüsselpaar zu generieren. Diese Operation gibt eine Klartextkopie des öffentlichen Schlüssels und des privaten Schlüssels sowie eine Kopie des privaten Schlüssels zurück, die unter einem von Ihnen angegebenen symmetrischen CMK verschlüsselt ist. Sie können den öffentlichen oder privaten Klartextschlüssel in Ihrer lokalen Anwendung verwenden und die verschlüsselte Kopie des privaten Schlüssels für die zukünftige Verwendung speichern.

* Asymmetrische Schlüssel sind in der Region AWS China (Peking), von Sinnet betrieben, und in der Region AWS China (Ningxia), von NWCD betrieben, nicht verfügbar.

** Asymmetric keys are not supported with the Custom Key Store option.

Compliance

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Systeme validiert und zertifiziert:

  • AWS Service Organization Controls-Berichte (SOC 1, SOC 2 und SOC 3). Eine Kopie dieser Berichte können Sie von AWS Artifact herunterladen.
  • PCI DSS Level 1. Weitere Informationen über PCI DSS-konforme Services in AWS finden Sie unter PCI DSS FAQs.
  • FIPS 140-2. Das AWS KMS-Kryptografiemodul wird insgesamt auf FIPS 140-2 Level 2 validiert, oder befindet sich im Prozess der Validierung, mit Stufe 3 für mehrere andere Kategorien, einschließlich der physischen Sicherheit. Weitere Details finden Sie unter FIPS-140-2-Zertifikat für AWS-KMS-HSM und in der zugehörigen Sicherheitsrichtlinie.
  • FedRAMP. Weitere Details zur AWS FedRAMP-Compliance finden Sie unter FedRAMP-Compliance.
  • HIPAA Weitere Details finden Sie auf der Seite HIPAA-Compliance.
 
Hier finden Sie eine Liste anderer Compliance-Systeme, für die AWS KMS validiert und zertifiziert ist.
 
* FIPS 140-2 gilt nicht für AWS KMS in den Regionen in China. Die Hardware-Sicherheitsmodule in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.
Standard Product Icons (Features) Squid Ink
Mehr über die Produktpreise erfahren

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Sign up for a free account
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Standard Product Icons (Start Building) Squid Ink
Beginnen Sie mit der Entwicklung in der Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung