Übersicht

Der AWS Key Management Service (KMS) bietet Ihnen eine zentrale Kontrolle über die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel. AWS KMS ist mit AWS-Services integriert und vereinfacht die Verschlüsselung von Daten, die Sie in diesen Services speichern, sowie die Zugriffskontrolle auf Schlüssel zur Entschlüsselung dieser Daten. AWS KMS ist in AWS CloudTrail integriert. Sie können daher überprüfen, wer wann welche Schlüssel auf welchen Ressourcen verwendet hat. Mit AWS KMS können Entwickler ihren Anwendungscode außerdem auf einfache Weise um Verschlüsselungsfunktionalität erweitern, und zwar entweder direkt über Service-APIs zur Verschlüsselung und Entschlüsselung oder über die Integration mit AWS Encryption SDK.

Zentrale Schlüsselverwaltung

AWS Key Management Service bietet Ihnen eine zentrale Kontrolle Ihrer Verschlüsselungsschlüssel. Customer Master Keys (CMKs) werden dazu verwendet, den Zugriff auf Datenverschlüsselungsschlüssel zu überwachen, mit denen Ihre Daten verschlüsselt und entschlüsselt werden. Sie können nach Wunsch neue Masterschlüssel erstellen und jederzeit steuern, wer darauf Zugriff hat und mit welchen Services sie verwendet werden können. Außerdem können Sie Schlüssel aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur nach AWS KMS importieren oder Schlüssel verwenden, die in Ihrem AWS CloudHSM-Cluster gespeichert sind und diese über AWS KMS verwalten. Sie können Ihre Masterschlüssel verwalten und deren Verwendung über die AWS-Managementkonsole oder über AWS SDK oder die AWS-Befehlszeilenschnittstelle (CLI) prüfen.

Die Schlüssel in AWS KMS, die entweder innerhalb von KMS, Ihrem CloudHSM-Cluster, erstellt oder durch Sie importiert wurden, werden auf einem sehr robusten Speicher in einem verschlüsselten Format gespeichert, sodass Sie sie nutzen können, wenn Sie sie benötigen. Sie können festlegen, dass AWS KMS die in KMS erstellten Masterschlüssel einmal im Jahr automatisch rotiert. Sie müssen in diesem Fall bereits mit Ihrem Masterschlüssel verschlüsselte Daten nicht nochmals verschlüsseln. Sie müssen ältere Versionen Ihrer Masterschlüssel nicht im Auge behalten, KMS hält sie für die Entschlüsselung früher verschlüsselter Daten verfügbar.

AWS Service Integration

AWS KMS ist nahtlos mit anderen AWS-Services integriert. Diese Integration bedeutet, dass Sie für die Steuerung der Verschlüsselung der Daten, die Sie in diesen Services speichern, einfach KMS-Masterschlüssel verwenden können. Wenn Sie entscheiden, Daten in einem Service zu verschlüsseln, können Sie einen verwalteten AWS-Masterschlüssel verwenden, der durch diesen Service automatisch in KMS für Sie erstellt wurde. Sie können die Verwendung des Schlüssels verfolgen, er wird jedoch in Ihrem Namen durch den Service verwaltet.

Wenn Sie eine direkte Kontrolle des Lebenszyklus für einen Masterschlüssel benötigen oder Sie die Verwendung dieses Masterschlüssels durch andere Konten erlauben möchten, können Sie Ihre eigenen Masterschlüssel erstellen und verwalten, die in Ihrem Auftrag durch AWS-Services verwaltet werden können. Mit diesen verwalteten angepassten Masterschlüsseln erhalten Sie die volle Kontrolle über die Zugriffsberechtigungen, aus denen hervorgeht, wer den Schlüssel unter welchen Bedingungen verwenden kann.

AWS-Services integriert in KMS
Alexa for Business* Amazon EMR Amazon SageMaker AWS CodeDeploy
Amazon Athena Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS CodePipeline

Amazon Aurora

Amazon Glacier Amazon Simple Notification Service (SNS) AWS Database Migration Service
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Simple Queue Service (SQS) AWS Glue
Amazon Comprehend* Amazon Kinesis Firehose Amazon Translate AWS Lambda
Amazon Connect Amazon Kinesis Video Streams Amazon WorkMail AWS Secrets Manager
Amazon DocumentDB Amazon Lex Amazon WorkSpaces AWS Systems Manager
Amazon DynamoDB* Amazon Lightsail* AWS Backup AWS Snowball
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) AWS Certificate Manager* AWS Snowball Edge
Amazon EBS Amazon Neptune AWS Cloud9* AWS Snowmobile
Amazon EFS Amazon Redshift AWS CloudTrail AWS Storage Gateway
Amazon Elastic Transcoder Amazon Relational Database Service (RDS) AWS CodeBuild AWS X-Ray
Amazon Elasticsearch Service Amazon S3 AWS CodeCommit*
AWS X-Ray

*Unterstützt ausschließlich von AWS verwaltete KMS-Schlüssel.

Oben nicht aufgeführte AWS-Services verschlüsseln Kundendaten automatisch über die Verwendung von Schlüsseln, die im Eigentum des Services sind und durch diesen verwaltet werden.

Überwachungsmöglichkeiten

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage an KMS in einer Protokolldatei aufgezeichnet, die an den von Ihnen bei der Aktivierung von AWS CloudTrail festgelegten Amazon S3-Bucket geliefert wird. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.

Skalierbarkeit, Beständigkeit und hohe Verfügbarkeit

AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird KMS automatisch an Ihre Anforderungen skaliert. Mit AWS KMS können Sie tausende Masterschlüssel in Ihrem Konto verwalten und sie jederzeit verwenden. AWS KMS definiert Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit, Sie können bei Bedarf jedoch höhere Grenzwerte anfordern.

Die von Ihnen in AWS KMS erstellten Masterschlüssel oder diejenigen Schlüssel, die von anderen AWS-Services in Ihrem Auftrag erstellt werden, können nicht aus dem Service exportiert werden. Daher garantiert KMS für ihre Beständigkeit. Um Sie dabei zu unterstützen, dass Ihre Schüssel und Daten hoch verfügbar bleiben, speichert KMS mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel in Systemen, die für eine Beständigkeit von 99,999999999 % konzipiert sind.

Wenn Sie Schlüssel nach KMS importieren, bleibt eine Sicherungskopie der Masterschlüssel für Sie erhalten, sodass Sie sie neu importieren können, wenn sie zu dem gewünschten Zeitpunkt nicht verfügbar sein sollten. Wenn Sie die Funktion für die Speicherung benutzerdefinierter Schlüssel in KMS verwenden, um Ihre Masterschlüssel in einem AWS CloudHSM-Cluster zu erstellen, werden verschlüsselte Kopien Ihrer Schlüssel automatisch gesichert, und Sie haben die volle Kontrolle über den Wiederherstellungsprozess.

AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS Services zur Ver- und Entschlüsselung auf AWS KMS angewiesen sind, ist es so konzipiert, dass es eine Verfügbarkeit bietet, die den Rest von AWS unterstützt und durch das AWS KMS Service Level Agreement unterstützt wird.

Sicher

AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet FIPS 140-2-validierte Hardwaresicherheitsmodule (HSMs) für den Schutz der Vertraulichkeit und Integrität Ihrer Schlüssel, der unabhängig davon, ob Sie bei KMS die Erstellung der Schlüssel in Ihrem Namen anfordern, die Schlüssel in einem AWS CloudHSM-Cluster erstellen oder diese in den Service importieren, gewährleistet wird. Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptographischen Operation im flüchtigen Speicher der HSMs verwendet. Schlüsse, die von KMS erstellt werden, werden niemals außerhalb der AWS-Region verwendet, in der sie erstellt wurden, und sie können auch nur in der Region verwendet werden, in der sie erstellt wurden. Aktualisierungen an der KMS-HSM-Firmware werden über die Zugriffskontrolle verschiedener Anbieter gesteuert, die durch eine unabhängige Gruppe in Amazon sowie ein NIST-zertifiziertes Labor gemäß FIPS 140-2 überwacht und geprüft wird.

Um mehr über den Aufbau von AWS KMS und die Kryptographie zu erfahren, die zur Sicherung Ihrer Schlüssel verwendet wird, lesen Sie das Whitepaper AWS Key Management Service Cryptographic Details.

Benutzerdefinierter KMS-Schlüsselspeicher

In AWS KMS können Sie Ihren eigenen Schlüssel über die HSMs erstellen, die Sie überwachen. Jeder benutzerdefinierte Schlüsselspeicher wird über ein AWS CloudHSM-Cluster gesichert. Wenn Sie einen benutzerdefinierten KMS-Masterschlüssel (CMK) in einem benutzerdefinierten Schlüsselspeicher erstellen, generiert und speichert KMS nicht extrahierbares Material für den CMK in einem AWS CloudHSM-Cluster in Ihrem Besitz und unter Ihrer Verwaltung. Wenn Sie einen CMK in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge unter diesem Schlüssel in Ihrem CloudHSM-Cluster ausgeführt.

Master-Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher statt in dem KMS-Standardschlüsselspeicher gespeichert werden, werden genau so verwaltet wie andere Master-Schlüssel in KMS und können von jedem AWS-Service verwendet werden, der KMS CMKs unterstützt.

Die Verwendung eines benutzerdefinierten Schlüsselspeichers hat Zusatzkosten für das CloudHSM-Cluster zur Folge und legt die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster in Ihre Hände. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.

Compliance

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Programme validiert und zertifiziert:

Product-Page_Standard-Icons_01_Product-Features_SqInk
Mehr über die Produktpreise erfahren

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Beginnen Sie mit der Entwicklung in der Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung