Übersicht

AWS Key Management Service bietet Ihnen eine zentrale Kontrolle über die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel. Sie können sie erstellen, importieren, rotieren, deaktivieren, löschen, Nutzungsrichtlinien dafür definieren und die Nutzung der für die Verschlüsselung Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen. AWS Key Management Service ist in einen Großteil der anderen AWS-Services integriert und erleichtert so die Verschlüsselung der von Ihnen gespeicherten Daten mithilfe dieser Services. Sie verwenden dabei den von Ihnen kontrollierten Schlüssel. AWS KMS ist in AWS CloudTrail integriert. Sie können daher überwachen, wer wann welche Schlüssel auf welchen Ressourcen verwendet hat. AWS KMS versetzt Entwickler in die Lage, Daten problemlos zu verschlüsseln, sei es durch 1-Klick-Verschlüsselung in der AWS-Managementkonsole oder mittels AWS SDK, um ohne Aufwand eine Verschlüsselung zu ihrem Anwendungscode hinzuzufügen.

Zentrale Schlüsselverwaltung

AWS Key Management Service bietet Ihnen eine zentrale Kontrolle Ihrer Verschlüsselungsschlüssel. Sie können auf einfache Art Schlüssel erstellen, importieren und rotieren sowie Verwendungsrichtlinien und Audit-Nutzung aus der AWS Management Console oder mithilfe von AWS SDK oder CLI definieren. Die Masterschlüssel in KMS, ob von Ihnen importiert oder durch KMS für Sie erstellt, werden in sehr robusten Speichern verschlüsselt abgelegt, um sicherzustellen, dass sie bei Bedarf abgerufen werden können. Sie können festlegen, dass KMS die in KMS erstellten Masterschlüssel einmal im Jahr automatisch rotiert. Sie müssen in diesem Fall bereits mit Ihrem Masterschlüssel verschlüsselte Daten nicht nochmals verschlüsseln. Sie müssen ältere Versionen Ihrer Masterschlüssel nicht im Auge behalten, KMS hält sie für die Entschlüsselung früher verschlüsselter Daten verfügbar. Sie können neue Masterschlüssel erstellen und jederzeit steuern, wer darauf Zugriff hat und mit welchen Services sie verwendet werden können. Sie können auch Schlüssel aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importieren und in KMS verwenden.

AWS Service Integration

AWS Key Management Service ist nahtlos integriert in einen Großteil der anderen AWS-Services. Diese Integration bedeutet, dass Sie zum Verschlüsseln der Daten, die Sie in diesen Services speichern, einfach AWS KMS-Masterschlüssel verwenden können. Sie können einen Standard-Masterschlüssel verwenden, der automatisch für Sie erstellt wird und nur innerhalb des integrierten Services verwendbar ist, oder einen benutzerdefinierten Masterschlüssel auswählen, den Sie in KMS erstellt oder aus Ihrer eigenen Infrastruktur für die Schlüsselverwaltung importiert haben und zu dessen Verwendung Sie berechtigt sind.

AWS-Services integriert in KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager

*Unterstützt ausschließlich von AWS verwaltete KMS-Schlüssel.

AWS KMS ist auch in das AWS SDK und die AWS-Befehlszeilenschnittstelle (Command Line Interface, CLI) integriert und bietet eine RESTful-API. Wenn Sie diese Schnittstellen für die Ver- und Entschlüsselung von Daten nutzen, erfolgen Ver- und Entschlüsselungsoperationen automatisch – Sie wählen lediglich aus, welcher KMS-Masterschlüssel verwendet werden soll. Außerdem ist KMS in AWS CloudFormation integriert, sodass Sie mit der CloudFormation-Vorlage für KMS schnell Schlüssel in KMS erstellen können.

Überwachungsmöglichkeiten

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Verwendung eines Schlüssels, den Sie in KMS speichern, in einer Protokolldatei aufgezeichnet, die an den von Ihnen bei der Aktivierung von AWS CloudTrail festgelegten Amazon S3-Bucket geliefert wird. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum und verwendetem Schlüssel.

Skalierbarkeit, Beständigkeit und hohe Verfügbarkeit

AWS Key Management Service ist ein verwalteter Service. Bei zunehmender Nutzung von AWS KMS-Verschlüsselungsschlüsseln müssen Sie keine zusätzliche Infrastruktur für die Schlüsselverwaltung kaufen. AWS KMS wird automatisch Ihrem Verschlüsselungsschlüssel-Bedarf entsprechend skaliert.

Die von AWS KMS für Sie erstellten oder von Ihnen importierten Masterschlüssel können vom Service nicht exportiert werden. AWS KMS speichert mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel in Systemen, die für eine Beständigkeit von 99,999999999 % konzipiert sind. So wird sichergestellt, dass Ihre Schlüssel verfügbar sind, wenn Sie darauf zugreifen müssen. Wenn Sie Schlüssel nach KMS importieren, müssen Sie eine Kopie Ihrer Schlüssel sicher aufbewahren, sodass Sie sie jederzeit neu importieren können.

AWS KMS wird in mehreren Availability Zones in einer AWS-Region bereitgestellt, um hohe Verfügbarkeit für Ihre Verschlüsselungsschlüssel zu bieten.

Sicher

AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet FIPS 140-2-validierte Hardwaresicherheitsmodule (HSMs) für den Schutz der Vertraulichkeit und Integrität Ihrer Schlüssel, der unabhängig davon, ob Sie bei KMS die Erstellung der Schlüssel in Ihrem Namen anfordern oder diese in den Service importieren, gewährleistet wird. Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. KMS-Schlüssel werden nie außerhalb der AWS-Regionen übertragen, in denen sie erstellt wurden. Updates zur KMS-HSM-Firmware wird über die Zugriffskontrolle verschiedener Anbieter gesteuert, der durch eine unabhängige Gruppe in Amazon überwacht und geprüft wird.

Weitere Informationen über die Funktionsweise von AWS KMS finden Sie im Whitepaper zum AWS Key Management Service.

Compliance

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Programme validiert und zertifiziert:

Product-Page_Standard-Icons_01_Product-Features_SqInk
Mehr über die Produktpreise erfahren

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Beginnen Sie mit der Entwicklung in der AWS-Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung