Übersicht

Mit AWS Key Management Service (KMS) können Sie die zum Schutz Ihrer Daten verwendeten kryptografischen Schlüssel zentral steuern. Der Service ist mit anderen AWS-Services integriert und vereinfacht die Verschlüsselung von Daten, die Sie in diesen Services speichern, sowie die Zugriffskontrolle auf Schlüssel zur Entschlüsselung dieser Daten. AWS KMS ist in AWS CloudTrail integriert. Sie können daher überprüfen, wer wann welche Schlüssel auf welchen Ressourcen verwendet hat. Mit AWS KMS können Entwickler ihrem Anwendungscode auf einfache Weise Funktionen zur Verschlüsselung oder digitalen Signatur hinzufügen, entweder direkt oder mithilfe des AWS SDK. Das AWS Encryption SDK unterstützt AWS KMS als Hauptschlüsselanbieter für Entwickler, die Daten in ihren Anwendungen lokal verschlüsseln/entschlüsseln müssen.

Zentrale Schlüsselverwaltung

Mit AWS KMS können Sie den Lebenszyklus und die Berechtigungen Ihrer Schlüssel zentral steuern. Sie können jederzeit neue Schlüssel erstellen und steuern, wer diese verwalten und wer sie verwenden darf. Alternativ zur Verwendung von Schlüsseln, die von AWS KMS generiert wurden, können Sie Schlüssel aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren oder in Ihrem AWS CloudHSM-Cluster gespeicherte Schlüssel verwenden. Sie können die automatische Rotation von in AWS KMS generierten Hauptschlüsseln einmal pro Jahr auswählen, ohne zuvor verschlüsselte Daten erneut verschlüsseln zu müssen. Der Dienst hält ältere Versionen des Hauptschlüssels automatisch verfügbar, um zuvor verschlüsselte Daten zu entschlüsseln. Sie können Ihre Masterschlüssel verwalten und deren Verwendung über die AWS-Managementkonsole, das AWS SDK oder die AWS-Befehlszeilenschnittstelle (CLI) prüfen.

* Die Option zum Importieren von Schlüsseln ist für asymmetrische Schlüssel nicht verfügbar.

AWS Service Integration

AWS KMS ist nahtlos mit anderen AWS-Services integriert. Diese Integrationen verwenden eine Umschlagverschlüsselung. Hierbei wird ein Datenverschlüsselungsschlüssel, der vom AWS-Service zum Verschlüsseln Ihrer Daten verwendet wird, unter einem in AWS KMS gespeicherten Customer Master Key (CMK) geschützt. Es gibt zwei Arten von CMKs: (i) ein von AWS verwaltetes CMK, das automatisch erstellt wird, wenn Sie zum ersten Mal eine verschlüsselte Ressource in einem AWS-Service erstellen. Sie können die Verwendung eines von AWS verwalteten CMK nachverfolgen, der Lebenszyklus und die Berechtigungen des Schlüssels werden jedoch in Ihrem Namen verwaltet. (ii) ein vom Kunden verwaltetes CMK, das nur Sie erstellen können. Mit von Kunden verwalteten CMKs haben Sie die volle Kontrolle über den Lebenszyklus und die Berechtigungen, die bestimmen, wer den Schlüssel unter welchen Bedingungen verwenden kann.

AWS-Services integriert in AWS KMS
Alexa for Business* Amazon Elasticsearch Amazon Personalize AWS CodeBuild
Amazon AppFlow Amazon EMR Amazon RedShift AWS CodeCommit*
Amazon Athena Amazon Forecast Amazon Relational Database Service (RDS) AWS CodeDeploy
Amazon Aurora Amazon Fraud Detector Amazon S3 AWS CodePipeline
Amazon CloudWatch Logs Amazon FSx for Windows File Server Amazon SageMaker AWS Database Migration Service
Amazon Comprehend Amazon Glacier Amazon Simple Email Service (SES) AWS Glue
Amazon Connect Amazon GuardDuty Amazon Simple Notification Service (SNS) AWS Lambda
Amazon DocumentDB Amazon Kendra Amazon Simple Queue Service (SQS) AWS Secrets Manager
Amazon DynamoDB Accelerator (DAX)* Amazon Kinesis Data Streams Amazon Transcribe AWS Snowball
Amazon DynamoDB Amazon Kinesis Firehose Amazon Translate AWS Snowball Edge
Amazon EBS Amazon Kinesis Video Streams Amazon WorkMail AWS Snowcone
Amazon EC2 Image Builder Amazon Lex Amazon WorkSpaces AWS Snowmobile
Amazon EFS Amazon Lightsail* AWS Backup AWS Storage Gateway
Amazon Elastic Container Registry (ECR) Amazon Macie AWS Certificate Manager* AWS Systems Manager
Amazon Elastic Kubernetes Service (EKS) Amazon Managed Streaming for Kafka (MSK) AWS Cloud9* AWS X-Ray
Amazon Elastic Transcoder Amazon MQ AWS CloudTrail  
Amazon ElastiCache Amazon Neptune AWS CodeArtifact  

* Unterstützt ausschließlich von AWS verwaltete AWS-KMS-Schlüssel.

** Eine Liste der in AWS KMS integrierten Services in der AWS-Region China (Peking), betrieben von Sinnet, sowie in der AWS-Region China (Ningxia), betrieben von NWCD, finden Sie unter AWS KMS Service-Integration in China.

Oben nicht aufgeführte AWS-Services verschlüsseln Kundendaten automatisch über die Verwendung von Schlüsseln, die im Eigentum des Services sind und durch diesen verwaltet werden.

Überwachungsmöglichkeiten

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage an KMS in einer Protokolldatei aufgezeichnet, die an den von Ihnen bei der Aktivierung von AWS CloudTrail festgelegten Amazon S3-Bucket geliefert wird. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.

Skalierbarkeit, Beständigkeit und hohe Verfügbarkeit

AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird der Service automatisch an Ihre Anforderungen skaliert. Er erlaubt Ihnen, tausende CMKs in Ihrem Konto zu verwalten und sie jederzeit zu verwenden. Es werden Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit definiert, Sie können allerdings bei Bedarf höhere Grenzwerte anfordern.

Die von Ihnen (oder von anderen AWS-Services in Ihrem Auftrag) erstellten CMKs können nicht aus dem Service exportiert werden. Daher übernimmt AWS KMS die Verantwortung für ihre Beständigkeit. Um Sie dabei zu unterstützen, dass Ihre Schüssel und Daten hochverfügbar bleiben, speichert es mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel in Systemen, die für eine Beständigkeit von 99,999999999 % konzipiert sind.

Wenn Sie Schlüssel in diesen Service importieren, bleibt eine Sicherungskopie der CMKs für Sie erhalten, sodass Sie diese neu importieren können, wenn sie zu dem gewünschten Zeitpunkt nicht verfügbar sein sollten. Wenn Sie die Funktion für die Speicherung benutzerdefinierter Schlüssel verwenden, um Ihre CMKs in einem AWS CloudHSM-Cluster zu erstellen, werden verschlüsselte Kopien Ihrer Schlüssel automatisch gesichert, und Sie haben die volle Kontrolle über den Wiederherstellungsprozess.

AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS Services zur Ver- und Entschlüsselung darauf angewiesen sind, ist es so konzipiert, dass es eine Verfügbarkeit bietet, die den Rest von AWS unterstützt und durch das AWS KMS Service Level Agreement unterstützt wird.

Sicher

AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet Hardware-Sicherheitsmodule (HSMs), die gemäß FIPS 140-2 validiert wurden oder derzeit validiert werden, um die Vertraulichkeit und Integrität Ihrer Schlüssel zu schützen. Dies gilt unabhängig davon, ob Sie AWS KMS auffordern, in Ihrem Namen Schlüssel zu erstellen, diese in einem AWS CloudHSM-Cluster zu erstellen oder in den Service zu importieren. Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. Vom AWS-KMS-Service erstellte Schlüssel werden niemals außerhalb der AWS-Region übertragen, in der sie erstellt wurden, und können nur in der Region verwendet werden, in der sie erstellt wurden. Aktualisierungen an der AWS KMS-HSM-Firmware werden über die Zugriffskontrolle verschiedener Anbieter gesteuert, die durch eine unabhängige Gruppe in Amazon sowie ein NIST-akkreditiertes Labor gemäß FIPS 140-2 überwacht und geprüft wird.

Um mehr über den Aufbau von AWS KMS und die Kryptographie zu erfahren, die zur Sicherung Ihrer Schlüssel verwendet wird, lesen Sie das Whitepaper AWS Key Management Service Cryptographic Details.

* Die HSMs sind in der von Sinnet betriebenen Region AWS China (Peking), und in der von NWCD betriebenen Region AWS China (Ningxia) verfügbar. Sie sind von der chinesischen Regierung genehmigt (nicht FIPS 140-2-validiert), und das oben genannte Whitepaper „Cryptographic Details“ gilt nicht. 

Benutzerdefinierter Schlüsselspeicher

In AWS KMS können Sie Ihren eigenen Schlüssel über die HSMs erstellen, die Sie überwachen. Jeder benutzerdefinierte Schlüsselspeicher wird über ein AWS CloudHSM-Cluster gesichert. Wenn Sie ein CMK in einem benutzerdefinierten Schlüsselspeicher erstellen, generiert und speichert der Service Schlüsselmaterial für das CMK in einem AWS CloudHSM-Cluster, welches Sie besitzen und verwalten. Wenn Sie einen CMK in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge unter diesem Schlüssel in Ihrem AWS CloudHSM-Cluster ausgeführt.

In einem benutzerdefinierten Schlüsselspeicher gespeicherte CMKs werden von Ihnen wie alle anderen CMKs verwaltet und können mit jedem AWS-Service verwendet werden, der in AWS KMS integriert ist.

Die Verwendung eines benutzerdefinierten Schlüsselspeichers hat Zusatzkosten für das AWS CloudHSM-Cluster zur Folge und legt die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster in Ihre Hände. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.

* Der benutzerdefinierte Schlüsselspeicher ist nicht in der AWS-Region China (Peking), betrieben von Sinnet, und in der AWS-Region China (Ningxia), betrieben von NWCD, verfügbar.

** Die Option „Benutzerdefinierter Schlüsselspeicher“ ist für asymmetrische CMKs nicht verfügbar.

Asymmetrische Schlüssel

Mit AWS KMS können Sie asymmetrische CMKs und Datenschlüsselpaare erstellen und verwenden. Sie können ein CMK zur Verwendung als Schlüsselpaar für die Signatur oder Verschlüsselung festlegen. Die Schlüsselpaargenerierung und asymmetrische kryptografische Operationen unter Verwendung dieser CMKs werden innerhalb von HSMs durchgeführt. Sie können den öffentlichen Teil des asymmetrischen CMK zur Verwendung in Ihren lokalen Anwendungen anfordern, während der private Teil den Service nie verlässt.

Sie können den Service auch auffordern, ein asymmetrisches Datenschlüsselpaar zu generieren. Diese Operation gibt eine Klartextkopie des öffentlichen Schlüssels und des privaten Schlüssels sowie eine Kopie des privaten Schlüssels zurück, die unter einem von Ihnen angegebenen symmetrischen CMK verschlüsselt ist. Sie können den öffentlichen oder privaten Klartextschlüssel in Ihrer lokalen Anwendung verwenden und die verschlüsselte Kopie des privaten Schlüssels für die zukünftige Verwendung speichern.

* Asymmetrische Schlüssel sind in der Region AWS China (Peking), von Sinnet betrieben, und in der Region AWS China (Ningxia), von NWCD betrieben, nicht verfügbar.

** Asymmetric keys are not supported with the Custom Key Store option.

Compliance

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Systeme validiert und zertifiziert:

  • AWS Service Organization Controls-Berichte (SOC 1, SOC 2 und SOC 3). Eine Kopie dieser Berichte können Sie von AWS Artifact herunterladen.
  • PCI DSS Level 1. Weitere Informationen über PCI DSS-konforme Services in AWS finden Sie unter PCI DSS FAQs.
  • FIPS 140-2. Das AWS KMS-Kryptografiemodul wird insgesamt auf FIPS 140-2 Level 2 validiert, oder befindet sich im Prozess der Validierung, mit Stufe 3 für mehrere andere Kategorien, einschließlich der physischen Sicherheit. Weitere Details finden Sie unter FIPS 140-2-Zertifikat für AWS KMS HSM und in der zugehörigen Sicherheitsrichtlinie.
  • FedRAMP. Weitere Details zur AWS FedRAMP-Compliance finden Sie unter FedRAMP-Compliance.
  • HIPAA Weitere Details finden Sie auf der Seite HIPAA-Compliance.
 
Hier finden Sie eine Liste anderer Compliance-Systeme, für die AWS KMS validiert und zertifiziert ist.
 
* FIPS 140-2 gilt nicht für AWS KMS in den Regionen in China. Die Hardware-Sicherheitsmodule in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.
Product-Page_Standard-Icons_01_Product-Features_SqInk
Mehr über die Produktpreise erfahren

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Beginnen Sie mit der Entwicklung in der Konsole

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.

Anmeldung