Übersicht
Mit AWS Key Management Service (KMS) können Sie die zum Schutz Ihrer Daten verwendeten kryptografischen Schlüssel zentral steuern. Der Service ist mit anderen AWS-Services integriert und vereinfacht die Verschlüsselung von Daten, die Sie in diesen Services speichern, sowie die Zugriffskontrolle für Schlüssel zur Entschlüsselung dieser Daten. AWS KMS ist auch in AWS CloudTrail integriert, mit dem Sie überprüfen können, wer welche Schlüssel wann auf welchen Ressourcen verwendet hat. AWS KMS hilft Entwicklern ihrem Anwendungscode auf einfachere Weise Funktionen zur Verschlüsselung oder digitalen Signatur hinzuzufügen, entweder direkt oder mithilfe des AWS-SDK. Das AWS-Verschlüsselungs-SDK unterstützt AWS KMS als Schlüsselanbieter für Entwickler, die Daten in ihren Anwendungen lokal verschlüsseln/entschlüsseln müssen.
Mit AWS KMS können Sie den Lebenszyklus und die Berechtigungen Ihrer Schlüssel zentral steuern. Sie können jederzeit neue Schlüssel erstellen und jeweils separat festlegen, wer sie verwalten und verwenden darf. Alternativ zur Verwendung von Schlüsseln, die von AWS KMS generiert wurden, können Sie Schlüssel aus der eigenen Schlüsselverwaltungsinfrastruktur importieren oder in Ihrem AWS-CloudHSM-Cluster gespeicherte Schlüssel, oder Schlüssel, die außerhalb von AWS in Ihrer externen Schlüsselverwaltung aufbewahrt werden verwenden. Sie können die automatische Rotation von in AWS KMS generierten Stammschlüsseln einmal pro Jahr auswählen, ohne zuvor verschlüsselte Daten erneut verschlüsseln zu müssen. Der Dienst hält ältere Versionen des Stammschlüssels automatisch verfügbar, um zuvor verschlüsselte Daten zu entschlüsseln. Sie können Ihre Stammschlüssel verwalten und deren Verwendung über die AWS-Managementkonsole, das AWS SDK oder die AWS-Befehlszeilenschnittstelle (CLI) prüfen.
* Die Option zum Importieren von Schlüsseln ist für asymmetrische Schlüssel nicht verfügbar.
AWS-Service-Integration
AWS KMS integriert sich in AWS-Services, um Data-at-Rest zu verschlüsseln oder um die Signierung und Verifizierung mit einem AWS-KMS-Schlüssel zu erleichtern. Zum Schutz der Data-at-Rest verwenden die integrierten AWS-Services die Umschlagverschlüsselung, bei der ein Datenschlüssel zur Verschlüsselung der Daten verwendet wird, der selbst unter einem im AWS KMS gespeicherten KMS-Schlüssel verschlüsselt ist. Zum Signieren und Verifizieren verwenden die integrierten AWS-Services asymmetrische RSA- oder ECC-KMS-Schlüssel in AWS KMS. Weitere Details darüber, wie ein integrierter Service AWS KMS verwendet, finden Sie in der Dokumentation für Ihren AWS-Service.
Alexa for Business[1] | Amazon FSx | Amazon Omics | AWS CloudTrail |
Amazon AppFlow | AWS Ground Station | Amazon Personalize | AWS CodeArtifact |
Amazon Athena | Amazon GuardDuty | Amazon QLDB | AWS CodeBuild |
Amazon Aurora | Amazon HealthLake | Amazon Redshift | AWS CodeCommit[1] |
Amazon CloudWatch Logs | Amazon Inspector | Amazon Rekognition | AWS CodePipeline |
Amazon CloudWatch Synthetics | Amazon Kendra | Amazon Relational Database Service (RDS) | AWS Control Tower |
Amazon CodeGuru | Amazon Keyspaces (für Apache Cassandra) | Amazon Route 53 | AWS Database Migration Service |
Amazon Comprehend | Amazon Kinesis Data Streams | Amazon S3 | AWS Elastic Disaster Recovery |
Amazon Connect | Amazon Kinesis Firehose | Amazon SageMaker | AWS Elemental MediaTailor |
Amazon Connect Customer Profiles | Amazon Kinesis Video Streams | Amazon Simple Email Service (SES) | AWS Glue |
Amazon Connect Voice ID | Amazon Lex | Amazon Simple Notification Service (SNS) | AWS Glue DataBrew |
Amazon Connect Wisdom | Amazon Lightsail[1] | Amazon Simple Queue Service (SQS) | AWS IoT SiteWise |
Amazon DocumentDB | Amazon Location Service | Amazon Textract | AWS Lambda |
Amazon DynamoDB | Amazon Lookout for Equipment | Amazon Timestream | AWS License Manager |
Amazon DynamoDB Accelerator (DAX)[1] | Amazon Lookout für Metrics | Amazon Transcribe | AWS Network Firewall |
Amazon EBS | Amazon Lookout for Vision | Amazon Translate | AWS Proton |
Amazon EC2 Image Builder | Amazon Macie | Amazon WorkMail | AWS Secrets Manager |
Amazon EFS | Amazon Managed Blockchain | Amazon WorkSpaces | AWS Snowball |
Amazon Elastic Container Registry (ECR) | Amazon Managed Service für Prometheus | Amazon WorkSpaces Web | AWS Snowball Edge |
Amazon Elastic Kubernetes Service (EKS) | Amazon Managed Streaming for Kafka (MSK) | AWS Audit Manager | AWS Snowcone |
Amazon Elastic Transcoder | Amazon Managed Workflows for Apache Airflow (MWAA) | AWS Application Cost Profiler | AWS Snowmobile |
Amazon ElastiCache | Amazon MemoryDB | AWS Application Migration Service | AWS Storage Gateway |
Amazon EMR | Amazon Monitron | AWS App Runner | AWS Systems Manager |
Amazon EMR Serverless | Amazon MQ | AWS Backup | AWS X-Ray |
Amazon FinSpace | Amazon Neptune | AWS Certificate Manager[1] | |
Amazon Forecast | Amazon Nimble Studio | AWS Cloud9[1] | |
Amazon Fraud Detector | Amazon OpenSearch | AWS CloudHSM[2] |
[1] Unterstützt ausschließlich AWS-verwaltete KMS-Schlüssel.
[2] AWS KMS unterstützt benutzerdefinierte Schlüsselspeicher, die vom AWS CloudHSM Cluster gesichert wird.
[3] Eine Liste der in AWS KMS integrierten Services in der AWS-Region China (Peking), betrieben von Sinnet, sowie in der AWS-Region China (Ningxia), betrieben von NWCD, finden Sie unter AWS KMS Service-Integration in China.
Oben nicht aufgeführte AWS-Services verschlüsseln Kundendaten automatisch über die Verwendung von Schlüsseln, die im Eigentum des Services sind und durch diesen verwaltet werden.
Audit-Überwachung
Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage, die Sie an AWS KMS stellen, in einer Protokolldatei aufgezeichnet. Diese Protokolldatei wird an den Amazon-Simple-Storage-Service-Bucket (Amazon S3) geliefert, den Sie bei der Aktivierung von AWS CloudTrail angegeben haben. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.
Skalierbarkeit, Beständigkeit und hohe Verfügbarkeit
AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird der Service automatisch an Ihre Anforderungen skaliert. Er hilft Ihnen, zehntausende KMS-Schlüssel in Ihrem Konto zu verwalten und sie jederzeit zu verwenden. Es werden Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit definiert, Sie können allerdings bei Bedarf höhere Grenzwerte anfordern.
Die von Ihnen (oder von anderen AWS-Services in Ihrem Auftrag) erstellten KMS-Schlüssel können nicht aus dem Service exportiert werden. Daher übernimmt AWS KMS die Verantwortung für ihre Beständigkeit. Um sicherzustellen, dass Ihre Schlüssel und Ihre Daten hochverfügbar sind, speichert AWS KMS mehrere Kopien der verschlüsselten Versionen Ihrer Schlüssel in Systemen, die für eine Haltbarkeit von 99,999999999 % ausgelegt sind.
Für verschlüsselte Daten oder digitale Signatur-Workflows, die sich über Regionen hinweg bewegen (Notfallwiederherstellung, Multi-Region-Hochverfügbarkeitsarchitekturen, globale DynamoDB-Tabellen und global verteilte konsistente digitale Signaturen), können Sie KMS-Multi-Region-Schlüssel erstellen. KMS-Multiregionsschlüssel sind ein Satz interoperabler Schlüssel mit demselben Schlüsselmaterial und denselben Schlüssel-IDs, die in mehrere Regionen repliziert werden können.
AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS-Services für die Ver- und Entschlüsselung auf AWS KMS angewiesen sind, ist AWS KMS so konzipiert, dass es ein gewisses Maß an Verfügbarkeit bietet. Diese Verfügbarkeit unterstützt den Rest von AWS und ist durch das AWS KMS Service Level Agreement abgesichert.
Sicher
AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet Hardware-Sicherheitsmodule (HSMs), die gemäß FIPS 140-2 validiert wurden oder derzeit validiert werden, um die Vertraulichkeit und Integrität Ihrer Schlüssel zu schützen. Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. Dies gilt unabhängig davon, ob Sie AWS KMS auffordern, in Ihrem Namen Schlüssel zu erstellen, sie in den Service zu importieren oder sie mit der Funktion zum Speichern benutzerdefinierter Schlüssel in einem AWS-CloudHSM-Cluster zu erstellen. Schlüssel, die mit dem Service AWS KMS erstellt wurden, werden niemals außerhalb der AWS-Region übertragen, in der sie erstellt wurden. Sie können nur in der Region verwendet werden, in der sie erstellt wurden. Aktualisierungen an der AWS-KMS-HSM-Firmware werden über die Zugriffskontrolle verschiedener Anbieter gesteuert, die durch eine unabhängige Gruppe in Amazon und ein NIST-akkreditiertes Labor gemäß FIPS 140-2 überwacht und geprüft wird.
Mehr über den Aufbau von AWS KMS und die Kryptographie, die zur Sicherung Ihrer Schlüssel verwendet wird, erfahren Sie in den kryptografischen Details zu AWS KMS.
* Die HSMs sind in der von Sinnet betriebenen Region AWS China (Peking), und in der von NWCD betriebenen Region AWS China (Ningxia) verfügbar. Sie sind von der chinesischen Regierung genehmigt (nicht FIPS 140-2-validiert), und das oben genannte Whitepaper zu den kryptografischen Details gilt nicht.
Asymmetrische Schlüssel
Mit AWS KMS können Sie asymmetrische KMS-Schlüssel und Datenschlüsselpaare erstellen und verwenden. Sie können einen KMS-Schlüssel zur Verwendung als Schlüsselpaar für die Signatur oder Verschlüsselung festlegen. Die Schlüsselpaargenerierung und asymmetrische kryptografische Operationen unter Verwendung dieser KMS-Schlüssel werden innerhalb von HSMs durchgeführt. Sie können den öffentlichen Teil des asymmetrischen KMS-Schlüssels zur Verwendung in Ihren lokalen Anwendungen anfordern, während der private Teil den Service nie verlässt.
Sie können den Service auch auffordern, ein asymmetrisches Datenschlüsselpaar zu generieren. Diese Operation gibt eine Klartextkopie des öffentlichen Schlüssels, des privaten Schlüssels und eine Kopie des privaten Schlüssels zurück, die unter einem von Ihnen angegebenen symmetrischen KMS-Schlüssel verschlüsselt ist. Sie können den öffentlichen oder privaten Klartextschlüssel in Ihrer lokalen Anwendung verwenden und die verschlüsselte Kopie des privaten Schlüssels für die zukünftige Verwendung speichern.
** Asymmetrische Schlüssel werden mit den benutzerdefinierten Schlüsselspeichern nicht unterstützt.
HMAC
Sie können Hash-basierte Nachrichtenauthentifizierungscodes (HMACs) in den FIPS-140-2-validierten Hardware-Sicherheitsmodulen (HSMs) von AWS KMS erzeugen und verifizieren. HMACs sind kryptografische Bausteine, die geheimes Schlüsselmaterial in eine Hash-Funktion einbeziehen, um einen eindeutigen verschlüsselten Nachrichtenauthentifizierungscode zu entwickeln. HMAC-KMS-Schlüssel bieten einen Vorteil gegenüber HMAC-Schlüsseln aus Anwendungssoftware, weil das Schlüsselmaterial vollständig innerhalb von AWS KMS erzeugt und verwendet wird. Sie unterliegen auch den Zugriffskontrollen, die Sie für den Schlüssel festgelegt haben. Die HMAC-KMS-Schlüssel und die HMAC-Algorithmen, die AWS KMS verwendet, entsprechen den in RFC 2104 definierten Industriestandards. HMAC-KMS-Schlüssel werden in AWS-KMS-Hardware-Sicherheitsmodulen generiert, die nach dem FIPS 140-2 Cryptographic Module Validation Program zertifiziert sind (außer in den Regionen China (Peking) und China (Ningxia)) und AWS KMS niemals unverschlüsselt verlassen.
* AWS-KMS-HMAC-Schlüssel werden in benutzerdefinierten Schlüsselspeichern nicht unterstützt.
Compliance
Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Systeme validiert und zertifiziert:
- AWS Service Organization Controls-Berichte (SOC 1, SOC 2 und SOC 3). Eine Kopie der Berichte können Sie von AWS Artifact herunterladen.
- PCI DSS Level 1. Erfahren Sie mehr über PCI-DSS-konforme Services in AWS unter PCI DSS FAQs.
- FIPS 140-2. Das AWS KMS-Kryptografiemodul wird insgesamt auf FIPS 140-2 Level 2 validiert, oder befindet sich im Prozess der Validierung, mit Stufe 3 für mehrere andere Kategorien, einschließlich der physischen Sicherheit. Erfahren Sie mehr, indem Sie sich das FIPS-140-2-Zertifikat für AWS-KMS-HSM und die zugehörige Sicherheitsrichtlinie ansehen.
- FedRAMP. Weitere Informationen zur AWS-FedRAMP-Compliance finden Sie unter FedRAMP-Compliance.
- HIPAA Weitere Informationen finden Sie auf der HIPAA-Compliance-Seite.
Benutzerdefinierte Schlüsselspeicher
Benutzerdefinierte Schlüsselspeicher kombinieren die bequeme und umfassende Schlüsselverwaltungsschnittstelle von AWS KMS mit der Möglichkeit, das/die Gerät(e) zu besitzen und zu kontrollieren, auf dem/denen Schlüsselmaterial und kryptografische Operationen stattfinden. Infolgedessen übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit der kryptografischen Schlüssel und für den Betrieb der HSMs. AWS KMS bietet zwei Arten von benutzerdefinierten Schlüsselspeichern:
CloudHSM-gesicherter Schlüsselspeicher
Sie können einen KMS-Schlüssel in einem benutzerdefiniertenAWS CloudHSM-Schlüsselspeicher erstellen, bei dem alle Schlüssel in einem AWS CloudHSM-Cluster erzeugt und gespeichert werden, den Sie besitzen und verwalten. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge ausschließlich unter diesem Schlüssel in Ihrem AWS-CloudHSM-Cluster ausgeführt.
Die Verwendung eines benutzerdefinierten Schlüsselspeichers ist mit zusätzlichen Kosten für den AWS-CloudHSM-Cluster verbunden und Sie übernehmen die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.
Externer Schlüsselspeicher
Wenn Sie aus rechtlichen Gründen Ihre Verschlüsselungsschlüssel vor Ort oder außerhalb der AWS Cloud speichern und verwenden müssen, können Sie einen KMS-Schlüssel in einem externen AWS-KMS-Schlüsselspeicher (XKS) erstellen, bei dem alle Schlüssel in einem externen Schlüsselmanager außerhalb von AWS erzeugt und gespeichert werden, den Sie besitzen und verwalten. Wenn Sie ein XKS verwenden, verlässt Ihr Schlüsselmaterial niemals Ihr HSM.
Im Gegensatz zu Standard-KMS-Schlüsseln oder einem Schlüssel in einem benutzerdefinierten CloudHSM-Schlüsselspeicher sind Sie bei der Verwendung eines externen Schlüsselspeichers für die Haltbarkeit, Verfügbarkeit, Latenz, Leistung und Sicherheit des Schlüsselmaterials und die kryptografischen Operationen externer Schlüssel verantwortlich. Die Leistung und Verfügbarkeit des KMS-Betriebs kann durch die Hardware-, Software- oder Netzwerkkomponenten der von Ihnen verwendeten XKS-Infrastruktur beeinträchtigt werden. Um mehr über XKS zu erfahren, lesen Sie diesen AWS News Blog.
* Benutzerdefinierte Schlüsselspeicher sind in der Region AWS China (Peking), von Sinnet betrieben, und in der Region AWS China (Ningxia), von NWCD betrieben, nicht verfügbar.
**Benutzerdefinierte Schlüsselspeicher sind für asymmetrische KMS-Schlüssel nicht verfügbar.
*** CodeArtifact unterstützt keine KMS-Schlüssel in einem XKS.

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.

Erste Schritte beim Aufbau von AWS Key Management Service in der AWS-Konsole.