Features von AWS Key Management Service

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage, die Sie an AWS KMS stellen, in einer Protokolldatei aufgezeichnet. Diese Protokolldatei wird an den Amazon-Simple-Storage-Service-Bucket (Amazon S3) geliefert, den Sie bei der Aktivierung von AWS CloudTrail angegeben haben. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.

AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird der Service automatisch an Ihre Anforderungen skaliert. Er hilft Ihnen, zehntausende KMS-Schlüssel in Ihrem Konto zu verwalten und sie jederzeit zu verwenden. Es werden Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit definiert. Sie können aber bei Bedarf höhere Grenzwerte anfordern.

Die von Ihnen (oder von anderen AWS-Services in Ihrem Auftrag) erstellten KMS-Schlüssel können nicht aus dem Service exportiert werden. Daher übernimmt AWS KMS die Verantwortung für ihre Beständigkeit. Um sicherzustellen, dass Ihre Schlüssel und Ihre Daten hochverfügbar sind, speichert AWS KMS mehrere Kopien der verschlüsselten Versionen Ihrer Schlüssel in Systemen, die für eine Haltbarkeit von 99,999999999 % ausgelegt sind.

Für verschlüsselte Daten oder digitale Signatur-Workflows, die sich über Regionen hinweg bewegen (Notfallwiederherstellung, Multi-Region-Hochverfügbarkeitsarchitekturen, globale DynamoDB-Tabellen und global verteilte konsistente digitale Signaturen), können Sie KMS-Multi-Region-Schlüssel erstellen. KMS-Multiregionsschlüssel sind ein Satz interoperabler Schlüssel mit demselben Schlüsselmaterial und denselben Schlüssel-IDs, die in mehrere Regionen repliziert werden können.

AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS-Services für die Ver- und Entschlüsselung auf AWS KMS angewiesen sind, ist AWS KMS so konzipiert, dass es ein gewisses Maß an Verfügbarkeit bietet. Diese Verfügbarkeit unterstützt den Rest von AWS und ist durch das AWS KMS Service Level Agreement (SLA) abgesichert.

AWS KMS ist so konzipiertt, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet Hardware-Sicherheitsmodule (HSMs), die kontinuierlich im Rahmen der Federal Information Processing Standards (FIPS) 140-3 Validierungsprogramm für kryptografische Module des National Institute of Standards and Technology (NIST) der USA die Vertraulichkeit und Integrität Ihrer Schlüssel schützt. AWS-KMS-HSMs sind die kryptografische Vertrauensbasis für den Schutz von KMS-Schlüsseln. Sie bilden eine sichere hardwaregeschützte Grenze für alle kryptografischen Abläufe, die in KMS stattfinden. Das gesamte Schlüsselmaterial für KMS-Schlüssel, das in AWS-KMS-HSMs generiert wird, und alle Vorgänge, die entschlüsseltes KMS-Schlüsselmaterial erfordern, erfolgen ausschließlich innerhalb der FIPS-140-3-Sicherheitsstufe 3 dieser HSMs. Aktualisierungen der HSM-Firmware von AWS KMS werden durch eine Zugriffskontrolle mit mehreren Parteien gesteuert, die von einer unabhängigen Gruppe innerhalb von Amazon geprüft und überprüft wird. Gemäß den FIPS-140-Anforderungen werden alle Firmware-Änderungen an KMS-HSMs zur Validierung gemäß FIPS-140-3 Sicherheitsstufe 3 an ein vom NIST akkreditiertes Labor übermittelt.

Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Abläufe im flüchtigen Speicher der HSMs verwendet. Dies gilt unabhängig davon, ob Sie AWS KMS auffordern, in Ihrem Namen Schlüssel zu erstellen, sie in den Service zu importieren oder sie mit dem Feature zum Speichern benutzerdefinierter Schlüssel in einem AWS-CloudHSM-Cluster zu erstellen. Sie wählen, ob Sie Schlüssel für einzelne Regionen oder Schlüssel für mehrere Regionen erstellen möchten. Schlüssel, die von KMS erstellt werden, werden niemals außerhalb der AWS-Region verwendet, in der sie erstellt wurden, und sie können auch nur in der Region verwendet werden, in der sie erstellt wurden.
 

Weitere Informationen zur Architektur von AWS KMS und der zum Sichern Ihrer Schlüssel verwendeten Kryptografie finden Sie im Whitepaper der kryptografischen Details zu AWS KMS.

* Die HSMs sind in der von der Beijing Sinnet Technology Co., Ltd. („Sinnet“) Sinnet betriebenen Region AWS China (Peking), und in der von Ningxia Western Cloud Data Technology Co., Ltd. (NWCD) betriebenen Region AWS China (Ningxia) verfügbar. Sie sind von der chinesischen Regierung genehmigt (nicht FIPS 140-3-validiert), und das oben genannte Whitepaper zu den kryptografischen Details ist hier nicht gültig.  

Mit AWS KMS können Sie asymmetrische KMS-Schlüssel und Datenschlüsselpaare erstellen und verwenden. Sie können einen KMS-Schlüssel für die Verwendung als Signierschlüsselpaar, als Verschlüsselungsschlüsselpaar oder als Schlüsselvereinbarungsschlüsselpaar zuweisen. Die Schlüsselpaargenerierung und asymmetrische kryptografische Operationen unter Verwendung dieser KMS-Schlüssel werden innerhalb von HSMs durchgeführt. Sie können den öffentlichen Teil des asymmetrischen KMS-Schlüssels zur Verwendung in Ihren lokalen Anwendungen anfordern, während der private Teil den Service nie verlässt. Sie können den privaten Teil eines asymmetrischen Schlüssels aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.

Sie können den Service auch auffordern, ein asymmetrisches Datenschlüsselpaar zu generieren. Diese Operation gibt eine Klartextkopie des öffentlichen Schlüssels, des privaten Schlüssels und eine Kopie des privaten Schlüssels zurück, die unter einem von Ihnen angegebenen symmetrischen KMS-Schlüssel verschlüsselt ist. Sie können den öffentlichen oder privaten Klartextschlüssel in Ihrer lokalen Anwendung verwenden und die verschlüsselte Kopie des privaten Schlüssels für die zukünftige Verwendung speichern.

* Asymmetrische Schlüssel werden mit den benutzerdefinierten Schlüsselspeichern nicht unterstützt.

Sie können Hash-basierte Nachrichtenauthentifizierungscodes (HMACs) in den HSMs-140-3-validierten von AWS KMS erzeugen und verifizieren. HMACs sind kryptografische Bausteine, die geheimes Schlüsselmaterial in eine Hash-Funktion einbeziehen, um einen eindeutigen verschlüsselten Nachrichtenauthentifizierungscode zu entwickeln. HMAC-KMS-Schlüssel bieten einen Vorteil gegenüber HMAC-Schlüsseln aus Anwendungssoftware, weil das Schlüsselmaterial vollständig innerhalb von AWS KMS erzeugt und verwendet wird. Sie unterliegen auch den Zugriffskontrollen, die Sie für den Schlüssel festgelegt haben. Die HMAC-KMS-Schlüssel und die HMAC-Algorithmen, die AWS KMS verwendet, entsprechen den in RFC 2104 definierten Industriestandards. HMAC-KMS-Schlüssel werden in AWS-KMS-Hardware-Sicherheitsmodulen generiert, die nach dem FIPS 140-3 Cryptographic Module Validation Program zertifiziert sind und AWS KMS niemals unverschlüsselt verlassen. Sie können auch Ihren eigenen HMAC-Schlüssel aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.

*AWS-KMS-HMAC-Schlüssel werden in benutzerdefinierten Schlüsselspeichern nicht unterstützt.
* FIPS 140-3 gilt nicht für AWS KMS in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia). Die HSMs in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Systeme validiert und zertifiziert:

• AWS-Berichte für System- und Organisationskontrollen (SOC) (SOC 1, SOC 2 und SOC 3). Eine Kopie der Berichte können Sie unter AWS Artifact herunterladen.
• Katalog für Cloud-Computing-Compliance-Kontrollen (C5). Erfahren Sie mehr über das von der deutschen Bundesregierung unterstützte Bescheinigungssystem C5.
• Payment Card Industry Data Security Standard (PCI DSS) Level 1. Erfahren Sie mehr über PCI-DSS-konforme Services in AWS unter Häufig gestellte Fragen zu PCI DSS.
• Federal Information Processing Standards (FIPS) 140-3. Das kryptografische Modul von AWS KMS wurde nach FIPS-140-3-Sicherheitsstufe 3 durch das National Institute of Standards and Technology (NIST) in den USA validiert. Erfahren Sie mehr, indem Sie sich das FIPS-140-3-Zertifikat für AWS KMS HSM und die zugehörige Sicherheitsrichtlinie ansehen.
• Federal Risk and Authorization Management Program (FedRAMP). Weitere Informationen zur AWS-FedRAMP-Compliance finden Sie unter FedRAMP-Compliance.
• Health Insurance Portability and Accountability Act (HIPAA). Weitere Informationen finden Sie auf der HIPAA-Compliance-Website.

AWS KMS ist für andere hier aufgeführte Konformitätsregelungen validiert und zertifiziert.

* FIPS 140-3 gilt nicht für AWS KMS in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia). Die HSMs in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.

Benutzerdefinierte Schlüsselspeicher kombinieren die bequeme und umfassende Schlüsselverwaltungsschnittstelle von AWS KMS mit der Möglichkeit, das/die Gerät(e) zu besitzen und zu kontrollieren, auf dem/denen Schlüsselmaterial und kryptografische Abläufe stattfinden. Infolgedessen übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit der kryptografischen Schlüssel und für den Betrieb der HSMs. AWS KMS bietet zwei Arten von benutzerdefinierten Schlüsselspeichern:

CloudHSM-gesicherter Schlüsselspeicher

Sie können einen KMS-Schlüssel in einem benutzerdefinierten AWS-CloudHSM-Schlüsselspeicher erstellen, indem alle Schlüssel erzeugt und in einem AWS-CloudHSM-Cluster gespeichert werden, die Sie besitzen und verwalten. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge unter diesem Schlüssel ausschließlich in Ihrem AWS-CloudHSM-Cluster ausgeführt.

Die Verwendung eines benutzerdefinierten Schlüsselspeichers ist mit zusätzlichen Kosten für den AWS-CloudHSM-Cluster verbunden und Sie übernehmen die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.

Externer Schlüsselspeicher

Wenn Sie aus rechtlichen Gründen Ihre Verschlüsselungsschlüssel vor Ort oder außerhalb der AWS Cloud speichern und verwenden müssen, können Sie einen KMS-Schlüssel in einem externen AWS-KMS-Schlüsselspeicher (XKS) erstellen, bei dem alle Schlüssel in einem externen Schlüsselmanager außerhalb von AWS erzeugt und gespeichert werden, den Sie besitzen und verwalten. Wenn Sie ein XKS verwenden, verlässt Ihr Schlüsselmaterial niemals Ihr HSM.

Im Gegensatz zu Standard-KMS-Schlüsseln oder einem Schlüssel in einem benutzerdefinierten CloudHSM-Schlüsselspeicher sind Sie bei der Verwendung eines externen Schlüsselspeichers für die Haltbarkeit, Verfügbarkeit, Latenz, Leistung und Sicherheit des Schlüsselmaterials und die kryptografischen Vorgänge für externe Schlüssel verantwortlich. Die Leistung und Verfügbarkeit des KMS-Betriebs kann durch die Hardware-, Software- oder Netzwerkkomponenten der von Ihnen verwendeten XKS-Infrastruktur beeinträchtigt werden. Um mehr über XKS zu erfahren, lesen Sie diesen Blog zu AWS-Neuigkeiten.

* Benutzerdefinierte Schlüsselspeicher sind in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia) nicht verfügbar.
**Benutzerdefinierte Schlüsselspeicher sind für asymmetrische KMS-Schlüssel nicht verfügbar.
*** CodeArtifact unterstützt keine KMS-Schlüssel in einem XKS.

Sie können AWS KMS mit clientseitigen Verschlüsselungsbibliotheken verwenden, um Daten direkt in Ihrer Anwendung auf AWS oder in Hybrid- und Multicloud-Umgebungen zu schützen. Sie können diese Bibliotheken verwenden, um Daten zu verschlüsseln, bevor Sie sie in AWS-Services oder anderen Speichermedien und Services von Drittanbietern speichern. Diese Bibliotheken wurden entwickelt, um Ihnen bei der Ver- und Entschlüsselung von Daten mithilfe von Branchenstandards und bewährten Methode. Mithilfe der Verschlüsselungsbibliotheken können Sie sich auf die Kernfunktionalität Ihrer Anwendung konzentrieren und müssen sich nicht mit der Ver- und Entschlüsselung Ihrer Daten befassen.

• Das AWS-Verschlüsselungs-SDK ist eine allgemeines Verschlüsselungsbibliothek zur Implementierung von Verschlüsselungs- und Entschlüsselungsvorgängen für alle Datentypen.
• Das AWS-Datenbankverschlüsselungs-SDK ist eine Verschlüsselungsbibliothek, die Sie bei der Sicherung vertraulicher Daten in Ihrer Datenbank unterstützt und zusätzliche Features für die Suche und Abfrage verschlüsselter Daten bereitstellt.
• Der Amazon-S3-Encryption-Client ist eine Verschlüsselungsbibliothek zum Verschlüsseln und Entschlüsseln von Objekten, die in Ihrem S3-Bucket gespeichert sind.

Weitere Informationen finden Sie in der Dokumentation zu AWS Crypto Tools.

Große Quantencomputer sind zwar noch nicht allgemein verfügbar, aber die Schaffung eines ausreichend leistungsstarken Quantencomputers würde die Lösung der Schemata beschleunigen, die wir heute in kryptografischen Algorithmen mit öffentlichen Schlüsseln zum Schutz unserer Daten verwenden. AWS ist bereits bei der Arbeit und bereitet sich auf eine Post-Quantum-Welt vor. AWS Key Management Service (KMS) unterstützt Post-Quanten-Kryptographie auf zwei Arten: Post-Quanten-TLS für AWS KMS-Verbindungen und Post-Quanten-Signaturen. Zur Sicherung von TLS-Endpunktverbindungen zu KMS erfolgt dies über den Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM). Für digitale Signaturen unterstützt AWS KMS den FIPS 204 Module-Lattice Digital Signature Standard (ML-DSA), einen quantenresistenten Algorithmus, der Unternehmen dabei helfen soll, neue Quantencomputing-Bedrohungen durch digitale Signaturen zu bekämpfen. Sowohl ML-KEM als auch ML-DSA sind von NIST standardisierte Algorithmen, um sensible Informationen bis weit in die absehbare Zukunft zu schützen, auch nach dem Aufkommen kryptografisch relevanter Quantencomputer.