AWS Key Management Service offre funzionalità di controllo centralizzato delle chiavi di crittografia utilizzate per proteggere i dati. È possibile creare, importare, modificare regolarmente, disabilitare, eliminare le chiavi di crittografia impiegate per crittografare i dati, nonché definirne policy di utilizzo e monitorarne l'uso. AWS Key Management Service si integra con la maggior parte degli altri servizi AWS, semplificando il processo di crittografia dei dati memorizzati in questi servizi mediante chiavi di crittografia sotto il tuo controllo. AWS KMS è integrato con AWS CloudTrail e ciò consente di monitorare l’utilizzo delle chiavi, gli utenti che le impiegano e le risorse su cui tali chiavi vengono utilizzate. AWS KMS consente agli sviluppatori di crittografare i dati in pochi clic nella Console di gestione AWS, oppure utilizzando il kit SDK AWS, che permette di aggiungere la crittografia nel codice dell'applicazione.

Prova AWS Key Management Service

Nozioni di base su AWS
Accedi alla Console

Crea gratuitamente il tuo account Amazon Web Services e ricevi 12 mesi di accesso gratuito a prodotti e servizi.

Visualizza i dettagli del piano gratuito di AWS »

AWS Key Management Service garantisce un controllo centralizzato di tutte le chiavi di crittografia. È possibile creare, importare e modificare regolarmente le chiavi con la massima semplicità; è sufficiente definire policy di utilizzo e monitorarne l'uso tramite la Console di gestione AWS, kit SDK o interfaccia a riga di comando di AWS. Le chiavi master in KMS, sia quelle importate sia quella create da KMS, vengono immagazzinate in storage estremamente durevoli crittografati, per semplificarne il recupero quando necessarie. Puoi impostare KMS in modo che esegua la rotazione automatica delle chiavi master create in KMS una volta all'anno senza dover crittografare nuovamente i dati già codificati in base alle chiave master. Non dovrai tenere traccia delle versioni precedenti delle chiavi master perché tali chiavi risulteranno sempre disponibili in KMS per decrittografare i dati precedentemente crittografati. Puoi creare nuove chiavi master e controllare chi ha accesso a tali chiavi e con quali servizi puoi utilizzarle in qualsiasi momento. Potrai anche importare chiavi dall'infrastruttura di gestione delle chiavi in uso per impiegarle in KMS.

AWS Key Management Service è integrato con la maggior parte degli altri servizi AWS. Grazie a questa integrazione, puoi utilizzare le chiavi master di AWS KMS per crittografare i dati memorizzati con i servizi interessati. Puoi usare una chiave master predefinita creata automaticamente e utilizzabile all'interno del servizio integrato o selezionare una chiave master personalizzata creata in KMS o importata dall'infrastruttura di gestione delle chiavi in uso e per la quale disponi del permesso di utilizzo.

Servizi AWS integrati con KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager  
Amazon Connect
Amazon Connect
Amazon Connect
Amazon Connect
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon Kinesis Video Streams
Amazon Kinesis Video Streams
AWS CloudTrail
AWS CloudTrail
AWS Systems Manager
Amazon Relational Database Service
Amazon Relational Database Service
AWS X-Ray
AWS X-Ray
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS CodePipeline
AWS CodePipeline
AWS CodeDeploy
AWS CodeDeploy
AWS CodeCommit
AWS CodeBuild
AWS Cloud9*
AWS Auto Scaling
AWS Auto Scaling
Amazon WorkSpaces
AWS Certificate Manager*
AWS Certificate Manager*
AWS CloudTrail
AWS CloudTrail
AWS CloudTrail
AWS Database Migration Service
AWS Database Migration Service
AWS Systems Manager
AWS Systems Manager
AWS Storage Gateway
Amazon Simple Email Service (SES)
Amazon Simple Email Service (SES)
Amazon WorkMail
AWS CloudTrail
AWS CloudTrail
AWS CodeBuild
AWS CodeBuild
AWS CodeCommit*
AWS CodeCommit*
AWS CodePipeline
AWS Snowball
AWS Snowmobile
AWS Storage Gateway

*Supporta solo chiavi KMS gestite da AWS. 

AWS KMS è integrato anche con l’SDK AWS, l’interfaccia a riga di comando (CLI) AWS e implementa un’API RESTful. Quando usi queste interfacce per crittografare o decrittografare i dati, le operazioni corrispondenti verranno eseguite automaticamente. Dovrai solo selezionare la chiave master KMS da utilizzare. KMS è inoltre integrato con AWS CloudFormation per consentirti di creare rapidamente le chiavi in KMS mediante il modello di CloudFormation per KMS.

Se hai abilitato AWS CloudTrail per il tuo account AWS, ogni utilizzo di una chiave memorizzata in KMS viene registrato in un file di log che viene trasmesso al bucket di Amazon S3 specificato quando hai abilitato AWS CloudTrail. Le informazioni registrate includono i dettagli relativi all’utente, la chiave, nonché la data e l’ora di utilizzo di tale chiave.

AWS Key Management Service è un servizio gestito. A mano a mano che aumentano le tue esigenze di utilizzo delle chiavi di crittografia di AWS KMS, non sarai costretto ad acquistare elementi aggiuntivi per la tua infrastruttura per la gestione delle chiavi. AWS KMS adatta ricalibra automaticamente le risorse in base alle esigenze relative alle chiavi di crittografia.

Le chiavi master create da AWS KMS o importate non possono esportate. AWS KMS memorizza più copie delle versioni crittografate delle chiavi in sistemi caratterizzati da una durabilità pari al 99,999999999% per garantire la costante disponibilità delle chiavi quando è necessario. Se importi chiavi in KMS, consigliamo di conservarne una copia in un percorso sicuro per poterle eventualmente reimportare in qualsiasi momento.

AWS KMS è distribuito in più zone di disponibilità all’interno di una regione AWS a garanzia dell’elevata disponibilità delle chiavi di crittografia.

AWS KMS è progettato in modo che nessuno, nemmeno i dipendenti di AWS, possano ottenere dal servizio le chiavi in testo semplice. Il servizio usa infatti moduli di sicurezza hardware conformi allo standard FIPS 140-2 per proteggere la confidenzialità e l'integrità delle chiavi, sia che vengano create da KMS sia che vengano importate. Le chiavi in testo semplice non vengono mai scritte su disco e vengono utilizzate solo nella memoria volatile dei moduli di sicurezza per l'intervallo di tempo strettamente necessario per eseguire l'operazione di crittografia. Le chiavi KMS non vengono mai trasmesse all'esterno delle regioni AWS in cui sono state create. Gli aggiornamenti al firmware dei moduli di sicurezza hardware di KMS vengono monitorati mediante un processo di controllo multilaterale che viene tenuto sotto controllo e verificato da un gruppo indipendente interno di Amazon.

Per ulteriori informazioni sul funzionamento di AWS KMS, consulta il whitepaper relativo a AWS Key Management Service.

I controlli di sicurezza e qualità in AWS KMS sono stati convalidati e certificati in base ai seguenti schemi di conformità: