O AWS Key Management Service oferece a você controle centralizado das chaves de criptografia usadas para proteger seus dados. Você pode criar, importar, mudar, desabilitar, excluir, definir políticas de uso e auditorar a utilização das chaves de criptografia usadas para criptografar seus dados. O AWS Key Management Service é integrado a vários outros Serviços da AWS, o que facilita a criptografia de dados armazenados nesses serviços, com chaves de criptografia controladas por você. O AWS KMS é integrado com o AWS CloudTrail, que oferece a habilidade de auditar quem usou quais chaves em quais recursos e quando. O AWS KMS permite que os desenvolvedores criptografem dados facilmente, seja com criptografia de 1 clique no AWS Management Console, ou usando o AWS SDK para adicionar facilmente criptografia em seu código de aplicativo.

Experimente o AWS Key Management Service

Conceitos básicos da AWS
Ou faça login no console

Crie sua conta gratuita com a Amazon Web Services e receba 12 meses de acesso aos produtos e serviços.

Veja os detalhes do nível gratuito da AWS »

O AWS Key Management Service fornece controle centralizado de suas chaves de criptografia. Você pode criar, importar e mudar chaves facilmente, além de definir políticas de uso e auditorar a utilização por meio do Console de Gerenciamento da AWS ou usando o AWS SDK ou a CLI. As chaves mestras no KMS, sejam elas importadas por você ou criadas em seu nome pelo KMS, são armazenadas em um local resiliente, com um formato criptografado, para ajudá-lo a garantir que elas possam ser recuperadas quando for necessário. Você pode solicitar que o KMS mude automaticamente as chaves criadas no KMS uma vez por ano sem a necessidade de criptografar novamente os dados que já foram criptografados com sua chave mestra. Você não precisa monitorar as versões anteriores das chaves mestras, pois o KMS as mantêm disponíveis para descriptografar dados anteriormente criptografados. Você pode criar novas chaves mestras e controlar quem tem acesso a essas chaves e com quais serviços elas podem ser usadas sempre que você quiser. Você também pode importar chaves da sua própria infraestrutura de gerenciamento de chaves e usá-las no KMS.

O AWS Key Management Service é totalmente integrado a vários outros Serviços da AWS. Essa integração significa que você pode usar facilmente as chaves mestras do AWS KMS para criptografar os dados armazenados nesses serviços. É possível usar uma chave mestra padrão criada para você automaticamente e que só pode ser utilizada no serviço integrado, ou selecionar uma chave mestra personalizada criada no KMS ou importada da sua própria infraestrutura de gerenciamento de chaves para a qual você tem permissão de uso.

Categoria de produtos da AWS Serviços da AWS integrados ao KMS
Computação Amazon Lightsail*, Amazon EC2 SSM, AWS Lambda

Armazenamento e entrega de conteúdo

Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway, Amazon EFS
Bancos de dados Amazon RDS, Amazon Redshift, AWS Database Migration Service
Ferramentas do desenvolvedor AWS CodeCommit*, AWS CodeBuild**, AWS CodeDeploy**, AWS CodePipeline**
Ferramentas de gerenciamento AWS CloudTrail, Amazon CloudWatch Logs**
Análises Amazon EMR, Amazon Kinesis Firehose, Amazon Kinesis Streams, Amazon Athena
Serviços de aplicações Amazon Elastic Transcoder, Amazon SES, Amazon SQS
Aplicações empresariais Amazon WorkSpaces, Amazon WorkMail
Segurança, identidade e conformidade AWS Certificate Manager*
Central de contatos Amazon Connect

*no momento, só serão aceitas chaves do KMS gerenciadas pela AWS. 
**no momento, só serão aceitas chaves KMS gerenciadas pelo cliente.

O AWS KMS também é integrado ao AWS SDK, à Interface da Linha de Comando (ILC) da AWS e oferece uma API RESTful. Quando você usa essas interfaces para criptografar ou descriptografar dados, essas operações acontecem automaticamente − você apenas seleciona qual chave mestra do KMS deve ser usada. Além disso, o KMS é integrado ao AWS CloudFormation para que você possa criar chaves no KMS rapidamente, usando o modelo do CloudFormation para KMS.

Se você tiver o AWS CloudTrail habilitado para sua conta da AWS, cada utilização de uma chave que você armazenar no KMS é registrada em um arquivo de log que é enviado para o bucket do Amazon S3 que você especificou ao habilitar o AWS CloudTrail. As informações registradas incluem detalhes do usuário, hora, data e a chave usada.

O AWS Key Management Service é um serviço gerenciado. Conforme o seu uso de chaves de criptografia do AWS KMS aumentar, não será necessário comprar infraestrutura de gerenciamento de chaves adicional. O AWS KMS oferece escalabilidade automática para atender às suas necessidades de chave de criptografia.

As chaves mestras criadas no seu nome pelo AWS KMS ou importadas por você não podem ser exportadas pelo serviço. O AWS KMS armazena várias cópias de versões criptografadas de suas chaves em sistemas projetados para ter 99,999999999% de durabilidade para ajudar a garantir que suas chaves estejam disponíveis quando você precisar acessá-las. Se você importar chaves para o KMS, deverá manter de modo seguro uma cópia das suas chaves para que possa importá-las novamente a qualquer instante.

O AWS KMS é implementado em várias zonas de disponibilidade dentro de uma região da AWS para fornecer alta disponibilidade para suas chaves de criptografia.

O AWS KMS é projetado para que ninguém tenha acesso às suas chaves mestras. O serviço é criado em sistemas projetados para proteger suas chaves mestras com amplas técnicas de proteção, como nunca armazenar chaves mestras em texto simples em disco, não mantê-las na memória e limitar que sistemas podem acessar hosts que usam as chaves. Todo acesso para atualização de software no serviço é administrado por um controle de acesso para vários participantes que é auditorado e revisado por um grupo independente na Amazon.

Para saber mais sobre como o AWS KMS funciona, você pode ler o whitepaper sobre o AWS Key Management Service.

Controles de segurança e qualidade no AWS KMS foram validados e certificados pelos seguintes esquemas de conformidade: