Geral

P: O que é o AWS Key Management Service (KMS)?
O AWS KMS é um serviço de criptografia gerenciado que permite que você criptografe facilmente seus dados. O AWS KMS oferece uma solução de armazenamento, gerenciamento e auditoria de chaves altamente disponível para que você criptografe dados nos serviços da AWS e em suas próprias aplicações.

P: Por que eu devo usar o AWS KMS?
Se você for desenvolvedor e precisa criptografar dados em seus aplicativos, deve usar os AWS SDKs com o apoio do AWS KMS para usar e proteger facilmente as chaves de criptografia. Se você for administrador de TI e procura uma infraestrutura de gerenciamento de chave escalonável para auxiliar seus desenvolvedores e seu número crescente de aplicativos, você deve usar o AWS KMS para reduzir seus custos de licenciamento e carga operacional. Se você for responsável pelo fornecimento de segurança de dados para fins regulatórios e de conformidade, deve usar o AWS KMS para verificar se os dados estão criptografados de forma consistente em todos os aplicativos em que são usados e armazenados.

P: Como faço para começar a usar o AWS KMS?
A forma mais fácil de começar a usar o AWS KMS é marcar a caixa de seleção para criptografar seus dados dentro dos serviços da AWS compatíveis e usar as chaves padrão que são criadas em sua conta para cada serviço. Se quiser mais controles sobre o gerenciamento dessas chaves, você pode criar chaves no AWS KMS e atribuí-las para serem usadas nos serviços da AWS compatíveis ao criar recursos criptografados, além de usá-las diretamente nos seus próprios aplicativos. O AWS KMS pode ser acessado na seção "Chaves de criptografia" do console do AWS Identity and Access Management (IAM) para acesso baseado na web, e na Interface de linha de comando do AWS KMS ou no AWS SDK para acesso programático. Acesse a página Conceitos básicos para saber mais.

P: Em que regiões o KMS está disponível?
A disponibilidade está listada em nossa página global de Produtos e serviços por região.

P: Quais são os principais recursos de gerenciamento de chave disponíveis no AWS KMS?
Você pode realizar as seguintes funções de gerenciamento de chave no AWS KMS:

  • Criar chaves com alias e descrição exclusivos
  • Importe suas próprias chaves
  • Definir quais usuários e funções do IAM podem gerenciar as chaves
  • Definir quais usuários e funções do IAM podem usar chaves para criptografar e descriptografar dados
  • Decidir se o AWS KMS fará a rotação automática das suas chaves anualmente
  • Desabilitar chaves temporariamente para que elas não possam ser usadas por ninguém
  • Reabilitar as chaves desabilitadas
  • Exclua chaves que você não usa mais
  • Auditar o uso de chaves inspecionando os logs do AWS CloudTrail

P: Com funciona o AWS KMS?
O AWS KMS permite que você gerencie centralmente e armazene em segurança suas chaves. Você pode gerar chaves no AWS KMS ou importá-las por meio de uma infraestrutura de gerenciamento de chaves. Essas chaves podem ser usadas dentro dos aplicativos e dos serviços da AWS compatíveis para proteger os dados. Entretanto, a chave nunca sai do AWS KMS. Você envia dados para o AWS KMS para serem criptografados ou descriptografados, sob chaves que você controla. Você define políticas de uso dessas chaves que determinam quais usuários podem usá-las para criptografar e descriptografar dados. Todas as solicitações de uso dessas chaves são registradas no AWS CloudTrail para que você possa saber quem usou qual chave e quando.

P: Onde meus dados são criptografados se eu usar o AWS KMS?
Você pode usar o AWS KMS para ajudar a criptografar dados localmente em seus próprios aplicativos ou criptografá-los em um serviço da AWS compatível. Você pode usar um AWS SDK com o auxílio do AWS KMS para fazer a criptografia, independentemente de onde seus aplicativos são executados. Você também pode solicitar um serviço da AWS compatível para criptografar seus dados, conforme eles são armazenados. O AWS CloudTrail fornece logs de acesso para permitir que você audite como as chaves foram usadas em qualquer situação.

P: Que serviços de nuvem da AWS são integrados ao AWS KMS?
O AWS KMS é totalmente integrado a vários outros serviços da AWS para tornar a criptografia de dados nesses serviços tão fácil quanto marcar uma caixa e escolher a chave mestra que você deseja usar. Consulte a página Recursos para obter a lista de serviços da AWS integrados ao AWS KMS no momento. Todo o uso das suas chaves em serviços integrados é exibido nos logs do AWS CloudTrail. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre como os serviços integrados usam o AWS KMS.

P: Como os serviços de nuvem da AWS usam minhas chaves para criptografar dados?
Os serviços de nuvem da AWS integrados ao AWS KMS usam um método chamado criptografia de envelope para proteger seus dados. A criptografia de envelope é um método otimizado de criptografia de dados que utiliza duas chaves diferentes. Uma chave de dados é gerada e usada pelo serviço da AWS para criptografar cada parte dos dados ou recurso. A chave de dados é criptografada sob uma chave mestra que você define no AWS KMS. A chave de dados criptografados é então armazenada pelo serviço da AWS. Quando você precisa descriptografar dados usando o serviço da AWS, a chave de dados criptografados é passada para o AWS KMS e descriptografada com a chave mestra usada na sua criptografia, permitindo que o serviço possa descriptografar os dados.

P: Por que usar a criptografia de envelope? Por que não apenas enviar os dados para o AWS KMS para criptografar diretamente?
Embora o AWS KMS aceite o envio de dados de até 4 KB para serem criptografados, a criptografia de envelope pode oferecer benefícios significativos de performance. Quando você criptografa diretamente os dados com o AWS KMS, eles precisam ser transferidos pela rede. A criptografia de envelope reduz a carga de rede para um aplicativo ou serviço da Nuvem AWS. Somente a solicitação e o preenchimento da chave de dados pelo AWS KMS precisam passar pela rede. Como a chave de dados é sempre armazenada de forma criptografada, é fácil e seguro distribuir a chave quando você precisa sem se preocupar com a sua exposição. Chaves de dados criptografadas são enviadas para o AWS KMS e descriptografadas com chaves mestras para finalmente permitir que você descriptografe seus dados. A chave de dados está disponível diretamente em seu aplicativo sem precisar enviar o bloco todo de dados para o AWS KMS e passar pela latência da rede.

P: Qual é a diferença entre uma chave que eu crio e as chaves mestras padrão criadas para mim para usar nos serviços de nuvem da AWS?
Você tem a opção de selecionar uma chave mestra específica para usar quando quiser que um serviço da AWS criptografe dados em seu nome. Uma chave mestra padrão específica para cada serviço é criada em sua conta como uma conveniência na primeira vez que você tentar criar um recurso criptografado. Essa chave é gerenciada AWS KMS, mas você pode sempre auditar seu uso no AWS CloudTrail. Você pode, como alternativa, criar uma chave mestra de cliente no AWS KMS que você usa em seus próprios aplicativos ou em um serviço da AWS compatível. A AWS atualizará as políticas sobre as chaves mestras padrão conforme necessário para habilitar automaticamente novos recursos nos serviços compatíveis. A AWS não modifica políticas sobre chaves que você cria.

P: Por que eu devo criar uma chave mestra de cliente?
Criar uma chave no AWS KMS oferece a você mais controle do que você tem com as chaves mestras padrão do serviço. Ao criar uma chave mestra do cliente, você poderá escolher entre usar material de chave gerado pelo AWS KMS em seu nome ou importar seu próprio material de chave, definir um alias, uma descrição e optar por fazer a mudança da chave automaticamente uma vez por ano, caso ela seja permitida pelo material de chave gerado pelo AWS KMS. Você também pode definir permissões na chave para controlar quem pode usar e gerenciar a chave. As atividades de gerenciamento e de uso relacionados à chave ficam disponíveis para auditoria no AWS CloudTrail.

P: Posso importar chaves para o AWS KMS?
Sim. Você pode importar uma cópia da chave usando sua própria infraestrutura de gerenciamento de chaves para o AWS KMS e usá-la com qualquer serviço da AWS integrado ou em seus próprios aplicativos.

P: Quando posso usar uma chave importada?
Você pode usar uma chave importada para obter maior controle sobre a criação, o gerenciamento do ciclo de vida e a resiliência da chave no AWS KMS. As chaves importadas foram criadas para ajudá-lo a atender aos seus requisitos de conformidade, os quais podem incluir a capacidade de gerar ou manter uma cópia segura da chave na sua infraestrutura, como também a capacidade de excluir a cópia importada da chave sob demanda por meio da infraestrutura da AWS quando você não precisar mais dela.

P: Que tipo de chaves posso importar?
Você pode importar chaves simétricas de 256 bits.

P: Como a chave importada para o AWS KMS é protegida quando em trânsito?
Durante a importação, sua chave deve estar encapsulada por uma chave pública fornecida pelo AWS KMS usando um dos dois esquemas RSA PKCS#1. Dessa forma, você garante que a chave criptografada só possa ser descriptografada pelo AWS KMS.

P: Qual é a diferença entre uma chave importada e uma chave gerada para mim pelo AWS KMS?
Existem duas diferenças principais entre uma chave importada e uma chave criada pelo AWS KMS:

  1. Você deve manter de modo seguro uma cópia das chaves importadas na infraestrutura de gerenciamento de chaves para poder importá-las novamente a qualquer instante. A AWS garante a disponibilidade, a segurança e a resiliência das chaves geradas pelo AWS KMS em seu nome até que você programe sua exclusão.
  2. Você pode definir um período de expiração para uma chave importada a fim de excluí-la automaticamente do AWS KMS após o período de expiração. Você também pode excluir uma chave importada sob demanda sem excluir a chave mestra subjacente do cliente. Além disso, é possível desabilitar ou excluir manualmente uma chave mestra do cliente com uma chave importada a qualquer instante. Uma chave gerada pelo AWS KMS só pode ser desabilitada ou programada para exclusão. Não é possível definir um horário de expiração para ela.

P: Posso fazer a rotação das minhas chaves?
Sim. Se você quiser, o AWS KMS poderá mudar automaticamente as chaves geradas pelo AWS KMS em seu nome uma vez por ano. Não há suporte para a mudança de chave automática de chaves importadas. Se você optar por importar chaves para o AWS KMS, poderá mudá-las manualmente sempre que desejar.

P: Precisarei criptografar novamente meus dados depois que as chaves no AWS KMS forem mudadas?
Se você optar pela mudança automática de chaves pelo AWS KMS em seu nome, não será necessário criptografar novamente os dados. O AWS KMS mantém as versões anteriores das chaves para usar para descriptografar dados criptografados em uma versão anterior da chave. Todas as novas solicitações de criptografia contra uma chave no AWS KMS são criptografadas na versão mais recente da chave.

Se você mudar as chaves manualmente, poderá ser necessário criptografar seus dados novamente, dependendo da configuração da aplicação.

P: Posso excluir uma chave do AWS KMS?
Sim. Você pode programar a exclusão de uma chave mestra do cliente e dos metadados associados criados no AWS KMS com um período de espera configurável de 7 a 30 dias. Esse período de espera permite que você verifique o impacto da exclusão de uma chave sobre suas aplicações e seus usuários que dependem dela. O período de espera padrão é de 30 dias. Você pode cancelar a exclusão durante o período de espera. A chave não pode ser usada se for programada para exclusão até que você a cancele durante o período de espera. A chave é excluída no final do período de espera, caso você não cancele a exclusão. Quando uma chave é excluída, você não pode mais usá-la. Todos os dados protegidos por uma chave mestra excluída tornam-se inacessíveis.

Para chaves mestras do cliente com material de chave importado, é possível excluir o material da chave sem que seja necessário excluir o ID da chave mestra do cliente ou os metadados de duas maneiras. Primeiro, você pode excluir seu material de chave importada sob demanda sem um período de espera. Segundo, no momento da importação do material da chave para a chave mestra do cliente, defina um horário de expiração para definir o tempo que a AWS pode usar seu material de chave importada antes de sua exclusão. Você pode importar novamente seu material de chave para a chave mestra do cliente, caso precise usá-lo de novo.

P: O que devo fazer se meu material de chave importada expirar ou for excluído acidentalmente?
Você pode importar novamente sua cópia do material de chave com um período de expiração válido para o AWS KMS com a chave mestra do cliente original para permitir o seu uso.

P: Posso ser alertado de que preciso importar a chave novamente?
Sim. Depois de importar a sua chave para uma chave mestra do cliente, você receberá uma métrica do Amazon CloudWatch de poucos em poucos minutos, fazendo a contagem regressiva até o momento da expiração da chave importada. Você também receberá um evento do Amazon CloudWatch quando a chave importada com a sua chave mestra do cliente expirar. Você pode criar uma lógica que atue nessas métricas, ou nesses eventos, e importe novamente de modo automático a chave com um novo período de expiração para evitar riscos de disponibilidade.

P: Posso usar o AWS KMS para gerenciar a criptografia de dados fora dos serviços de nuvem da AWS?
Sim. O AWS KMS é compatível com os AWS SDKs, o AWS Encryption SDK e o Amazon S3 Encryption Client para facilitar a criptografia de dados em seus próprios aplicativos, sempre que eles forem executados. Nas plataformas Java, Ruby, .NET e PHP, o AWS SDK é compatível com as APIs do AWS KMS. Visite o website Developing on AWS para obter mais informações.

P: Há um limite para o número de chaves que posso criar no AWS KMS?
Você pode criar até 1.000 chaves mestras de cliente por conta, por região. Como tanto as chaves mestras do cliente ativadas quanto as desativadas são contabilizadas com relação ao limite, nós recomendamos a exclusão das chaves desativadas que você já não usa mais. As chaves mestras padrão criadas em seu nome para uso em serviços da AWS compatíveis não contam nesse limite. Não há limite para o número de chaves de dados que podem ser derivadas usando uma chave mestra e usadas em seu aplicativo ou pelos serviços da AWS para criptografar dados em seu nome. Você pode solicitar um aumento de limite para as chaves mestra de cliente visitando o AWS Support Center.

Faturamento

P: Como será a cobrança e o faturamento relacionados ao uso que eu fizer do AWS KMS?
Com o Amazon KMS você paga somente por aquilo que usar e não há tarifa mínima. Não há taxas de instalação ou compromissos para começar a usar o serviço. No final do mês, seu cartão de crédito receberá a cobrança automática referente ao uso daquele mês.

Você será cobrado por todas as chaves mestras do cliente que criar e por todas as solicitações de API feitas ao serviço mensalmente que ultrapassarem o nível gratuito.

Para obter informações sobre a definição de preço atual, visite a página de definição de preço do AWS KMS.

P: Há um nível gratuito?
Sim. Com o nível de uso gratuito da AWS, você pode começar a usar o AWS KMS gratuitamente em todas as regiões. As chaves mestras padrão criadas em seu nome são gratuitas para armazenar em sua conta. Há um nível gratuito para uso que fornece um número gratuito de solicitações para o AWS KMS por mês. Para obter informações atualizadas sobre definição de preço, inclusive o nível gratuito, visite a página de definição de preço do AWS KMS.

P: Os preços incluem impostos?
Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo o IVA e o imposto sobre vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Você pode saber mais aqui.

Segurança

P: Quem pode usar e gerenciar minhas chaves no AWS KMS?
O AWS KMS recomenda políticas de uso e gerenciamento que você define. Você escolhe se permite que usuários e funções do AWS Identity and Access Management (IAM) da sua conta ou de outras contas usem e gerenciem suas chaves.

P: Como a AWS protege as chaves mestras que eu crio dentro do AWS KMS?
O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as chaves em texto simples do serviço. O serviço usa Hardware Security Modules (HSMs – Módulos de segurança de hardware) validados pelo FIPS 140-2 para proteger a confidencialidade e a integridade das chaves criadas pelo AWS KMS em seu nome ou importadas para o serviço. As chaves em texto simples nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. As chaves do AWS KMS nunca são transmitidas para fora das regiões da AWS onde foram criadas. As atualizações de software nos hosts do serviço e no firmware dos HSMs do AWS KMS são controladas por um controle de acesso com vários participantes, auditado e revisado por um grupo independente dentro da Amazon.

Mais detalhes sobre esses controles de segurança podem ser encontrados no whitepaper Detalhes criptográficos do AWS KMS. Além disso, você pode examinar o certificado FIPS 140-2 do HSM do AWS KMS, juntamente com a política de segurança associada, para obter mais detalhes sobre como o HSM do AWS KMS cumpre os requisitos de segurança do FIPS 140-2. Além disso, você pode fazer download de uma cópia do relatório de Service Organization Controls (SOC – Controle de organização de serviços) disponível no AWS Artifact para saber mais sobre os controles de segurança usados pelo AWS KMS para proteger chaves mestras.

P: Como faço para migrar chaves mestras atuais do AWS KMS para usar HSMs validados pelo FIPS 140-2?
Todas as chaves mestras no AWS KMS, independentemente de sua data de criação ou origem, são protegidas automaticamente por meio de HSMs validados pelo FIPS 140-2. Nenhuma ação é necessária de sua parte para usar os HSMs validados pelo FIPS 140-2.

P: Quais regiões da AWS têm HSMs validados pelo FIPS 140-2?
Os HSMs validados pelo FIPS 140-2 estão disponíveis em todas as regiões comerciais onde o AWS KMS é oferecido.

P: O que está incluído na validação FIPS 140-2 dos HSMs do AWS KMS?
Os detalhes dessa validação podem ser encontrados no certificado FIPS 140-2 do HSM do AWS KMS, juntamente com a política de segurança associada.

P: Qual é a diferença entre os endpoints validados pelo FIPS 140-2 e os HSMs validados pelo FIPS 140-2 no AWS KMS?
O AWS KMS é um serviço em duas camadas. Os endpoints da API recebem solicitações de clientes por uma conexão HTTPS usando apenas pacotes de cifras TLS que oferecem suporte à Perfect Forward Secrecy. Esses endpoints de API autenticam e autorizam a solicitação antes de enviá-la para uma operação criptográfica nos HSMs do AWS KMS.

P: Como faço solicitações de API para o AWS KMS usando endpoints validados pelo FIPS 140-2?
Você configura os aplicativos para conexão aos endpoints HTTPS regionais únicos validados pelo FIPS 140-2. Os endpoints HTTPS validados pelo FIPS 140-2 do AWS KMS usam o OpenSSL FIPS Object Module. Você pode examinar a política de segurança do módulo OpenSSL em https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Os endpoints de API validados pelo FIPS 140-2 estão disponíveis em todas as regiões comerciais onde o AWS KMS é oferecido.

P: Posso usar o AWS KMS como ajuda para cumprir os requisitos de criptografia e gerenciamento de chaves do Payment Card Industry Data Security Standard (PCI DSS 3.1)?
Sim. O AWS KMS foi validado por dispor de funcionalidade e controles de segurança para ajudar a cumprir os requisitos de criptografia e gerenciamento de chaves (mencionados principalmente nas seções 3.5 e 3.6 do PCI DSS 3.1).

Para saber mais detalhes sobre os serviços em conformidade com o PCI DSS na AWS, leia as perguntas frequentes sobre o PCI DSS.

P: Como o AWS KMS protege as chaves de dados que eu exporto e uso em meu aplicativo?
Você pode solicitar que o AWS KMS gere chaves de dados que possam ser retornadas para uso em seu próprio aplicativo. As chaves de dados são criptografadas em uma chave mestra que você define no AWS KMS para que possa armazenar com segurança a chave de dados criptografada com seus dados criptografados. Sua chave de dados criptografados (e, portanto, seus dados de origem) podem ser descriptografados apenas por usuários com permissões para usar a chave mestra original usada para criptografar a chave de dados.

P: Que tamanho de chaves o AWS KMS gera?
As chaves mestras do AWS KMS têm 256 bits. As chaves de dados podem ser geradas com 128 bits ou 256 bits e criptografadas sob a chave mestra que você define. O AWS KMS também permite gerar dados aleatórios de qualquer tamanho necessário para o uso em criptografia.

P: Posso exportar uma chave mestra do AWS KMS e usá-la em meus próprios aplicativos?
Não. As chaves mestras são criadas e usadas apenas no AWS KMS para ajudar a garantir sua segurança, permitir que suas políticas sejam aplicadas de forma consistente e fornecer um log centralizado do seu uso.

P: Em qual região geográfica minhas chaves estão armazenadas?
As chaves são armazenadas e usadas apenas na região em que são criadas. Elas não podem ser transferidas para outra região. Por exemplo, chaves criadas na região central da UE (Frankfurt) são apenas armazenadas e usadas dentro da região central da UE (Frankfurt).

P: Como posso saber quem usou ou alterou a configuração das minhas chaves no AWS KMS?
Os logs no AWS CloudTrail mostrarão as solicitações em suas chaves mestras, incluindo solicitações de gerenciamento (como criação, rotação, desabilitação, edições na política) e solicitações criptográficas (como criptografar/descriptografar). Ative o AWS CloudTrail na sua conta para ver esses logs.

P: Como o AWS KMS se compara com o AWS CloudHSM?
O AWS CloudHSM disponibiliza um cluster de HSMs de locatário único validados pelo FIPS 140-2 nível 3 em uma Amazon Virtual Private Cloud (VPC) para armazenar e usar suas chaves. Você tem controle exclusivo sobre como as chaves são usadas por meio de um mecanismo de autenticação independente da AWS. Você interage com as chaves no seu cluster do AWS CloudHSM de forma semelhante à interação com os aplicativos executados no Amazon EC2. O AWS CloudHSM pode ser usado para oferecer suporte a diversos casos de uso, como gerenciamento de direitos digitais (DRM), infraestrutura de chaves públicas (PKI), assinatura de documentos e funções criptográficas usando interfaces PKCS#11, Java JCE ou Microsoft CNG.

O AWS KMS permite que você crie e controle as chaves de criptografia usadas pelos aplicativos e serviços da AWS compatíveis em várias regiões em todo o mundo usando um único console. O serviço usa um HSM validado pelo FIPS 140-2 para proteger a segurança das chaves. O gerenciamento centralizado de todas as suas chaves no AWS KMS permite que você decida quem pode usar suas chaves, em que condições elas são usadas, quando elas são mudadas e quem pode gerenciá-las. A integração do AWS KMS com o AWS CloudTrail oferece a capacidade de auditar o uso de suas chaves para apoiar suas atividades regulatórias e de conformidade. Você interage com o AWS KMS nos aplicativos usando o AWS SDK para chamar diretamente as APIs de serviço ou o AWS Encryption SDK para executar criptografia do lado do cliente.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço.

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comece a criar no console

Comece a criar com o AWS Key Management Service no Console AWS.

Fazer login 
Conteúdo da página
Geral Faturamento Segurança