Experimente o AWS Key Management Service

Conceitos básicos da AWS
Ou faça login no console

Crie sua conta gratuita com a Amazon Web Services e receba 12 meses de acesso aos produtos e serviços.

Veja os detalhes do nível gratuito da AWS »


O AWS KMS é um serviço de criptografia gerenciado que permite que você criptografe facilmente seus dados. O AWS KMS oferece uma solução de armazenamento, gerenciamento e auditoria de chaves altamente disponível para que você criptografe dados nos serviços da AWS e em suas próprias aplicações.

Se você for desenvolvedor e precisa criptografar dados em seus aplicativos, deve usar os AWS SDKs com o apoio do AWS KMS para usar e proteger facilmente as chaves de criptografia. Se você for administrador de TI e procura uma infraestrutura de gerenciamento de chave escalonável para auxiliar seus desenvolvedores e seu número crescente de aplicativos, você deve usar o AWS KMS para reduzir seus custos de licenciamento e carga operacional. Se você for responsável pelo fornecimento de segurança de dados para fins regulatórios e de conformidade, deve usar o AWS KMS para verificar se os dados estão criptografados de forma consistente em todos os aplicativos em que são usados e armazenados.

A forma mais fácil de começar a usar o AWS KMS é marcar a caixa de seleção para criptografar seus dados dentro dos serviços da AWS compatíveis e usar as chaves padrão que são criadas em sua conta para cada serviço. Se quiser mais controles sobre o gerenciamento dessas chaves, você pode criar chaves no AWS KMS e atribuí-las para serem usadas nos serviços da AWS compatíveis ao criar recursos criptografados, além de usá-las diretamente nos seus próprios aplicativos. O AWS KMS pode ser acessado na seção "Chaves de criptografia" do console do AWS Identity and Access Management (IAM) para acesso baseado na web, e na Interface de linha de comando do AWS KMS ou no AWS SDK para acesso programático. Visite a página Conceitos básicos para saber mais.

A disponibilidade está listada em nossa página global de Produtos e serviços por região .

Você pode realizar as seguintes funções de gerenciamento de chave no AWS KMS:

  • Criar chaves com alias e descrição exclusivos
  • Importe suas próprias chaves
  • Definir quais usuários e funções do IAM podem gerenciar as chaves
  • Definir quais usuários e funções do IAM podem usar chaves para criptografar e descriptografar dados
  • Decidir se o AWS KMS fará a rotação automática das suas chaves anualmente
  • Desabilitar chaves temporariamente para que elas não possam ser usadas por ninguém
  • Reabilitar as chaves desabilitadas
  • Exclua chaves que você não usa mais
  • Auditar o uso de chaves inspecionando os logs do AWS CloudTrail

O AWS KMS permite que você gerencie centralmente e armazene em segurança suas chaves. Você pode gerar chaves no KMS ou importá-las por meio da sua infraestrutura de gerenciamento de chaves. Essas chaves podem ser usadas dentro dos seus aplicativos e dos serviços da AWS compatíveis para proteger seus dados, mas a chave nunca sai do AWS KMS. Você envia dados para o AWS KMS para serem criptografados ou descriptografados, sob chaves que você controla. Você define políticas de uso dessas chaves que determinam quais usuários podem usá-las para criptografar e descriptografar dados. Todas as solicitações de uso dessas chaves são registradas no AWS CloudTrail para que você possa saber quem usou qual chave e quando.

Você pode usar o AWS KMS para ajudar a criptografar dados localmente em seus próprios aplicativos ou criptografá-los em um serviço da AWS compatível. Você pode usar um AWS SDK com o auxílio do AWS KMS para fazer a criptografia, independentemente de onde seus aplicativos são executados. Você também pode solicitar um serviço da AWS compatível para criptografar seus dados, conforme eles são armazenados. O AWS CloudTrail fornece logs de acesso para permitir que você audite como as chaves foram usadas em qualquer situação.

O AWS Key Management Service é totalmente integrado a vários outros serviços da AWS para tornar a criptografia de dados nesses serviços tão fácil quanto selecionar uma caixa e escolher a chave mestra que você deseja usar. Consulte a página Detalhes do produto para obter a lista de serviços da AWS integrados ao KMS no momento. Todo o uso das suas chaves em serviços integrados é exibido nos logs do AWS CloudTrail. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre como os serviços integrados usam o AWS KMS.

Os serviços de nuvem da AWS integrados ao AWS KMS usam um método chamado criptografia de envelope para proteger seus dados. A criptografia de envelope é um método otimizado de criptografia de dados que utiliza duas chaves diferentes. Uma chave de dados é gerada e usada pelo serviço da AWS para criptografar cada parte dos dados ou recurso. A chave de dados é criptografada sob uma chave mestra que você define no AWS KMS. A chave de dados criptografados é então armazenada pelo serviço da AWS. Quando você precisa descriptografar dados usando o serviço da AWS, a chave de dados criptografados é passada para o AWS KMS e descriptografada com a chave mestra usada na sua criptografia, permitindo que o serviço possa descriptografar os dados.

Embora o AWS KMS suporte o envio de dados de até 4 KB para serem criptografados, a criptografia de envelope pode oferecer benefícios significativos de desempenho. Quando você criptografa diretamente os dados com o KMS, eles precisam ser transferidos pela rede. A criptografia de envelope reduz a carga de rede para seu aplicativo ou serviço de nuvem da AWS. Apenas a solicitação e preenchimento da chave de dados pelo KMS precisam passar pela rede. Como a chave de dados é sempre armazenada de forma criptografada, é fácil e seguro distribuir a chave quando você precisa sem se preocupar com a sua exposição. Chaves de dados criptografadas são enviadas para o AWS KMS e descriptografadas com chaves mestras para finalmente permitir que você descriptografe seus dados. A chave de dados está disponível diretamente em seu aplicativo sem precisar enviar o bloco todo de dados para o AWS KMS e passar pela latência da rede.

Você tem a opção de selecionar uma chave mestra específica para usar quando quiser que um serviço da AWS criptografe dados em seu nome. Uma chave mestra padrão específica para cada serviço é criada em sua conta como uma conveniência na primeira vez que você tentar criar um recurso criptografado. Essa chave é gerenciada AWS KMS, mas você pode sempre auditar seu uso no AWS CloudTrail. Você pode, como alternativa, criar uma chave mestra de cliente no AWS KMS que você usa em seus próprios aplicativos ou em um serviço da AWS compatível. A AWS atualizará as políticas sobre as chaves mestras padrão conforme necessário para habilitar automaticamente novos recursos nos serviços compatíveis. A AWS não modifica políticas sobre chaves que você cria.

Criar uma chave no AWS KMS oferece a você mais controle do que você tem com as chaves mestras padrão do serviço. Ao criar uma chave mestra do cliente, você pode escolher usar material de chave gerado pelo KMS no seu nome ou importar seu próprio material de chave, definir um alias, uma descrição e optar por fazer a mudança da chave automaticamente uma vez por ano, caso ela seja respaldada pelo material de chave gerado pelo KMS. Você também pode definir permissões na chave para controlar quem pode usar e gerenciar a chave. As atividades de gerenciamento e de uso relacionados à chave ficam disponíveis para auditoria no AWS CloudTrail.

Sim. Você pode importar uma cópia da sua chave por meio de sua própria infraestrutura de gerenciamento de chaves para o KMS e usá-la com qualquer serviço da AWS integrado ou por meio de sua próprias aplicações.

Você pode usar uma chave importada para obter maior controle sobre a criação, o gerenciamento do ciclo de vida e a durabilidade da sua chave no KMS. As chaves importadas foram criadas para ajudá-lo a atender aos seus requisitos de conformidade, os quais podem incluir a capacidade de gerar ou manter uma cópia segura da chave na sua infraestrutura, como também a capacidade de excluir a cópia importada da chave sob demanda por meio da infraestrutura da AWS quando você não precisar mais dela.

Você pode importar chaves simétricas de 256 bits.

Durante a importação, sua chave deve estar encapsulada por uma chave pública disponibilizada pelo KMS usando um dos dois esquemas RSA PKCS#1. Isso garante que a sua chave criptografada só possa ser descriptografada pelo KMS.

Existem duas diferenças principais entre uma chave que você importa e uma chave criada para você pelo KMS:
  1. Você deve manter de modo seguro uma cópia das chaves importadas na infraestrutura de gerenciamento de chaves para que possa importá-las novamente a qualquer instante. A AWS garante a disponibilidade, a segurança e a durabilidade das chaves geradas no seu nome até que você programe sua exclusão.
  2. Você pode definir um período de expiração para que uma chave importada exclua automaticamente a chave do KMS após o período de expiração. Você também pode excluir uma chave importada sob demanda sem excluir a chave mestra subjacente do cliente. Além disso, é possível desabilitar ou excluir manualmente uma chave mestra do cliente com uma chave importada a qualquer instante. Uma chave gerada pelo KMS só pode ser desabilitada ou programada para exclusão, não é possível definir um horário de expiração para ela.

Sim. Você pode escolher que o KMS mude uma vez por ano as chaves geradas por ele automaticamente em seu nome. A mudança de chave automática não é compatível com chaves importadas. Se você escolher importar chaves para o KMS, poderá mudá-las manualmente sempre que desejar.

Se você escolher que o KMS mude automaticamente as chaves geradas por ele em seu nome, não será necessário criptografar novamente seus dados. O AWS KMS mantém as versões anteriores das chaves para usar para descriptografar dados criptografados em uma versão anterior da chave. Todas as novas solicitações de criptografia contra uma chave no AWS KMS são criptografadas na versão mais recente da chave.

Se você mudar as chaves manualmente, poderá ser necessário criptografar seus dados novamente, dependendo da configuração da aplicação.  

Sim. Você pode programar a exclusão de uma chave mestra do cliente e metadados associados criados no KMS, com um período de espera configurável que varia entre 7 a 30 dias. Esse período de espera permite que você verifique o impacto da exclusão de uma chave sobre suas aplicações e seus usuários que dependem dela. O período de espera padrão é de 30 dias. Você pode cancelar a exclusão durante o período de espera. A chave não pode ser usada se for programada para exclusão até que você a cancele durante o período de espera. A chave é excluída no final do período de espera, caso você não cancele a exclusão. Quando uma chave é excluída, você não pode mais usá-la. Todos os dados protegidos por uma chave mestra excluída tornam-se inacessíveis.

Para chaves mestras do cliente com material de chave importado, é possível excluir o material da chave sem que seja necessário excluir o ID da chave mestra do cliente ou os metadados de duas maneiras. Primeiro, você pode excluir seu material de chave importada sob demanda sem um período de espera. Segundo, no momento da importação do material da chave para a chave mestra do cliente, defina um horário de expiração para definir o tempo que a AWS pode usar seu material de chave importada antes de sua exclusão. Você pode importar novamente seu material de chave para a chave mestra do cliente, caso precise usá-lo de novo.

Você pode importar novamente sua cópia do material de chave com um horário de expiração válido para o KMS com a chave mestra do cliente original para que ela possa ser usada.

Sim. Depois de importar a sua chave para uma chave mestra do cliente, você receberá uma métrica do Amazon CloudWatch de poucos em poucos minutos, fazendo a contagem regressiva até o momento da expiração da chave importada. Você também receberá um evento do Amazon CloudWatch quando a chave importada com a sua chave mestra do cliente expirar. Você pode criar uma lógica que atue nessas métricas, ou nesses eventos, e importe novamente de modo automático a chave com um novo período de expiração para evitar riscos de disponibilidade. 

Sim. O AWS KMS é compatível com os AWS SDKs, o AWS Encryption SDK e o Amazon S3 Encryption Client para facilitar a criptografia de dados em seus próprios aplicativos, sempre que eles forem executados. Nas plataformas Java, Ruby, .NET e PHP, o AWS SDK é compatível com as APIs do AWS KMS. Visite o website Developing on AWS para obter mais informações.

Você pode criar até 1.000 chaves mestras de cliente por conta, por região. Como tanto as chaves mestras do cliente ativadas quanto as desativadas são contabilizadas com relação ao limite, nós recomendamos a exclusão das chaves desativadas que você já não usa mais. As chaves mestras padrão criadas em seu nome para uso em serviços da AWS compatíveis não contam nesse limite. Não há limite para o número de chaves de dados que podem ser derivadas usando uma chave mestra e usadas em seu aplicativo ou pelos serviços da AWS para criptografar dados em seu nome. Você pode solicitar um aumento de limite para as chaves mestra de cliente visitando o AWS Support Center.

Com o Amazon KMS você paga somente por aquilo que usar e não há tarifa mínima. Não há taxas de instalação ou gastos para começar a usar o serviço. No final do mês, seu cartão de crédito receberá a cobrança automática referente ao uso daquele mês.

Você será cobrado por todas as chaves mestras do cliente que criar e por todas as solicitações de API feitas ao serviço mensalmente que ultrapassarem o nível gratuito.

Para obter informações sobre a definição de preço atual, visite a página de definição de preço do AWS KMS.

Sim. Com o nível de uso gratuito da AWS, você pode começar a usar o AWS KMS gratuitamente em todas as regiões. As chaves mestras padrão criadas em seu nome são gratuitas para armazenar em sua conta. Há um nível gratuito para uso que fornece um número gratuito de solicitações para o AWS KMS por mês. Para obter informações atualizadas sobre definição de preço, inclusive o nível gratuito, visite a página de definição de preço do AWS KMS.

Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo o IVA e o imposto de vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Você pode saber mais aqui.

O AWS KMS recomenda políticas de uso e gerenciamento que você define. Você escolhe se permite que usuários e funções do AWS Identity and Access Management (IAM) da sua conta ou de outras contas usem e gerenciem suas chaves.

O AWS KMS é projetado para que ninguém tenha acesso às suas chaves mestras. O serviço é construído em sistemas projetados para proteger suas chaves mestras com amplas técnicas de fortificação, como nunca armazenar chaves mestras em texto simples em disco, não mantê-las na memória e limitar os sistemas que podem se conectar ao dispositivo. Todo acesso para atualizar software no serviço é controlado por um processo de aprovação de vários níveis que é auditado e revisado por um grupo independente na Amazon.

Mais detalhes sobre esses controles de segurança podem ser encontrados no whitepaper AWS KMS Cryptographic Details. Além disso, você pode solicitar uma cópia do relatório de Controle de organização de serviço (SOC) disponível em Conformidade com a AWS para saber mais sobre os controles de segurança que a AWS usa para proteger seus dados e chaves mestras.

 

Sim. O KMS foi validado por dispor de funcionalidade e controles de segurança para ajudá-lo a cumprir os requisitos de criptografia e gerenciamento de chaves (referenciados principalmente nas seções 3.5 e 3.6 do PCI DSS 3.1).

Para saber mais detalhes sobre os serviços compatíveis com PCI DSS na AWS, leia as Perguntas frequentes sobre o PCI DSS.

Você pode solicitar que o AWS KMS gere chaves de dados que possam ser retornadas para uso em seu próprio aplicativo. As chaves de dados são criptografadas em uma chave mestra que você define no AWS KMS para que possa armazenar com segurança a chave de dados criptografada com seus dados criptografados. Sua chave de dados criptografados (e, portanto, seus dados de origem) podem ser descriptografados apenas por usuários com permissões para usar a chave mestra original usada para criptografar a chave de dados.

As chaves mestras do AWS KMS têm 256 bits. As chaves de dados podem ser geradas com 128 bits ou 256 bits e criptografadas sob a chave mestra que você define. O AWS KMS também permite gerar dados aleatórios de qualquer tamanho necessário para o uso em criptografia.

Não. As chaves mestras são criadas e usadas apenas no AWS KMS para ajudar a garantir sua segurança, permitir que suas políticas sejam aplicadas de forma consistente e fornecer um log centralizado do seu uso.

As chaves são armazenadas e usadas apenas na região em que são criadas. Elas não podem ser transferidas para outra região. Por exemplo, chaves criadas na região central da UE (Frankfurt) são apenas armazenadas e usadas dentro da região central da UE (Frankfurt).

Os logs no AWS CloudTrail mostrarão as solicitações em suas chaves mestras, incluindo solicitações de gerenciamento (como criação, rotação, desabilitação, edições na política) e solicitações criptográficas (como criptografar/descriptografar). Ative o AWS CloudTrail na sua conta para ver esses logs.

O AWS CloudHSM disponibiliza um HSM de locatário único validado pelo FIPS 140-2 nível 3 em uma Amazon Virtual Private Cloud (VPC) para armazenar e usar suas chaves. Você tem total controle sobre as suas chaves e o software aplicativo que as usa com o AWS CloudHSM. Além disso, você pode usar o AWS CloudHSM para oferecer suporte a uma variedade de casos de uso e aplicativos, como gerenciamento de direitos digitais (DRM), infraestrutura de chaves públicas (PKI), funções de criptografia assimétrica, assinatura de documentos e alto desempenho de aceleração de criptografia nas VPCs.

O AWS KMS permite que você controle as chaves de criptografia usadas pelos seus aplicativos e serviços da AWS compatíveis em várias regiões em todo o mundo a partir de um único console. O gerenciamento centralizado de todas as suas chaves no AWS KMS permite que você decida quem pode usar suas chaves, quando elas passarão por rotação e quem pode gerenciá-las. A integração do AWS KMS com o AWS CloudTrail oferece a capacidade de auditar o uso de suas chaves para apoiar suas atividades regulatórias e de conformidade.