Visão geral
O AWS Key Management Service (KMS) oferece a você controle centralizado das chaves criptográficas usadas para proteger seus dados. O serviço é integrado a outros serviços da AWS, tornando mais fácil criptografar os dados armazenados nesses serviços e controlar o acesso às chaves que o descriptografam. O AWS KMS também é integrado ao AWS CloudTrail, que ajuda a auditar quem usou quais chaves, em quais recursos e quando. O AWS KMS ajuda os desenvolvedores a adicionarem mais facilmente funcionalidades de criptografia ou assinatura digital aos código de aplicações, diretamente ou usando o AWS SDK. O SDK de criptografia da AWS oferece suporte ao AWS KMS como provedor de chaves para desenvolvedores que precisam criptografar/descriptografar dados localmente dentro das aplicações.
O AWS KMS oferece controle centralizado sobre o ciclo de vida e as permissões das chaves. Você pode criar novas chaves sempre que quiser. Também é possível controlar quem pode gerenciar as chaves separadamente de quem pode usá-las. Como alternativa ao uso de chaves geradas pelo AWS KMS, você pode importar chaves de sua própria infraestrutura de gerenciamento de chaves ou usar chaves armazenadas no cluster do AWS CloudHSM ou chaves mantidas fora da AWS, em seu gerenciador de chaves externo. Você pode escolher a rotação automática de chaves raiz geradas no AWS KMS uma vez por ano, sem a necessidade de recriptografar dados já criptografados. O serviço mantém automaticamente versões mais antigas da chave raiz disponível para descriptografar dados criptografados anteriormente. Você pode gerenciar suas chaves raiz e auditar seu uso no Console de Gerenciamento da AWS ou usar o AWS SDK ou a Interface da Linha de Comando (CLI) da AWS.
* A opção de importação de chaves não está disponível para chaves assimétricas.
Integração de produtos da AWS
O AWS KMS integra-se aos serviços da AWS para criptografar dados em repouso ou para facilitar a assinatura e a verificação usando uma chave do AWS KMS. Para proteger os dados em repouso, os serviços integrados da AWS usam criptografia envelopada, na qual uma chave de dados é usada para criptografar dados e é criptografada em uma chave KMS armazenada no AWS KMS. Para assinatura e verificação, os serviços integrados da AWS usam chaves KMS RSA ou ECC assimétricas no AWS KMS. Para obter mais detalhes sobre como um serviço integrado usa o AWS KMS, consulte a documentação do seu serviço da AWS.
| Alexa for Business[1] | Amazon FSx | Amazon Omics | AWS CloudTrail |
| Amazon AppFlow | AWS Ground Station | Amazon Personalize | AWS CodeArtifact |
| Amazon Athena | Amazon GuardDuty | Amazon QLDB | AWS CodeBuild |
| Amazon Aurora | Amazon HealthLake | Amazon Redshift | AWS CodeCommit[1] |
| Amazon CloudWatch Logs | Amazon Inspector | Amazon Rekognition | AWS CodePipeline |
| Amazon CloudWatch Synthetics | Amazon Kendra | Amazon Relational Database Service (RDS) | AWS Control Tower |
| Amazon CodeGuru | Amazon Keyspaces (for Apache Cassandra) | Amazon Route 53 | AWS Database Migration Service |
| Amazon Comprehend | Amazon Kinesis Data Streams | Amazon S3 | AWS Elastic Disaster Recovery |
| Amazon Connect | Amazon Kinesis Firehose | Amazon SageMaker | AWS Elemental MediaTailor |
| Amazon Connect Customer Profiles | Amazon Kinesis Video Streams | Amazon Simple Email Service (SES) | AWS Glue |
| Amazon Connect Voice ID | Amazon Lex | Amazon Simple Notification Service (SNS) | AWS Glue DataBrew |
| Amazon Connect Wisdom | Amazon Lightsail[1] | Amazon Simple Queue Service (SQS) | AWS IoT SiteWise |
| Amazon DocumentDB | Amazon Location Service | Amazon Textract | AWS Lambda |
| Amazon DynamoDB | Amazon Lookout for Equipment | Amazon Timestream | AWS License Manager |
| Amazon DynamoDB Accelerator (DAX)[1] | Amazon Lookout for Metrics | Amazon Transcribe | AWS Network Firewall |
| Amazon EBS | Amazon Lookout for Vision | Amazon Translate | AWS Proton |
| Amazon EC2 Image Builder | Amazon Macie | Amazon WorkMail | AWS Secrets Manager |
| Amazon EFS | Amazon Managed Blockchain | Amazon WorkSpaces | AWS Snowball |
| Amazon Elastic Container Registry (ECR) | Amazon Managed Service para Prometheus | Amazon WorkSpaces Web | AWS Snowball Edge |
| Amazon Elastic Kubernetes Service (EKS) | Amazon Managed Streaming for Kafka (MSK) | AWS Audit Manager | AWS Snowcone |
| Amazon Elastic Transcoder | Amazon Managed Workflows for Apache Airflow (MWAA) | AWS Application Cost Profiler | AWS Snowmobile |
| Amazon ElastiCache | Amazon MemoryDB | AWS Application Migration Service | AWS Storage Gateway |
| Amazon EMR | Amazon Monitron | AWS App Runner | AWS Systems Manager |
| Amazon EMR Serverless | Amazon MQ | AWS Backup | AWS X-Ray |
| Amazon FinSpace | Amazon Neptune | AWS Certificate Manager[1] | |
| Amazon Forecast | Amazon Nimble Studio | AWS Cloud9[1] | |
| Amazon Fraud Detector | Amazon OpenSearch | AWS CloudHSM[2] |
[1] Compatível apenas com chaves gerenciadas pela AWS.
[2] O AWS KMS é compatível com armazenamento de chaves personalizadas respaldado por um cluster do AWS CloudHSM.
[3] Para obter uma lista de serviços integrados ao AWS KMS nas regiões da AWS China (Pequim), operada pela Sinnet, e AWS China (Ningxia), operada pela NWCD, consulte a integração do AWS KMS Service na China.
Os serviços da AWS não listados acima criptografam os dados do cliente usando chaves pertencentes ao respectivo serviço e por ele gerenciadas.
Monitoramento de auditoria
Se você tiver o AWS CloudTrail habilitado para sua conta da AWS, cada solicitação feita ao AWS KMS será registrada em um arquivo de log. Esse arquivo de log é entregue ao bucket do Amazon Simple Storage Service (Amazon S3) especificado quando você habilitou o AWS CloudTrail. As informações registradas incluem detalhes do usuário, hora, data, ação da API e, quando relevante, a chave usada.
Escalabilidade, resiliência e alta disponibilidade
O AWS KMS é um serviço gerenciado. Conforme cresce o seu uso da criptografia, o serviço escala automaticamente para atender às suas necessidades. Ele ajuda você a gerenciar milhares de chaves KMS na sua conta e a usá-las sempre que quiser. Ele define limites padrão para o número de chaves e as taxas de solicitação. No entanto, se necessário, é possível solicitar um aumento dos limites.
As chaves KMS que você cria ou as que são criadas em seu nome por outros serviços da AWS não podem ser exportadas do serviço. Portanto, o AWS KMS é responsável por sua resiliência. Para ajudar a confirmar que suas chaves e seus dados estejam altamente disponíveis, o AWS KMS armazena várias cópias de versões criptografadas de suas chaves em sistemas projetados para durabilidade de 99,999999999%.
Para dados criptografados ou fluxos de trabalho de assinatura digital que se deslocam entre regiões (recuperação de desastres, arquiteturas de alta disponibilidade multirregionais, DynamoDB Global Tables e assinaturas digitais consistentes distribuídas globalmente), você pode criar chaves KMS multirregionais. Chaves KMS multirregiões são um conjunto de chaves interoperáveis com o mesmo material de chave e IDs de chave que podem ser replicados em várias regiões.
O AWS KMS foi desenvolvido para ser um serviço altamente disponível com um endpoint regional de API. Como a maioria dos serviços da AWS depende dele para criptografia e descriptografia, o AWS KMS é arquitetado para fornecer um nível de disponibilidade. Essa disponibilidade sustenta o restante da AWS e é respaldada pelo contrato de nível de serviço do AWS KMS.
Seguro
O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as chaves em texto simples do serviço. O serviço usa módulos de segurança de hardware (HSMs) validados ou em processo de validação pelo FIPS 140-2 para proteger a confidencialidade e a integridade das chaves. As chaves em texto simples nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. Isso ocorre independentemente de você solicitar que o AWS KMS crie chaves em seu nome, importá-las para o serviço ou criá-las em um cluster do AWS CloudHSM usando o recurso de armazenamento de chaves personalizado. As chaves criadas pelo serviço AWS KMS nunca são transmitidas para fora das regiões da AWS em que foram criadas. Elas podem ser usados apenas na região em que foram criadas. As atualizações do firmware dos HSMs do AWS KMS são monitoradas por um controle de acesso por várias partes, auditado e revisado por um grupo independente dentro da Amazon e por um laboratório certificado pelo NIST em conformidade com o FIPS 140-2.
Para saber mais sobre a arquitetura do AWS KMS e a criptografia usada para proteger suas chaves, leia mais sobre os Detalhes criptográficos do AWS KMS.
* Na região da AWS China (Pequim), operada pela Sinnet, e China (Ningxia), operada pela NWCD, os HSMs são aprovados pelo governo chinês (não validados pelo FIPS 140-2), e o artigo técnico sobre os detalhes de criptografia, mencionado acima, não são aplicáveis.
Chaves assimétricas
O AWS KMS ajuda a criar e usar chaves KMS e pares de chaves de dados assimétricos. Você pode designar uma chave KMS para uso como um par de chaves de assinatura ou de criptografia. A geração de pares de chaves e as operações criptográficas assimétricas utilizando essas chaves KMS são executadas dentro dos HSMs. Você pode solicitar a parte pública da chave KMS assimétrica para uso em aplicativos locais, enquanto a parte privada nunca sai do serviço.
Você também pode solicitar que o serviço gere um par de chaves de dados assimétricas. Essa operação retorna uma cópia da chave pública e da chave privada em texto simples e uma cópia da chave privada criptografada com a chave KMS simétrica que você especificou. Você pode usar a chave pública ou privada em texto simples na aplicação local e armazenar a cópia criptografada da chave privada para uso futuro.
** O armazenamento de chaves personalizadas não é compatível com as chaves assimétricas.
HMAC
Você pode gerar e verificar o código de autenticação de mensagem por hash (HMAC) de dentro dos Hardware Security Modules (HSMs – Módulos de segurança de hardware) validados por FIPS 140-2 do AWS KMS. Os HMACs são blocos de construção criptográfica que incorpora material de chave secreto dentro de uma função hash para criar um único código de autenticação de mensagem chaveada. As chaves HMAC do KMS oferecem uma vantagem sobre os HMACs do software de aplicação, porque o material da chave é gerado e usado inteiramente no AWS KMS. Ele também está sujeito aos controles de acesso que você define na chave. As chaves HMAC do KMS e os algoritmos HMAC que o AWS KMS usa estão em conformidade com os padrões do setor, assim como define a RFC 2104. As chaves HMAC do KMS são geradas em módulos de segurança de hardware do AWS KMS certificados no Programa de validação de módulo criptográfico FIPS 140-2 (exceto nas regiões China (Pequim) e China (Ningxia)) e nunca deixam o AWS KMS sem criptografia.
** As chaves HMAC do AWS KMS não são compatíveis com armazenamentos de chaves personalizadas.
Conformidade
Os controles de segurança e qualidade no AWS KMS foram validados e certificados pelos seguintes regimes de conformidade:
- Relatórios de controles de organização de serviço da AWS (SOC 1, SOC 2 e SOC 3). Você pode baixar uma cópia desses relatórios no AWS Artifact.
- Nível 1 do PCI DSS. Saiba mais sobre os serviços em conformidade com o PCI DSS na AWS em Perguntas frequentes sobre PCI DSS.
- FIPS 140-2. O módulo criptográfico do AWS KMS é validado ou está em processo de validação no FIPS 140-2 Nível 2 no geral e no Nível 3 para várias outras categorias, incluindo segurança física. Saiba mais visualizando o certificado do FIPS 140-2 para HSM do AWS KMS e a política de segurança associada.
- FedRAMP. Saiba mais sobre a conformidade com o AWS FedRAMP em Conformidade com o FedRAMP.
- HIPAA. Para saber mais, acesse a página Conformidade com o HIPAA.
Armazenamentos de chave personalizada
Os armazenamentos de chaves personalizadas combinam a interface prática e abrangente do gerenciamento de chaves do AWS KMS com a capacidade de ter e controlar os dispositivos nos quais o material da chave e as operações criptográficas ocorrem. Como resultado, você assume mais responsabilidade pela disponibilidade e durabilidade das chaves criptográficas e pela operação dos HSMs. O AWS KMS oferece dois tipos de armazenamento de chave personalizada:
Armazenamento de chave com suporte do CloudHSM
Você pode criar uma chave KMS em um armazenamento de chaves personalizadas do AWS CloudHSM, no qual todas as chaves são geradas e armazenadas em um cluster do AWS CloudHSM que você possui e gerencia. Quando você usa uma chave KMS em um armazenamento de chaves personalizadas, as operações de criptografia realizadas com essa chave são executadas apenas em seu cluster do AWS CloudHSM.
O uso de um armazenamento de chaves personalizadas envolve o custo adicional do cluster do AWS CloudHSM, e você se torna responsável pela disponibilidade do material de chaves nesse cluster. Para obter orientação sobre a adequação dos armazenamentos de chaves personalizadas aos seus requisitos, consulte este blog.
Armazenamento de chave externo
Se você tiver uma necessidade regulamentar de armazenar e usar suas chaves de criptografia no local ou fora da Nuvem AWS, é possível criar uma chave do KMS em um armazenamento de chave externa do AWS KMS (XKS), no qual todas as chaves são geradas e armazenadas em um gerenciador de chaves externo fora da AWS que você possui e gerencia. Ao usar um XKS, seu material de chave nunca sai de seu HSM.
Ao contrário das chaves KMS padrão ou de uma chave em um armazenamento de chaves personalizadas do CloudHSM, você é responsável pela durabilidade, disponibilidade, latência, desempenho e segurança do material da chave e pelas operações criptográficas de chaves externas ao usar um armazenamento de chaves externo. A performance e a disponibilidade das operações do KMS podem ser afetadas pelo hardware, software ou componentes de rede da infraestrutura XKS que você usa. Para saber mais sobre o XKS, leia este Blog de notícias da AWS.
* Armazenamentos das chaves personalizadas não estão disponíveis nas regiões da AWS China (Pequim), operada pela Sinnet e China (Ningxia), operada pela NWCD.
** O armazenamento de chaves personalizadas não está disponível para chaves KMS assimétricas.
*** O CodeArtifact não é compatível com chaves KMS em um XKS.
Veja exemplos de definição de preço e calcule os seus custos.
Obtenha acesso instantâneo ao nível gratuito da AWS.
Comece a criar com o AWS Key Management Service no Console AWS.