Visão geral

O AWS Key Management Service oferece a você controle centralizado das chaves de criptografia usadas para proteger seus dados. Você pode criar, importar, mudar, desabilitar, excluir, definir políticas de uso e auditar a utilização das chaves de criptografia usadas para criptografar seus dados. O AWS Key Management Service é integrado à maioria dos outros serviços da AWS, o que facilita a criptografia de dados armazenados nesses serviços, com chaves de criptografia controladas por você. O AWS KMS é integrado com o AWS CloudTrail, que oferece a habilidade de auditar quem usou quais chaves em quais recursos e quando. O AWS KMS permite que os desenvolvedores criptografem dados facilmente, seja com criptografia de 1 clique no Console de Gerenciamento da AWS, ou usando o AWS SDK para adicionar facilmente criptografia em seu código de aplicativo.

Gerenciamento de chaves centralizado

O AWS Key Management Service fornece controle centralizado de suas chaves de criptografia. Você pode criar, importar e mudar chaves facilmente, além de definir políticas de uso e auditar a utilização por meio do Console de Gerenciamento da AWS ou usando o AWS SDK ou a CLI. As chaves mestras no KMS, sejam elas importadas por você ou criadas em seu nome pelo KMS, são armazenadas em um local resiliente, com um formato criptografado, para ajudá-lo a garantir que elas possam ser recuperadas quando for necessário. Você pode solicitar que o KMS mude automaticamente as chaves criadas no KMS uma vez por ano sem a necessidade de criptografar novamente os dados que já foram criptografados com sua chave mestra. Você não precisa monitorar as versões anteriores das chaves mestras, pois o KMS as mantêm disponíveis para descriptografar dados anteriormente criptografados. Você pode criar novas chaves mestras e controlar quem tem acesso a essas chaves e com quais serviços elas podem ser usadas sempre que você quiser. Você também pode importar chaves da sua própria infraestrutura de gerenciamento de chaves e usá-las no KMS.

Integração com serviços da AWS

O AWS Key Management Service é totalmente integrado à maioria dos outros serviços da AWS. Essa integração significa que você pode usar facilmente as chaves mestras do AWS KMS para criptografar os dados armazenados nesses serviços. É possível usar uma chave mestra padrão criada para você automaticamente e que só pode ser utilizada no serviço integrado, ou selecionar uma chave mestra personalizada criada no KMS ou importada da sua própria infraestrutura de gerenciamento de chaves para a qual você tem permissão de uso.

Serviços da AWS integrados ao KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager

*Suporte apenas para chaves KMS gerenciadas pela AWS. 

O AWS KMS também é integrado ao AWS SDK, à Interface da Linha de Comando (ILC) da AWS e disponibiliza uma API RESTful. Quando você usa essas interfaces para criptografar ou descriptografar dados, essas operações acontecem automaticamente − você apenas seleciona a chave mestra do KMS para usar. Além disso, o KMS é integrado ao AWS CloudFormation para que você possa criar chaves no KMS rapidamente, usando o modelo do CloudFormation para KMS.

Recursos de auditoria

Se você tiver o AWS CloudTrail habilitado para sua conta da AWS, cada utilização de uma chave que você armazenar no KMS é registrada em um arquivo de log que é enviado para o bucket do Amazon S3 que você especificou ao habilitar o AWS CloudTrail. As informações registradas incluem detalhes do usuário, hora, data e a chave usada.

Escalabilidade, resiliência e alta disponibilidade

O AWS Key Management Service é um serviço gerenciado. Conforme o seu uso de chaves de criptografia do AWS KMS aumentar, não será necessário comprar infraestrutura de gerenciamento de chaves adicional. O AWS KMS oferece escalabilidade automática para atender às suas necessidades de chave de criptografia.

As chaves mestras criadas no seu nome pelo AWS KMS ou importadas por você não podem ser exportadas pelo serviço. O AWS KMS armazena várias cópias de versões criptografadas de suas chaves em sistemas projetados para ter 99,999999999% de resiliência para ajudar a garantir que suas chaves estejam disponíveis quando você precisar acessá-las. Se você importar chaves para o KMS, deverá manter de modo seguro uma cópia das suas chaves para que possa importá-las novamente a qualquer instante.

O AWS KMS é implementado em várias zonas de disponibilidade dentro de uma região da AWS para fornecer alta disponibilidade para suas chaves de criptografia.

Seguro

O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as chaves em texto simples do serviço. O serviço usa Hardware Security Modules (HSMs – Módulos de segurança de hardware) validados pelo FIPS 140-2 para proteger a confidencialidade e a integridade das chaves criadas pelo KMS em seu nome ou importadas para o serviço. As chaves em texto simples nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. As chaves do KMS nunca são transmitidas para fora das regiões da AWS onde foram criadas. As atualizações do firmware dos HSMs do KMS são monitoradas por um controle de acesso por várias partes, auditado e revisado por um grupo independente dentro da Amazon.

Para saber mais sobre como o AWS KMS funciona, você pode ler o whitepaper sobre o AWS Key Management Service.

Conformidade

Controles de segurança e qualidade no AWS KMS foram validados e certificados pelos seguintes esquemas de conformidade:

Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço de produtos

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comece a criar no console

Comece a criar com o AWS Key Management Service no Console AWS.

Fazer login