Visão geral

O AWS Key Management Service (KMS) oferece a você controle centralizado das chaves de criptografia usadas para proteger seus dados. O AWS KMS é integrado aos serviços da AWS, tornando mais fácil criptografar os dados armazenados nesses serviços e controlar o acesso às chaves que o descriptografam. O AWS KMS é integrado com o AWS CloudTrail, que oferece a habilidade de auditar quem usou quais chaves, em quais recursos e quando. O AWS KMS também permite que os desenvolvedores adicionem facilmente a funcionalidade de criptografia ao código de seu aplicativo, seja diretamente por meio de criptografia e descriptografia de APIs de serviço ou por meio da integração com o AWS Encryption SDK.

Gerenciamento de chaves centralizado

O AWS Key Management Service fornece controle centralizado de suas chaves de criptografia. As chaves mestras do cliente (CMKs) são usadas para controlar o acesso a chaves de criptografia de dados que criptografam e descriptografam seus dados. Você pode criar novas chaves mestras sempre que desejar e gerenciar facilmente quem tem acesso a elas e com quais serviços elas podem ser usadas. Você também pode importar chaves de sua própria infraestrutura de gerenciamento de chaves para o AWS KMS ou usar chaves armazenadas no cluster do AWS CloudHSM e gerenciá-las no AWS KMS. Você pode gerenciar suas chaves mestras e auditar o uso do Console de Gerenciamento da AWS ou usar o AWS SDK ou o AWS Command Line Interface (CLI).

As chaves no AWS KMS, sejam criadas no KMS, no cluster do CloudHSM ou importadas por você, são guardadas em um armazenamento resiliente, em um formato criptografado para que possam ser usadas quando necessário. Você pode solicitar que o AWS KMS mude automaticamente as chaves mestras criadas no KMS uma vez por ano sem a necessidade de criptografar novamente os dados que já foram criptografados com sua chave. Você não precisa monitorar as versões anteriores das chaves mestras, pois o KMS as mantêm disponíveis para descriptografar dados anteriormente criptografados.

Integração com serviços da AWS

O AWS KMS se integra perfeitamente à maioria dos serviços da AWS. Essa integração significa que você pode usar facilmente as chaves mestras do KMS para controlar a criptografia dos dados que você armazena nesses serviços. Ao decidir criptografar dados em um serviço, você pode optar por usar uma chave mestra gerenciada pela AWS que é criada automaticamente no KMS para o serviço em questão. Você pode monitorar o uso da chave, mas ela é gerenciada pelo serviço em seu nome.

Se você precisar de controle direto sobre o ciclo de vida de uma chave mestra ou se quiser permitir que outras contas a usem, poderá criar e gerenciar suas próprias chaves mestras que podem ser usadas em seu nome pelos serviços da AWS. As chaves mestras gerenciadas pelo cliente oferecem controle total sobre as permissões de acesso que determinam quem e sob quais condições alguém pode usar uma chave.

Serviços da AWS integrados ao KMS
Alexa for Business* Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS Glue
Amazon Athena Amazon Glacier Amazon Simple Queue Service (SQS) AWS Lambda

Amazon Aurora

Amazon Kinesis Data Streams Amazon Translate AWS Secrets Manager
Amazon CloudWatch Logs Amazon Kinesis Firehose Amazon WorkMail AWS Systems Manager
Amazon Comprehend* Amazon Kinesis Video Streams Amazon WorkSpaces AWS Snowball
Amazon Connect Amazon Lex AWS Certificate Manager* AWS Snowball Edge
Amazon DynamoDB* Amazon Lightsail* AWS Cloud9* AWS Snowmobile
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) AWS CloudTrail AWS Storage Gateway
Amazon EBS Amazon Neptune AWS CodeBuild AWS X-Ray
Amazon EFS Amazon Redshift AWS CodeCommit*  
Amazon Elastic Transcoder Amazon Relational Database Service (RDS) AWS CodeDeploy  
Amazon Elasticsearch Service Amazon S3 AWS CodePipeline  
Amazon EMR Amazon SageMaker AWS Database Migration Service
AWS X-Ray

*Suporte apenas para chaves do KMS gerenciadas pela AWS.

Os serviços da AWS não listados acima criptografam automaticamente os dados do cliente usando chaves de propriedade e gerenciadas pelo serviço.

Recursos de auditoria

Se você tiver o AWS CloudTrail habilitado em sua conta da AWS, cada solicitação feita no AWS KMS será registrada em um arquivo de log, que será enviado ao bucket do Amazon S3 especificado por você ao habilitar o AWS CloudTrail. As informações registradas incluem detalhes do usuário, hora, data, ação da API e, quando relevante, a chave usada.

Escalabilidade, resiliência e alta disponibilidade

O AWS KMS é um serviço totalmente gerenciado. A escala do KMS aumenta automaticamente para atender às suas necessidades, à medida que seu uso da criptografia aumenta. O AWS KMS permite gerenciar milhares de chaves mestras na sua conta e usá-las sempre que você quiser. O AWS KMS define limites padrão para o número de chaves e taxas de solicitação, no entanto, se necessário, é possível solicitar um aumento nos limites.

As chaves mestras que você cria no AWS KMS ou aquelas que são criadas em seu nome por outros serviços da AWS não podem ser exportadas do serviço. Portanto, o KMS assume a responsabilidade por sua durabilidade. Para ajudar a garantir que suas chaves e seus dados estejam altamente disponíveis, o KMS armazena várias cópias de versões criptografadas de suas chaves em sistemas projetados para durabilidade de 99,999999999%.

Se você importar chaves para o KMS, manterá uma cópia segura das chaves mestras para que possa importá-las novamente se elas não estiverem disponíveis quando você precisar usá-las. Se você usar o recurso de armazenamento de chaves personalizadas no KMS para criar suas chaves mestras em um cluster do AWS CloudHSM, cópias criptografadas de suas chaves serão automaticamente armazenadas em backup e você terá controle total sobre o processo de recuperação.

O AWS KMS foi desenvolvido para ser um serviço altamente disponível com um endpoint regional da API. Como a maioria dos serviços da AWS depende do AWS KMS para serviços de criptografia e descriptografia, ele é arquitetado para fornecer um nível de disponibilidade que sustente o restante da AWS.

Seguro

O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as chaves em texto simples do serviço. O serviço usa módulos de segurança de hardware (HSMs) validados por FIPS 140-2 para proteger a confidencialidade e a integridade de suas chaves, mesmo que você solicite que o KMS crie chaves em seu nome, em um cluster AWS CloudHSM ou que ele as importe para o serviço . As chaves em texto simples nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. As chaves criadas pelo KMS nunca são transmitidas fora da região da AWS em que foram criadas e só podem ser usadas na região em que foram criadas. As atualizações do firmware dos HSMs do KMS são monitoradas por um controle de acesso por várias partes, auditado e revisado por um grupo independente dentro da Amazon, bem como por um laboratório certificado pelo NIST em conformidade com o FIPS 140-2.

Para saber mais sobre como o AWS KMS é arquitetado e a criptografia usada para proteger suas chaves, leia o whitepaper sobre os detalhes de criptografia do AWS Key Management Service Cryptographic.

Armazenamento de chave personalizada

O AWS KMS fornece a opção de criar seu próprio armazenamento de chaves usando os HSMs que você controla. Cada armazenamento de chave personalizada é suportado por um cluster do AWS CloudHSM. Quando você cria uma chave mestra de cliente (CMK) do KMS em um armazenamento de chaves personalizadas, o KMS gera e armazena o material de chave que não pode ser extraído para a CMK em um cluster do AWS CloudHSM que você tem e gerencia. Ao usar uma CMK em um armazenamento de chaves personalizadas, as operações de criptografia nesta chave são executadas em seu cluster do CloudHSM.

As chaves mestras guardadas em um armazenamento de chaves personalizadas, em vez do armazenamento padrão de chave do KMS, são gerenciadas da mesma maneira que qualquer outra chave mestra no KMS e podem ser usadas por qualquer serviço da AWS que ofereça suporte a CMKs personalizadas gerenciadas.

O uso de um armazenamento de chaves personalizadas envolve o custo adicional do cluster do CloudHSM e torna você responsável pela disponibilidade do material de chave nesse cluster. Para obter orientações sobre se os armazenamentos de chaves personalizadas são adequados às suas necessidades, leia este blog.

Conformidade

Controles de segurança e qualidade no AWS KMS foram validados e certificados pelos seguintes esquemas de conformidade:

Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço de produtos

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comece a criar no console

Comece a criar com o AWS Key Management Service no Console AWS.

Fazer login