Visão geral

O AWS Key Management Service (KMS) oferece a você controle centralizado das chaves de criptografia usadas para proteger seus dados. O AWS KMS é integrado aos serviços da AWS, tornando mais fácil criptografar os dados armazenados nesses serviços e controlar o acesso às chaves que o descriptografam. O AWS KMS é integrado com o AWS CloudTrail, que oferece a habilidade de auditar quem usou quais chaves, em quais recursos e quando. O AWS KMS também permite que os desenvolvedores adicionem facilmente a funcionalidade de criptografia ao código de seu aplicativo, seja diretamente por meio de criptografia e descriptografia de APIs de serviço ou por meio da integração com o AWS Encryption SDK.

Gerenciamento de chaves centralizado

O AWS Key Management Service fornece controle centralizado de suas chaves de criptografia. As chaves mestras do cliente (CMKs) são usadas para controlar o acesso a chaves de criptografia de dados que criptografam e descriptografam seus dados. Você pode criar novas chaves mestras sempre que desejar e gerenciar facilmente quem tem acesso a elas e com quais serviços elas podem ser usadas. Você também pode importar chaves de sua própria infraestrutura de gerenciamento de chaves para o AWS KMS ou usar chaves armazenadas no cluster do AWS CloudHSM e gerenciá-las no AWS KMS. Você pode gerenciar suas chaves mestras e auditar o uso do Console de Gerenciamento da AWS ou usar o AWS SDK ou o AWS Command Line Interface (CLI).

As chaves no AWS KMS, sejam criadas no KMS, no cluster do CloudHSM ou importadas por você, são guardadas em um armazenamento resiliente, em um formato criptografado para que possam ser usadas quando necessário. Você pode solicitar que o AWS KMS mude automaticamente as chaves mestras criadas no KMS uma vez por ano sem a necessidade de criptografar novamente os dados que já foram criptografados com sua chave. Você não precisa monitorar as versões anteriores das chaves mestras, pois o KMS as mantêm disponíveis para descriptografar dados anteriormente criptografados.

Integração com serviços da AWS

O AWS KMS se integra perfeitamente à maioria dos serviços da AWS. Essa integração significa que você pode usar facilmente as chaves mestras do KMS para controlar a criptografia dos dados que você armazena nesses serviços. Ao decidir criptografar dados em um serviço, você pode optar por usar uma chave mestra gerenciada pela AWS que é criada automaticamente no KMS para o serviço em questão. Você pode monitorar o uso da chave, mas ela é gerenciada pelo serviço em seu nome.

Se você precisar de controle direto sobre o ciclo de vida de uma chave mestra ou se quiser permitir que outras contas a usem, poderá criar e gerenciar suas próprias chaves mestras que podem ser usadas em seu nome pelos serviços da AWS. As chaves mestras gerenciadas pelo cliente oferecem controle total sobre as permissões de acesso que determinam quem e sob quais condições alguém pode usar uma chave.

Serviços da AWS integrados ao KMS
Alexa for Business* Amazon EMR Amazon S3
Amazon Athena Amazon FSx for Windows File Server Amazon SageMaker
Amazon Aurora Amazon Glacier Amazon Simple Email Service (SES)
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Relational Database Service (RDS)
Amazon Comprehend* Amazon Kinesis Firehose Amazon Simple Notification Service (SNS)
Amazon Connect Amazon Kinesis Video Streams Amazon Simple Queue Service (SQS)
Amazon DocumentDB Amazon Lex Amazon Translate
Amazon DynamoDB* Amazon Lightsail* Amazon WorkMail
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces
Amazon EBS Amazon MQ AWS Backup
Amazon EFS Amazon Neptune AWS Certificate Manager*
Amazon Elastic Transcoder Amazon Personalize AWS Cloud9*
Amazon Elasticsearch Service Amazon Redshift AWS CloudTrail
AWS CodeCommit* AWS Glue AWS Snowball Edge
AWS CodeDeploy AWS Lambda AWS Snowmobile
AWS CodePipeline AWS Secrets Manager AWS Storage Gateway
AWS CodeBuild AWS Systems Manager AWS X-Ray
AWS Database Migration Service AWS Snowball  

*Suporte apenas para chaves do KMS gerenciadas pela AWS.

** Para obter uma lista de serviços integrados ao KMS nas regiões da AWS China (Beijing), operada pela Sinnet, e China (Ningxia), operada pela NWCD, acesse a integração do AWS KMS Service na China. 

Os serviços da AWS não listados acima criptografam os dados do cliente usando chaves de propriedade e gerenciadas pelo respectivo serviço.

Recursos de auditoria

Se você tiver o AWS CloudTrail habilitado em sua conta da AWS, cada solicitação feita no AWS KMS será registrada em um arquivo de log, que será enviado ao bucket do Amazon S3 especificado por você ao habilitar o AWS CloudTrail. As informações registradas incluem detalhes do usuário, hora, data, ação da API e, quando relevante, a chave usada.

Escalabilidade, resiliência e alta disponibilidade

O AWS KMS é um serviço totalmente gerenciado. A escala do KMS aumenta automaticamente para atender às suas necessidades, à medida que seu uso da criptografia aumenta. O AWS KMS permite gerenciar milhares de chaves mestras na sua conta e usá-las sempre que você quiser. O AWS KMS define limites padrão para o número de chaves e taxas de solicitação, no entanto, se necessário, é possível solicitar um aumento nos limites.

As chaves mestras que você cria no AWS KMS ou aquelas que são criadas em seu nome por outros serviços da AWS não podem ser exportadas do serviço. Portanto, o KMS assume a responsabilidade por sua durabilidade. Para ajudar a garantir que suas chaves e seus dados estejam altamente disponíveis, o KMS armazena várias cópias de versões criptografadas de suas chaves em sistemas projetados para durabilidade de 99,999999999%.

Se você importar chaves para o KMS, manterá uma cópia segura das chaves mestras para que possa importá-las novamente se elas não estiverem disponíveis quando você precisar usá-las. Se você usar o recurso de armazenamento de chaves personalizadas no KMS para criar suas chaves mestras em um cluster do AWS CloudHSM, cópias criptografadas de suas chaves serão automaticamente armazenadas em backup e você terá controle total sobre o processo de recuperação.

O AWS KMS foi desenvolvido para ser um serviço altamente disponível com um endpoint regional da API. Como a maioria dos serviços da AWS depende do AWS KMS para criptografia e descriptografia, ele é arquitetado para fornecer um nível de disponibilidade que sustente o restante da AWS e conta o apoio do Acordo de nível de serviço do AWS KMS.

Seguro

O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as chaves em texto simples do serviço. O serviço usa módulos de segurança de hardware (HSMs) validados por FIPS 140-2, ou em processo de validação, para proteger a confidencialidade e a integridade de suas chaves, mesmo que você solicite que o KMS crie chaves em seu nome, crie-as em um cluster AWS CloudHSM ou importe-as para o serviço. As chaves em texto simples nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. As chaves criadas pelo KMS nunca são transmitidas fora da região da AWS em que foram criadas e só podem ser usadas na região em que foram criadas. As atualizações do firmware dos HSMs do KMS são monitoradas por um controle de acesso por várias partes, auditado e revisado por um grupo independente dentro da Amazon, bem como por um laboratório certificado pelo NIST em conformidade com o FIPS 140-2.

Saiba mais sobre como o AWS KMS é arquitetado e sobre a criptografia usada para proteger suas chaves no artigo técnico sobre os detalhes de criptografia do AWS Key Management Service Cryptographic.

* Na região da AWS China (Pequim), operada pela Sinnet, e da AWS China (Ningxia), operada pela NWCD, os HSMs são aprovados pelo governo chinês (não validados pelo FIPS 140-2), e o artigo técnico sobre os detalhes de criptografia, mencionado acima, não são aplicáveis. 

Armazenamento de chave personalizada

O AWS KMS fornece a opção de criar seu próprio armazenamento de chaves usando os HSMs que você controla. Cada armazenamento de chave personalizada é suportado por um cluster do AWS CloudHSM. Quando você cria uma chave mestra de cliente (CMK) do KMS em um armazenamento de chaves personalizadas, o KMS gera e armazena o material de chave que não pode ser extraído para a CMK em um cluster do AWS CloudHSM que você tem e gerencia. Ao usar uma CMK em um armazenamento de chaves personalizadas, as operações de criptografia nesta chave são executadas em seu cluster do CloudHSM.

As chaves mestras guardadas em um armazenamento de chaves personalizadas, em vez do armazenamento padrão de chave do KMS, são gerenciadas da mesma maneira que qualquer outra chave mestra no KMS e podem ser usadas por qualquer serviço da AWS que ofereça suporte a CMKs personalizadas gerenciadas.

O uso de um armazenamento de chaves personalizadas envolve o custo adicional do cluster do CloudHSM e torna você responsável pela disponibilidade do material de chave nesse cluster. Confira orientações sobre se os armazenamentos de chaves personalizadas são adequados às suas necessidades, neste blog.

* O recurso de Armazenamento de chaves personalizadas não está disponível nas regiões da AWS China (Beijing), operada pela Sinnet, e China (Ningxia), operada pela NWCD.

Conformidade

Controles de segurança e qualidade no AWS KMS foram validados e certificados pelos seguintes esquemas de conformidade:

 
* O FIPS 140-2 não se aplica ao KMS nas regiões da China. Os módulos de segurança de hardware nas regiões da China são aprovados para uso pelo governo chinês.
Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço de produtos

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastre-se 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comece a criar no console

Comece a criar com o AWS Key Management Service no Console AWS.

Fazer login