Visão geral

O AWS Key Management Service (KMS) oferece a você controle centralizado das chaves criptográficas usadas para proteger seus dados. O serviço é integrado a outros serviços da AWS, tornando mais fácil criptografar os dados armazenados nesses serviços e controlar o acesso às chaves que o descriptografam. O AWS KMS é integrado com o AWS CloudTrail, que oferece a habilidade de auditar quem usou quais chaves, em quais recursos e quando. O AWS KMS permite que os desenvolvedores adicionem facilmente funcionalidades de criptografia ou assinatura digital ao código de aplicativos, diretamente ou usando o AWS SDK. O AWS Encryption SDK oferece suporte ao AWS KMS como provedor de chaves mestras para desenvolvedores que precisam criptografar/descriptografar dados localmente em aplicativos.

Gerenciamento de chaves centralizado

O AWS KMS oferece controle centralizado sobre o ciclo de vida e as permissões das chaves. Você pode criar novas chaves sempre que quiser. Também é possível controlar quem pode gerenciar chaves e quem pode usá-las. Como alternativa ao uso de chaves geradas pelo AWS KMS, você pode importar chaves de sua própria infraestrutura de gerenciamento de chaves ou usar chaves armazenadas no cluster do AWS CloudHSM. Você pode escolher a rotação automática de chaves mestras geradas no AWS KMS uma vez por ano, sem necessidade de recriptografar dados já criptografados. O serviço mantém automaticamente versões mais antigas da chave mestra disponíveis para descriptografar dados criptografados anteriormente. Você pode gerenciar suas chaves mestras e auditar seu uso no Console de Gerenciamento da AWS ou usar o AWS SDK ou a Interface da Linha de Comando (ILC) da AWS.

* A opção de importação de chaves não está disponível para chaves assimétricas.

Integração com serviços da AWS

O AWS KMS integra-se aos serviços da AWS para criptografar dados em repouso ou para facilitar a assinatura e a verificação usando uma chave mestra do cliente (CMK) do AWS KMS. Para proteger os dados em repouso, os serviços integrados da AWS usam criptografia de envelope, na qual uma chave de dados é usada para criptografar dados e é criptografada em uma CMK armazenada no AWS KMS. Para assinatura e verificação, os serviços integrados da AWS usam um par de chaves de uma CMK assimétrica no AWS KMS. Para obter mais detalhes sobre como um serviço integrado usa o AWS KMS, consulte a documentação do seu serviço da AWS.

Existem dois tipos de recursos de CMK que podem ser criados na sua conta da AWS: (i) Uma CMK gerenciada pela AWS pode ser criada automaticamente quando necessário. Você pode fazer a listagem ou o inventário de CMKs gerenciadas da AWS e receber um registro de seu uso no AWS CloudTrail, mas as permissões para o recurso são gerenciadas pelo serviço da AWS com o qual ele foi criado para uso. (ii) Uma CMK gerenciada pelo cliente oferece o mais alto grau de controle sobre as permissões e o ciclo de vida da chave.

Serviços da AWS integrados ao AWS KMS
Alexa for Business* Amazon EMR Amazon Relational Database Service (RDS) AWS CodeArtifact
Amazon AppFlow Amazon Forecast Amazon Route 53 AWS CodeBuild
Amazon Athena Amazon Fraud Detector Amazon S3 AWS CodeCommit*
Amazon Aurora Amazon FSx for Windows File Server Amazon SageMaker AWS CodePipeline
Amazon CloudWatch Logs Amazon GuardDuty Amazon Simple Email Service (SES) AWS Database Migration Service
Amazon Comprehend Amazon Kendra Amazon Simple Notification Service (SNS) AWS Glue
Amazon Connect Amazon Kinesis Data Streams Amazon Simple Queue Service (SQS) AWS Glue DataBrew
Amazon Connect Customer Profiles Amazon Kinesis Firehose Amazon Textract AWS IoT SiteWise
Amazon DocumentDB Amazon Kinesis Video Streams Amazon Timestream AWS Lambda
Amazon DynamoDB Amazon Lex Amazon Transcribe AWS License Manager
Amazon DynamoDB Accelerator (DAX)* Amazon Lightsail* Amazon Translate AWS Secrets Manager
Amazon EBS Amazon Macie Amazon WorkMail AWS Snowball
Amazon EC2 Image Builder Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces AWS Snowball Edge
Amazon EFS Amazon Managed Workflows for Apache Airflow (MWAA) AWS Audit Manager AWS Snowcone
Amazon Elastic Container Registry (ECR) Amazon Monitron AWS Backup AWS Snowmobile
Amazon Elastic Kubernetes Service (EKS) Amazon MQ AWS Certificate Manager* AWS Storage Gateway
Amazon Elastic Transcoder Amazon Neptune AWS Cloud9* AWS Systems Manager
Amazon ElastiCache Amazon Personalize AWS CloudHSM AWS X-Ray
Amazon Elasticsearch Amazon Redshift AWS CloudTrail  

 

*Suporte apenas para chaves do AWS KMS gerenciadas pela AWS.

** Para obter uma lista de serviços integrados ao AWS KMS nas regiões da AWS China (Pequim), operada pela Sinnet, e China (Ningxia), operada pela NWCD, consulte a integração do AWS KMS Service na China.

Os serviços da AWS não listados acima criptografam os dados do cliente usando chaves pertencentes ao respectivo serviço e por ele gerenciadas.

Recursos de auditoria

Se você tiver o AWS CloudTrail habilitado em sua conta da AWS, cada solicitação feita no AWS KMS será registrada em um arquivo de log, que será enviado ao bucket do Amazon S3 especificado por você ao habilitar o AWS CloudTrail. As informações registradas incluem detalhes do usuário, hora, data, ação da API e, quando relevante, a chave usada.

Escalabilidade, resiliência e alta disponibilidade

O AWS KMS é um serviço gerenciado. Conforme cresce o seu uso da criptografia, o serviço escala automaticamente para atender às suas necessidades. Ele permite gerenciar milhares de CMKs na sua conta e usá-las sempre que você quiser. O serviço define limites padrão para o número de chaves e as taxas de solicitação. No entanto, se necessário, é possível solicitar um aumento dos limites.

As CMKs que você cria ou as que são criadas em seu nome por outros serviços da AWS não podem ser exportadas do serviço. Portanto, o AWS KMS é responsável por sua resiliência. Para ajudar a garantir a alta disponibilidade de suas chaves e seus dados, ele armazena várias cópias de versões criptografadas das chaves em sistemas projetados para oferecer resiliência de 99,999999999%.

Se você importar chaves para o serviço, deverá manter uma cópia segura das CMKs para poder importá-las novamente se elas não estiverem disponíveis quando forem necessárias. Se você usar o recurso de armazenamento de chaves personalizadas para criar CMKs em um cluster do AWS CloudHSM, cópias criptografadas das chaves serão automaticamente armazenadas em backup e você terá controle total sobre o processo de recuperação.

O AWS KMS foi desenvolvido para ser um serviço altamente disponível com um endpoint regional de API. Como a maioria dos serviços da AWS depende dele para criptografia e descriptografia, ele é arquitetado para oferecer um nível de disponibilidade que sustente o restante da AWS e é respaldado pelo Acordo de nível de serviço do AWS KMS.

Seguro

O AWS KMS foi projetado para que ninguém, nem mesmo os funcionários da AWS, possam recuperar as chaves em texto simples do serviço. O serviço usa módulos de segurança de hardware (HSMs) validados ou em processo de validação pelo FIPS 140-2 para proteger a confidencialidade e a integridade das chaves. Isso ocorre independentemente de você solicitar que o AWS KMS crie chaves em seu nome, criá-las em um cluster do AWS CloudHSM ou importá-las para o serviço. As chaves em texto simples nunca são gravadas em disco e são usadas exclusivamente na memória volátil dos HSMs pelo tempo necessário para executar as operações criptográficas solicitadas. As chaves criadas pelo serviço AWS KMS nunca são transmitidas fora da região da AWS em que foram criadas e só podem ser usadas na região em que foram criadas. As atualizações do firmware dos HSMs do AWS KMS são monitoradas por um controle de acesso por várias partes, auditado e revisado por um grupo independente dentro da Amazon, bem como por um laboratório certificado pelo NIST em conformidade com o FIPS 140-2.

Saiba mais sobre a arquitetura do AWS KMS e a criptografia usada para proteger as chaves no whitepaper Detalhes criptográficos do AWS Key Management Service.

* Na região da AWS China (Pequim), operada pela Sinnet, e China (Ningxia), operada pela NWCD, os HSMs são aprovados pelo governo chinês (não validados pelo FIPS 140-2), e o artigo técnico sobre os detalhes de criptografia, mencionado acima, não são aplicáveis. 

Armazenamento de chave personalizada

O AWS KMS fornece a opção de criar seu próprio armazenamento de chaves usando os HSMs que você controla. Cada armazenamento de chaves personalizadas é respaldado por um cluster do AWS CloudHSM. Quando você cria uma CMK em um armazenamento de chaves personalizadas, o serviço gera e armazena o material das chaves em um cluster do AWS CloudHSM pertencente a você e gerenciado por você. Quando você usa uma CMK em um armazenamento de chaves personalizadas, as operações de criptografia realizadas com essa chave são executadas em seu cluster do AWS CloudHSM.

As CMKs armazenadas em um armazenamento de chaves personalizadas são gerenciadas por você como qualquer outra CMK e podem ser usadas com qualquer serviço da AWS integrado ao AWS KMS.

O uso de um armazenamento de chaves personalizadas envolve o custo adicional do cluster do AWS CloudHSM e torna você responsável pela disponibilidade do material de chaves nesse cluster. Para obter orientação sobre a adequação dos armazenamentos de chaves personalizadas aos seus requisitos, consulte este blog.

* O recurso de armazenamento de chaves personalizadas não está disponível nas regiões da AWS China (Pequim), operada pela Sinnet, e China (Ningxia), operada pela NWCD.

** A opção de armazenamento de chaves personalizadas não está disponível para CMKs assimétricas.

Chaves assimétricas

O AWS KMS oferece o recurso de criar e usar CMKs e pares de chaves de dados assimétricos. Você pode designar uma CMK para uso como um par de chaves de assinatura ou de criptografia. A geração de pares de chaves e as operações criptográficas assimétricas utilizando essas CMKs são executadas dentro dos HSMs. Você pode solicitar a parte pública da CMK assimétrica para uso em aplicativos locais, enquanto a parte privada nunca sai do serviço.

Você também pode solicitar que o serviço gere um par de chaves de dados assimétricas. Essa operação retorna uma cópia da chave pública e da chave privada em texto simples e uma cópia da chave privada criptografada com a CMK simétrica que você especificou. Você pode usar a chave pública ou privada em texto simples no aplicativo local e armazenar a cópia criptografada da chave privada para uso futuro.

* As chaves assimétricas não estão disponíveis nas regiões da AWS China (Pequim), operada pela Sinnet e China (Ningxia), operada pela NWCD.

** A opção de armazenamento de chaves personalizadas não é compatível com chaves assimétricas.

Conformidade

Os controles de segurança e qualidade no AWS KMS foram validados e certificados pelos seguintes regimes de conformidade:

 
Veja a seguir uma lista dos outros regimes de conformidade nos quais o AWS KMS foi validado e certificado.
 
* O FIPS 140-2 não se aplica ao AWS KMS nas regiões da China. Os módulos de segurança de hardware nas regiões da China são aprovados para uso pelo governo chinês.
Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço de produtos

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Sign up for a free account
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastre-se 
Standard Product Icons (Start Building) Squid Ink
Comece a criar no console

Comece a criar com o AWS Key Management Service no Console AWS.

Fazer login