AWS Key Management Service предоставляет вам централизованный контроль над ключами шифрования, которые используются для защиты ваших данных. Вы можете создавать, импортировать, чередовать, отключать и удалять ключи, определять политики их использования, а также проводить аудит ключей шифрования, используемых при шифровании данных. AWS Key Management Service интегрирован с большинством других сервисов AWS, что упрощает шифрование данных, сохраненных в этих сервисах, с использованием управляемых пользователем ключей шифрования. Сервис AWS KMS интегрирован с AWS CloudTrail, что дает вам возможность проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS предоставляет разработчикам возможность шифровать данные как методом 1-Click в Консоли управления AWS, так и с помощью SDK AWS для добавления шифрования в код приложения.

Попробуйте AWS Key Management Service

Начните работу с AWS
или войти в Консоль

Создайте бесплатный аккаунт в Amazon Web Services, чтобы получить 12 месяцев доступа к бесплатным продуктам и сервисам.

Подробнее об уровне бесплатного пользования AWS »

AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Ключи можно с легкостью создавать, импортировать и чередовать, а также определять политики их использования и проводить аудит использования с помощью Консоли управления AWS, SDK или интерфейса командной строки AWS. Главные ключи в KMS, независимо от того, были они импортированы или созданы в KMS от вашего имени, хранятся в хранилище с высокой степенью надежности в зашифрованном формате, что обеспечивает гарантированное извлечение в случае необходимости. Можно сделать так, чтобы KMS осуществляла автоматическую ротацию ваших главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые ранее были зашифрованы с использованием главного ключа. Вам не нужно отслеживать устаревшие версии главных ключей, так как KMS сохраняет их для расшифровки ранее зашифрованных данных. В любой момент можно создавать новые главные ключи и управлять настройками доступа к этим ключам, а также списком сервисов, с которыми они могут быть использованы. Можно также импортировать ключи из вашей собственной инфраструктуры управления ключами и использовать их в KMS.

AWS Key Management Service эффективно интегрирован с большинством других сервисов AWS. Такая интеграция означает, что вы можете использовать главные ключи шифрования AWS KMS для шифрования данных, которые храните в других сервисах. Использовать можно как главный ключ по умолчанию, созданный автоматически и разрешенный к использованию только в пределах интегрированного сервиса, так и главный ключ клиента, либо созданный вами в KMS, либо импортированный из вашей собственной инфраструктуры управления ключами и находящийся в вашем полном распоряжении.

Категория продукта AWS Сервисы AWS, интегрированные с KMS
Вычисления Amazon Lightsail*, Amazon EC2 SSM, AWS Lambda

Хранилища и доставка контента

Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway, Amazon EFS
Базы данных Amazon RDS, Amazon Redshift, AWS Database Migration Service, Amazon DynamoDB*
Инструменты для разработчиков AWS CodeCommit*, AWS CodeBuild**, AWS CodeDeploy**, AWS CodePipeline**, AWS Cloud9*
Инструменты управления AWS CloudTrail, Amazon CloudWatch Logs**
Аналитика Amazon EMR, Amazon Kinesis Firehose, Amazon Kinesis Streams, Amazon Athena, Amazon Elasticsearch Service
Сервисы приложений Amazon Elastic Transcoder, Amazon SES, Amazon SQS
Мультимедийные сервисы Amazon Kinesis Video Streams
Корпоративные приложения Amazon WorkSpaces, Amazon WorkMail
Эффективность бизнеса Alexa for Business*
Безопасность, идентификация и соответствие требованиям AWS Certificate Manager*
Контактный центр Amazon Connect
Машинное обучение Amazon Sagemaker

* В настоящее время поддерживает только ключи KMS, управляемые AWS.
** В настоящее время поддерживает только ключи KMS, управляемые клиентом.

Возможности использования AWS KMS встроены в SDK AWS, в интерфейс командной строки (CLI) AWS и доступны к использованию в виде API RESTful. Если вы используете для шифрования и дешифрования данных эти интерфейсы, операции шифрования и дешифрования выполняются автоматически – вам нужно лишь указать, какой главный ключ KMS следует использовать. Кроме того, KMS интегрирован с сервисом AWS CloudFormation, и это дает возможность быстро создавать ключи в KMS, используя шаблон CloudFormation для KMS.

Если в вашем аккаунте AWS включен сервис AWS CloudTrail, то каждое использование ключа, хранимого в KMS, записывается в файл журнала, сохраняемый в корзине Amazon S3, указанной вами при подключении AWS CloudTrail. В журнал записываются сведения о пользователе, времени, дате и использованном ключе.

AWS Key Management Service – управляемый сервис. По мере расширения использования ключей шифрования AWS KMS вам не придется приобретать дополнительную инфраструктуру управления ключами. AWS KMS автоматически масштабируется и подстраивается под требования ваших ключей шифрования.

Главные ключи, созданные от вашего имени сервисом AWS KMS или импортированные вами, не могут быть экспортированы из сервиса. AWS KMS хранит несколько копий зашифрованных версий ваших ключей в системах, обеспечивающих надежность хранения 99,999999999 % и доступность ваших ключей в любой момент обращения к ним. В случае если вы импортируете ключи в KMS, требуется надежно хранить их копию, чтобы в любое время их можно было импортировать снова.

Для обеспечения высокой доступности ваших ключей шифрования AWS KMS работает в нескольких зонах доступности в пределах региона AWS.

AWS KMS спроектирован таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Сервис использует проверенные на соответствие FIPS 140-2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности всех ключей – как созданных KMS от имени пользователя, так и импортированных в сервис. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи KMS никогда не передаются за пределы регионов AWS, в которых они были созданы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа, за аудит и проверку которой отвечает независимая группа в составе Amazon.

Подробнее о том, как работает AWS KMS, см. в техническом описании AWS Key Management Service.

Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.