Сервис AWS Key Management Service обеспечивает централизованный контроль над ключами шифрования, используемых для защиты данных. Можно создавать, импортировать, чередовать, отключать и удалять ключи, определять политики их использования, а также проводить аудит ключей шифрования, используемых при шифровании данных. AWS Key Management Service интегрирован с большинством других сервисов AWS, что упрощает шифрование данных, сохраненных в этих сервисах, с использованием управляемых пользователем ключей шифрования. Благодаря интеграции AWS KMS с AWS CloudTrail можно проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS предоставляет разработчикам возможность шифровать данные как методом 1‑Click в Консоли управления AWS, так и с помощью SDK AWS для добавления шифрования в код приложения.

Попробуйте AWS Key Management Service

Начать работу с AWS
или войти в Консоль

Создайте бесплатный аккаунт в Amazon Web Services, чтобы получить 12 месяцев доступа к бесплатным продуктам и сервисам.

Подробнее об уровне бесплатного пользования AWS >>

AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Можно без труда создавать, импортировать и чередовать ключи, определять политики их использования, а также проводить аудит использования с помощью Консоли управления AWS, SDK или интерфейса командной строки AWS. Главные ключи в KMS, независимо от того, были они импортированы или созданы в KMS от вашего имени, помещаются в хранилище с высокой степенью надежности в зашифрованном формате, что обеспечивает гарантированное извлечение в случае необходимости. Можно сделать так, чтобы KMS осуществляла автоматическую ротацию главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые ранее были зашифрованы с использованием главного ключа. Отслеживать устаревшие версии главных ключей не требуется, так как KMS сохраняет их для расшифровки ранее зашифрованных данных. В любой момент можно создавать новые главные ключи и управлять настройками доступа к этим ключам, а также списком сервисов, с которыми они могут быть использованы. Можно также импортировать ключи из собственной инфраструктуры управления ключами и использовать их в KMS.

AWS Key Management Service эффективно интегрирован с большинством других сервисов AWS. Такая интеграция позволяет использовать главные ключи шифрования AWS KMS для шифрования данных, хранимых в других сервисах. Использовать можно как главный ключ по умолчанию, созданный автоматически и разрешенный к использованию только в пределах интегрированного сервиса, так и пользовательский главный ключ, созданный в KMS или импортированный из собственной инфраструктуры управления ключами и находящийся в вашем полном распоряжении.

Сервисы AWS, интегрированные с KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X‑Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager  
Amazon Connect
Amazon Connect
Amazon Connect
Amazon Connect
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon Kinesis Video Streams
Amazon Kinesis Video Streams
AWS CloudTrail
AWS CloudTrail
AWS Systems Manager
Amazon Relational Database Service
Amazon Relational Database Service
AWS X‑Ray
AWS X‑Ray
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS CodePipeline
AWS CodePipeline
AWS CodeDeploy
AWS CodeDeploy
AWS CodeCommit
AWS CodeBuild
AWS Cloud9*
AWS Auto Scaling
AWS Auto Scaling
Amazon WorkSpaces
AWS Certificate Manager*
AWS Certificate Manager*
AWS CloudTrail
AWS CloudTrail
AWS CloudTrail
AWS Database Migration Service
AWS Database Migration Service
AWS Systems Manager
AWS Systems Manager
AWS Storage Gateway
Amazon Simple Email Service (SES)
Amazon Simple Email Service (SES)
Amazon WorkMail
AWS CloudTrail
AWS CloudTrail
AWS CodeBuild
AWS CodeBuild
AWS CodeCommit*
AWS CodeCommit*
AWS CodePipeline
AWS Snowball
AWS Snowmobile
AWS Storage Gateway

* Поддерживает только ключи KMS, управляемые в AWS.

Возможности AWS KMS встроены в AWS SDK, интерфейс командной строки (CLI) AWS и доступны через RESTful API. При использовании этих интерфейсов для шифрования и дешифрования данных операции шифрования и дешифрования выполняются автоматически – нужно лишь выбрать, какой главный ключ KMS следует использовать. Кроме того, KMS интегрирован с сервисом AWS CloudFormation, что позволяет быстро создавать ключи в KMS, используя шаблон CloudFormation для KMS.

Если в аккаунте AWS включен сервис AWS CloudTrail, то каждое использование ключа, хранимого в KMS, записывается в файл журналов, который доставляется в корзину Amazon S3, указанную при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате и использованном ключе.

AWS Key Management Service – управляемый сервис. По мере расширения использования ключей шифрования AWS KMS вам не придется приобретать дополнительную инфраструктуру управления ключами. AWS KMS автоматически масштабируется и подстраивается под требования ключей шифрования.

Главные ключи, созданные от вашего имени сервисом AWS KMS или импортированные вами, не могут быть экспортированы из сервиса. AWS KMS хранит множество копий зашифрованных версий ваших ключей в системах с уровнем надежности 99,999999999 %, что обеспечивает доступность ключей в любой момент обращения к ним. При импорте ключей в KMS требуется надежно хранить их копию, чтобы их можно было импортировать снова в любое время.

Для обеспечения высокой доступности ключей шифрования AWS KMS работает в нескольких зонах доступности в пределах региона AWS.

AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Сервис использует проверенные на соответствие FIPS 140‑2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности всех ключей – как созданных KMS от имени пользователя, так и импортированных в сервис. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи KMS никогда не передаются за пределы регионов AWS, в которых они были созданы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа, за аудит и проверку которой отвечает независимая группа в составе Amazon.

Подробнее о том, как работает AWS KMS, см. в техническом описании AWS Key Management Service.

Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.