AWS Key Management Service предоставляет вам централизованный контроль над ключами шифрования, которые используются для защиты ваших данных. Вы можете создавать, импортировать, чередовать, отключать и удалять ключи, определять политики их использования, а также проводить аудит ключей шифрования, используемых при шифровании данных. AWS Key Management Service интегрирован со многими другими сервисами AWS, что упрощает шифрование данных, которые хранятся в этих сервисах, с помощью управляемых пользователем ключей. Сервис AWS KMS интегрирован с AWS CloudTrail, что дает вам возможность проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS предоставляет разработчикам возможность шифровать данные как методом 1-Click в Консоли управления AWS, так и с помощью SDK AWS для добавления шифрования в код приложения.

Попробуйте AWS Key Management Service

Начните работу с AWS
или войти в Консоль

Создайте бесплатный аккаунт в Amazon Web Services, чтобы получить 12 месяцев доступа к бесплатным продуктам и сервисам.

Подробнее об уровне бесплатного пользования AWS »

AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Ключи можно с легкостью создавать, импортировать и чередовать, а также определять политики их использования и проводить аудит использования с помощью Консоли управления AWS, SDK или интерфейса командной строки AWS. Главные ключи в KMS, независимо от того, были они импортированы или созданы в KMS от вашего имени, хранятся в хранилище с высокой степенью надежности в зашифрованном формате, что обеспечивает гарантированное извлечение в случае необходимости. Можно сделать так, чтобы KMS осуществляла автоматическую ротацию ваших главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые ранее были зашифрованы с использованием главного ключа. Вам не нужно отслеживать устаревшие версии главных ключей, так как KMS сохраняет их для расшифровки ранее зашифрованных данных. В любой момент можно создавать новые главные ключи и управлять настройками доступа к этим ключам, а также списком сервисов, с которыми они могут быть использованы. Можно также импортировать ключи из вашей собственной инфраструктуры управления ключами и использовать их в KMS.

AWS Key Management Service эффективно интегрирован со многими сервисами AWS. Такая интеграция означает, что вы можете использовать главные ключи шифрования AWS KMS для шифрования данных, которые храните в других сервисах. Использовать можно как главный ключ по умолчанию, созданный автоматически и разрешенный к использованию только в пределах интегрированного сервиса, так и главный ключ клиента, либо созданный вами в KMS, либо импортированный из вашей собственной инфраструктуры управления ключами и находящийся в вашем полном распоряжении.

Категория продукта AWS Сервисы AWS, интегрированные с KMS
Вычисления Amazon Lightsail*, Amazon EC2 SSM, AWS Lambda

Хранилища и доставка контента

Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Storage Gateway, Amazon EFS
Базы данных Amazon RDS, Amazon Redshift, AWS Database Migration Service
Инструменты для разработчиков AWS CodeCommit*, AWS CodeBuild**, AWS CodeDeploy**, AWS CodePipeline**
Инструменты управления AWS CloudTrail, Amazon CloudWatch Logs**
Аналитика Amazon EMR, Amazon Kinesis Firehose, Amazon Kinesis Streams, Amazon Athena
Сервисы приложений Amazon Elastic Transcoder, Amazon SES, Amazon SQS
Корпоративные приложения Amazon WorkSpaces, Amazon WorkMail
Безопасность, идентификация и соответствие требованиям AWS Certificate Manager*
Контактный центр Amazon Connect

* В настоящее время поддерживает только ключи KMS, управляемые AWS.
** В настоящее время поддерживает только ключи KMS, управляемые клиентом.

Возможности использования AWS KMS встроены в SDK AWS, в интерфейс командной строки (CLI) AWS и доступны к использованию в виде API RESTful. Если вы используете для шифрования и дешифрования данных эти интерфейсы, операции шифрования и дешифрования выполняются автоматически – вам нужно лишь указать, какой главный ключ KMS следует использовать. Кроме того, KMS интегрирован с сервисом AWS CloudFormation, и это дает возможность быстро создавать ключи в KMS, используя шаблон CloudFormation для KMS.

Если в вашем аккаунте AWS включен сервис AWS CloudTrail, то каждое использование ключа, хранимого в KMS, записывается в файл журнала, сохраняемый в корзине Amazon S3, указанной вами при подключении AWS CloudTrail. В журнал записываются сведения о пользователе, времени, дате и использованном ключе.

AWS Key Management Service – управляемый сервис. По мере расширения использования ключей шифрования AWS KMS вам не придется приобретать дополнительную инфраструктуру управления ключами. AWS KMS автоматически масштабируется и подстраивается под требования ваших ключей шифрования.

Главные ключи, созданные от вашего имени сервисом AWS KMS или импортированные вами, не могут быть экспортированы из сервиса. AWS KMS хранит несколько копий зашифрованных версий ваших ключей в системах, обеспечивающих надежность хранения 99,999999999 % и доступность ваших ключей в любой момент обращения к ним. В случае если вы импортируете ключи в KMS, требуется надежно хранить их копию, чтобы в любое время их можно было импортировать снова.

Для обеспечения высокой доступности ваших ключей шифрования AWS KMS работает в нескольких зонах доступности в пределах региона AWS.

AWS KMS разработан так, чтобы ваши главные ключи были доступны только вам. Сервис построен на системах, предназначенных для обеспечения безопасности главных ключей при помощи методик всесторонней защиты. Эти методики включают запрет на хранение ключей в виде незашифрованного текста на диске, слежение за прекращением хранения в памяти и наложение ограничений на то, какие системы могут получить доступ к хостам, использующим ключи. Весь доступ к последним обновлениям сервисов контролируется системой многостороннего контроля доступа, которая проверяется и корректируется независимой группой в составе Amazon.

Подробнее о том, как работает AWS KMS, см. в техническом описании AWS Key Management Service.

Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.