Попробуйте AWS Key Management Service

Начните работу с AWS
или войти в Консоль

Создайте бесплатный аккаунт в Amazon Web Services, чтобы получить 12 месяцев доступа к бесплатным продуктам и сервисам.

Подробнее об уровне бесплатного пользования AWS »


AWS KMS – это управляемый сервис шифрования, позволяющий пользователям легко шифровать данные. AWS KMS предоставляет высокодоступное решение для хранения ключей, управления ими и аудита, что позволяет вам шифровать свои данные при использовании сервисов AWS, а также в своих собственных приложениях.

Разработчики, которым требуется шифровать данные в своих приложениях, могут применять пакеты AWS SDK с поддержкой AWS KMS для упрощения работы с ключами шифрования и их защиты. ИТ-администраторы, которым требуется масштабируемая инфраструктура управления ключами, позволяющая обеспечить поддержку разработчиков и растущее число их приложений, могут использовать сервис AWS KMS, чтобы снизить расходы на лицензирование и рабочую нагрузку. Если вы отвечаете за подтверждение безопасности данных при выполнении задач, связанных с обеспечением соответствия нормативным требованиям, сервис AWS KMS можно использовать для проверки того, что данные зашифрованы полностью во всех приложениях, где они используются и хранятся.

Самый простой способ начать работу с сервисом AWS KMS – установить флажок, отвечающий за шифрование ваших данных в поддерживаемых сервисах AWS, и использовать ключи по умолчанию, создаваемые в вашем аккаунте для каждого сервиса. Если вы хотите иметь больше возможностей управления этими ключами, можно создать ключи в сервисе AWS KMS и назначить их использование в поддерживаемых сервисах AWS при создании зашифрованных ресурсов, а также использовать ключи непосредственно в своих приложениях. Доступ к сервису AWS KMS можно получить через веб-интерфейс в разделе «Encryption Keys» консоли AWS Identity and Access Management (IAM), а также программным путем с помощью интерфейса командной строки AWS KMS или пакета AWS Software Development Kit. Подробнее см. на странице Начало работы.

Доступность сервиса можно проверить на нашей странице «Продукты и сервисы по регионам».

Вы можете выполнять в AWS KMS следующие задачи управления ключами.

  • Создавать ключи с уникальными псевдонимами и описанием.
  • Импортирование собственных ключей
  • Определять, какие пользователи и роли IAM могут управлять ключами.
  • Определять, какие пользователи и роли IAM могут использовать ключи для шифрования и дешифрования данных.
  • Настроить в AWS KMS автоматическое ежегодное чередование ключей.
  • Временно деактивировать ключи, чтобы никто не мог их использовать.
  • Повторно активировать деактивированные ключи.
  • Удалять ключи, которые больше не используются.
  • Проводить аудит использования ключей путем анализа журналов AWS CloudTrail.

Сервис AWS KMS позволяет централизованно управлять вашими ключами и надежно их хранить. Ключи можно генерировать в KMS или импортировать их из собственной инфраструктуры управления ключами. Эти ключи можно использовать в приложениях и поддерживаемых сервисах AWS для защиты данных, при этом сам ключ никогда не выходит за пределы сервиса KMS AWS. Вы отправляете в AWS KMS данные, которые должны быть зашифрованы или расшифрованы с помощью ключей, находящихся под вашим контролем. Вы задаете политики использования этих ключей, которые определяют, какие пользователи могут использовать их для шифрования и дешифрования данных. Все запросы на использование этих ключей регистрируются в AWS CloudTrail, что позволяет понять, кто и когда использовал определенный ключ.

Вы можете использовать сервис AWS KMS, чтобы шифровать данные локально в собственных приложениях или хранить их в зашифрованном виде в поддерживаемом сервисе AWS. AWS SDK с поддержкой сервиса AWS KMS можно использовать для шифрования в любой среде, где запускаются ваши приложения. Кроме того, можно настроить шифрование данных при их хранении в поддерживаемом сервисе AWS. Сервис AWS CloudTrail предоставляет журналы доступа, позволяющие проверить использование ключей в любой ситуации.

AWS Key Management Service полностью интегрирован с несколькими другими сервисами AWS, что позволяет легко шифровать данные в этих сервисах, устанавливая флажок и выбирая главный ключ, который нужно использовать. Полный список сервисов AWS, которые в настоящее время интегрированы с KMS, см. на странице Сведения о продукте. Вся информация об использовании ключей в интегрированных сервисах появляется в журналах AWS CloudTrail. См. Руководство разработчика по AWS KMS для получения дополнительной информации о том, как интегрированные сервисы используют сервис AWS KMS.

Облачные сервисы AWS, интегрированные с сервисом AWS KMS, для защиты ваших данных используют метод, называемый конвертным шифрованием. Конвертное шифрование представляет собой оптимизированный метод шифрования данных, при котором используется два разных ключа. Ключ данных генерируется и используется сервисом AWS для шифрования каждого блока данных или ресурса. Ключ данных шифруется с помощью главного ключа, заданного вами в сервисе AWS KMS. Зашифрованный ключ данных хранится в сервисе AWS. Когда вам требуется дешифровать свои данные с помощью сервиса AWS, зашифрованный ключ данных передается в сервис AWS KMS и расшифровывается с помощью главного ключа, с помощью которого он был первоначально зашифрован, после чего сервис может расшифровать ваши данные.

Поскольку сервис AWS KMS не позволяет передавать для шифрования данные менее 4 КБ, конвертное шифрование обеспечивает значительные преимущества в вопросах производительности. При шифровании данных непосредственно с помощью службы KMS их нужно передавать по сети. Конвертное шифрование снижает нагрузку на сеть для вашего приложения или облачного сервиса AWS. По сети требуется передавать только запрос ключа данных и его исполнение с помощью сервиса KMS. Поскольку ключ данных всегда хранится в зашифрованном виде, его можно легко и безопасно распространять везде, где это необходимо, не беспокоясь, что он будет раскрыт. Зашифрованные ключи данных передаются в сервис AWS KMS и расшифровываются с помощью главных ключей, что в конечном счете позволяет вам расшифровать данные. Ключ данных доступен непосредственно в вашем приложении, что позволяет не отправлять весь блок данных в сервис AWS KMS по сети, избегая связанных с этим задержек.

У вас есть возможность выбрать определенный главный ключ, который будет использоваться, когда сервису AWS потребуется зашифровать данные от вашего имени. Главный ключ по умолчанию, который является уникальным для каждого сервиса, создается для удобства в вашем аккаунте, когда вы в первый раз пытаетесь создать зашифрованный какой-либо ресурс. Этот ключ управляется сервисом AWS KMS, но вы всегда можете проверить его использование в AWS CloudTrail. Вы также можете создать главный ключ клиента в сервисе AWS KMS, который затем можно использовать в собственных приложениях или в поддерживаемом сервисе AWS. Платформа AWS при необходимости обновит политики использования главных ключей по умолчанию, чтобы автоматически обеспечить поддержку новых возможностей в поддерживаемых сервисах. Платформа AWS не изменяет политики для ключей, которые создаете вы.

Создание собственного ключа в сервисе AWS KMS обеспечивает больший контроль, чем использование главных ключей по умолчанию, созданных сервисами. При создании главного ключа клиента можно либо использовать данные ключей, сгенерированные KMS от вашего имени, либо импортировать собственные данные ключей, указать псевдоним, дать описание, а также включить автоматическую ротацию ключа один раз в год, если такая возможность поддерживается данными ключа, сгенерированного сервисом KMS. Можно также определить права доступа к ключу, указав, кто может использовать этот ключ и управлять им. Все действия, связанные с управлением и использованием ключа, можно просмотреть в AWS CloudTrail.

Да. Можно импортировать копию ключей из собственной инфраструктуры управления ключами в KMS и использовать ее с любым интегрированным сервисом AWS или собственными приложениями.

Импортированный ключ можно использовать для обеспечения большего контроля над созданием вашего ключа в KMS, управлением его жизненным циклом и его надежностью. Импортированные ключи предназначены для того, чтобы обеспечить соответствие требованиям, которые могут включать возможность генерировать или хранить защищенную копию ключа в собственной инфраструктуре и возможность удалять импортированную копию ключа по требованию инфраструктуры AWS после того, как ключ станет не нужен.

Можно импортировать 256-битные симметричные ключи.

Во время импорта ваш ключ должен быть упакован предоставляемым KMS открытым ключом с использованием одной из двух схем RSA PKCS 1. Это гарантирует то, что ваш шифрованный ключ может быть расшифрован только KMS.

Между импортированным ключом и ключом, сгенерированным KMS, есть два главных различия.
  1. Вы должны надежно хранить копию ваших импортированных ключей в собственной инфраструктуре управления ключами, чтобы их можно было повторно импортировать в любое время. AWS обеспечивает доступность, безопасность и надежность ключей, сгенерированных KMS от вашего имени до момента, когда вы запланируете удаление ключей.
  2. Для импортированного ключа можно установить окончание срока действия, и в установленное время KMS автоматически удалит его. Можно также удалить импортированный ключ по требованию, без удаления базового главного ключа клиента. Кроме этого, вы можете в любое время вручную заблокировать или удалить главный ключ клиента вместе с импортированным ключом. Ключ, сгенерированный KMS, может быть заблокирован или запланирован на удаление, но не может иметь срока окончания действия.

Да. Можно задать ежегодную автоматическую ротацию ключей, сгенерированных KMS от вашего имени. Для импортированных ключей автоматическая ротация не поддерживается. Если используются импортированные в KMS ключи, их ротация может осуществляться вручную в любое время.

Если задана автоматическая ротация ключей, сгенерированных KMS от вашего имени, повторное шифрование данных не требуется. В сервисе AWS KMS хранятся предыдущие версии ключей для расшифровки данных, которые были зашифрованы с использованием старой версии ключа. Все новые запросы на шифрование с помощью ключа в сервисе AWS KMS выполняются с использованием последней версии ключа.

При ручной ротации ключей может потребоваться повторное шифрование данных в зависимости от конфигурации вашего приложения.  

Да. Вы можете запланировать удаление главного ключа клиента и связанных с ним метаданных, созданных в KMS, выбрав период ожидания от 7 до 30 дней. Этот период ожидания позволяет проверить воздействие удаления ключа на ваши приложения и пользователей, которые зависят от него. Период ожидания по умолчанию составляет 30 дней. Вы можете отменить удаление в течение периода ожидания. Если вы запланировали удаление ключа, его нельзя больше использовать, если не отменить удаление в течение периода ожидания. Ключ будет удален в конце заданного периода ожидания, если вы не отмените его удаление. После удаления ключа вы больше не сможете его использовать. Все данные, которые были защищены с помощью удаленного главного ключа, станут недоступными.

Для главного ключа клиента с импортированными данными можно удалить данные ключей без удаления ID главного ключа клиента или метаданных двумя способами. В первом способе вы можете удалить данные импортированного ключа по требованию, без периода ожидания. Во втором способе во время импортирования данных ключа в главный ключ клиента можно определить время окончания срока, в течение которого AWS будет использовать данные импортированного ключа перед его удалением. Можно повторно импортировать данные вашего ключа в главный ключ клиента, если потребуется использовать его снова.

Вы можете повторно импортировать в KMS копию данных ключа с действительным сроком действия. Чтобы они могли быть использованы, следует выполнять импорт, используя первоначальный главный ключ клиента.

Да. После импортирования вашего ключа в главный ключ клиента вы будете раз в несколько минут получать метрику Amazon CloudWatch, отсчитывающую время, оставшееся до окончания срока действия импортированного ключа. Кроме того, вы получите от сервиса Amazon CloudWatch Event оповещение о событии после того, как истечет срок действия ключа, импортированного с помощью главного ключа клиента. Чтобы избежать риска потери доступа к данным, можно на основе этих метрик и событий создать алгоритм автоматического повторного импорта ключа с новым сроком действия. 

Да. Поддержка сервиса AWS KMS присутствует в пакетах AWS SDK, AWS Encryption SDK и Amazon S3 Encryption Client, что упрощает процедуру шифрования данных в приложениях везде, где они работают. API AWS KMS поддерживаются пакетами AWS SDK на платформах Java, Ruby, .NET и PHP. Подробнее см. на странице Разработка с AWS.

Для каждого аккаунта в каждом регионе можно создать до 1000 главных ключей клиентов. Поскольку учитываются как используемые, так и деактивированные главные ключи клиентов, мы рекомендуем удалять деактивированные ключи, которые вы больше не используете. Главные ключи по умолчанию, созданные от вашего имени для использования в поддерживаемых сервисах AWS, в этом ограничении не учитываются. Ограничение на количество ключей данных, которые можно получить с помощью главного ключа и использовать в вашем приложении или сервисах AWS для шифрования данных от вашего имени, отсутствует. Заявку на увеличение ограничения по количеству главных ключей клиента можно подать в Центре AWS Support.

Используя AWS KMS, вы платите только за то, чем пользуетесь, без минимальных платежей. Для начала работы с сервисом не требуются предоплата или какие-либо обязательства. В конце месяца с вашей кредитной карты будет автоматически снята сумма за пользование сервисом по итогам месяца.

Вы платите за все созданные вами главные ключи клиента и за запросы API, выполненные к сервису за каждый месяц сверх количества, заданного для уровня бесплатного пользования.

Сведения о действующих ценах см. на странице цен на AWS KMS.

Да. Уровень бесплатного пользования AWS позволяет приступить к работе с сервисом AWS KMS бесплатно во всех регионах. Плата за хранение в вашем аккаунте главных ключей по умолчанию, созданных от вашего имени, не взимается. Уровень бесплатного пользования также предусматривает определенное количество запросов, которые можно ежемесячно направлять к AWS KMS бесплатно. Сведения о действующих ценах, включая информацию об уровне бесплатного пользования, см. на странице цен на AWS KMS.

Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж.Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Дополнительную информацию можно получить здесь.

Сервис AWS KMS принудительно применяет политики использования и управления, которые определены вами. Использовать ваши ключи и управлять ими можно разрешить или запретить пользователям и ролям сервиса AWS Identity and Access Management (IAM) своего или других аккаунтов.

AWS KMS разработан так, чтобы ваши главные ключи были доступны только вам. Сервис построен на системах, предназначенных для обеспечения безопасности главных ключей при помощи методик всесторонней защиты. Эти методики включают запрет на хранение ключей в виде незашифрованного текста на диске, слежение за прекращением хранения в памяти, ограничение подключения других систем к устройству и прочее. Весь доступ к последним обновлениям сервисов контролируется многоуровневой процедурой подтверждений, которая проверяется и корректируется независимой группой в составе Amazon.

Подробнее о порядке обеспечения безопасности в данном вопросе см. в техническом описании AWS KMS Cryptographic Details. Кроме того, вы можете запросить копию отчета Service Organization Controls (SOC) в разделе Соответствие облака AWS нормативным требованиям, чтобы ознакомиться со средствами обеспечения безопасности, используемыми платформой AWS для защиты пользовательских данных и главных ключей.

 

Да. Сервис KMS прошел проверку на наличие функциональных возможностей и средств обеспечения безопасности, которые могут помочь выполнить требования к шифрованию и управлению ключами (в основном перечисленных в разделах 3.5 и 3.6 PCI DSS 3.1).

Подробнее о соответствии сервисов AWS стандарту PCI DSS см. на странице Вопросов и ответов по PCI DSS.

Сервис AWS KMS может по вашему требованию сгенерировать ключи данных с целью использования в вашем собственном приложении. Ключи данных шифруются с помощью главного ключа, заданного вами в сервисе AWS KMS, благодаря чему вы можете безопасно хранить зашифрованный ключ данных вместе с зашифрованными данными. Ваш зашифрованный ключ данных (и, следовательно, ваши исходные данные) могут быть расшифрованы только теми пользователями, у которых есть разрешения на использование исходного главного ключа, который использовался для шифрования ключа данных.

Главные ключи в сервисе AWS KMS имеют длину 256 бит. Ключи данных могут быть сгенерированы длиной 128 или 256 бит и зашифрованы с помощью главного ключа, который вы укажете. Сервис AWS KMS также позволяет генерировать случайные данные любой длины, которую вы посчитаете подходящей для использования в криптографических целях.

Нет. Главные ключи создаются и используются только в сервисе AWS KMS, что гарантирует обеспечение их безопасности, принудительное применение ваших политик, а также делает возможным централизованное ведение журнала их использования.

Ключи хранятся и используются только в том регионе, в котором они создавались. Их нельзя передать в другой регион. Например, ключи, которые созданы в регионе Центр ЕС (Франкфурт), хранятся и используются только в регионе Центр ЕС (Франкфурт).

В журналах AWS CloudTrail будут видны запросы к вашим главным ключам, включая как запросы, связанные с операциями управления (например, создание, чередование, деактивация, изменение политики), так и криптографические запросы (например, шифрование/дешифрование). Включите сервис AWS CloudTrail для своего аккаунта, чтобы просматривать эти журналы.

AWS CloudHSM предоставляет проверенный на соответствие требованиям FIPS 140-3 Level 2 выделенный однопользовательский модуль HSM в рамках Amazon Virtual Private Cloud (VPC), который обеспечивает хранение и использование ключей пользователя. При использовании AWS CloudHSM вы получаете полный контроль над своими ключами и прикладным программным обеспечением, которое их использует.Кроме того, можно использовать AWS CloudHSM для поддержки различных примеров использования и приложений, таких как управление цифровыми правами (DRM), инфраструктура открытых ключей (PKI), асимметричные криптографические функции, подписание документов и высокопроизводительное криптографическое ускорение в облаке VPC.

Сервис AWS KMS позволяет управлять ключами шифрования, используемыми в приложениях и поддерживаемых сервисах AWS в нескольких регионах по всему миру, с помощью одной консоли. Централизованное управление всеми ключами в сервисе AWS KMS позволяет принудительно определять, кто может использовать ключи при их чередовании, а также кто может управлять ими. Интеграция сервиса AWS KMS с AWS CloudTrail позволяет проводить аудит использования ключей с целью соблюдения ваших нормативных требований.