Общие вопросы

Вопрос: Что такое AWS Key Management Service (KMS)?
AWS KMS – это управляемый сервис, позволяющий пользователям просто шифровать данные. AWS KMS предоставляет высокодоступное решение для хранения ключей, управления ими и аудита, что позволяет шифровать используемые данные в собственных приложениях и управлять шифрованием хранимых данных по всем сервисам AWS.

Вопрос: Какие задачи позволяет решить AWS KMS?
Разработчики, которым требуется шифровать данные в своих приложениях, могут использовать пакет AWS Encryption SDK с поддержкой AWS KMS для упрощения работы с ключами шифрования и их защиты. ИТ‑администраторы, которым требуется масштабируемая инфраструктура управления ключами, позволяющая обеспечить поддержку разработчиков и растущего количества создаваемых ими приложений, могут использовать сервис AWS KMS, чтобы снизить расходы на лицензирование и рабочую нагрузку. Если вы отвечаете за безопасность данных при выполнении задач, связанных с обеспечением соответствия нормативным требованиям, сервис AWS KMS можно использовать для проверки того, что данные зашифрованы полностью во всех приложениях, где они используются и хранятся.

Вопрос: Как начать работу с сервисом AWS KMS?
Самый простой способ начать работу с сервисом AWS KMS – выбрать использование шифрования данных в поддерживаемых сервисах AWS с помощью управляемых главных ключей, создаваемых в аккаунте для каждого сервиса. Если необходим полный контроль над управлением ключами, включая возможность предоставления совместного доступа к ключам из разных аккаунтов или сервисов, можно создать в KMS свои собственные главные ключи. Главные ключи, созданные в KMS, также можно непосредственно использовать в своих приложениях. К сервису AWS KMS можно получить доступ из консоли KMS, которая находится в разделе «Security, Identity and Compliance» (Безопасность, идентификация и соответствие требованиям) на главной странице сервисов AWS в Консоли AWS. Вызвать API KMS можно напрямую с помощью интерфейса командной строки AWS KMS или программными средствами с помощью AWS SDK. API KMS можно использовать для шифрования данных в собственных приложениях с помощью AWS Encryption SDK. Подробнее см. на странице Начало работы.

Вопрос: В каких регионах доступен сервис KMS?
Доступность сервиса можно проверить на нашей странице Продукты и сервисы по регионам.

Вопрос: Какие функции управления ключами доступны в AWS KMS?
Вы можете выполнять в AWS KMS следующие задачи управления ключами.

  • Создавать ключи с уникальным псевдонимом и описанием.
  • Импортировать собственные данные ключей.
  • Определять, какие пользователи и роли IAM могут управлять ключами.
  • Устанавливать, какие пользователи и роли IAM могут использовать ключи для шифрования и дешифрования данных.
  • Настроить в AWS KMS автоматическое ежегодное чередование ключей.
  • Временно деактивировать ключи, чтобы никто не мог их использовать.
  • Повторно активировать деактивированные ключи.
  • Удалять ключи, которые больше не используются.
  • Проводить аудит использования ключей путем анализа журналов AWS CloudTrail.
  • Создавать собственные хранилища ключей.*
  • Подключать и отключать собственные хранилища ключей.*
  • Удалять собственные хранилища ключей.*

* Для использования собственных хранилищ ключей необходимо иметь в аккаунте доступные ресурсы CloudHSM.

Вопрос: Как работает сервис AWS KMS?
Сервис AWS KMS позволяет централизованно управлять ключами шифрования и надежно хранить их. Такие ключи называются главными ключами клиента, или CMK. Ключи CMK можно генерировать в KMS, в кластере AWS CloudHSM или импортировать из собственной инфраструктуры управления ключами. Главные ключи защищены аппаратными модулями безопасности (HSM) и используются только в этих модулях. Данные, которые должны быть зашифрованы или дешифрованы с помощью этих главных ключей, можно отправлять непосредственно в KMS. При этом сервис позволяет задать политики использования этих ключей, которые определяют, какие пользователи и при каких условиях могут применять их для шифрования и дешифрования данных.

AWS KMS интегрирован с сервисами AWS и инструментами на стороне клиента, которые используют для шифрования данных метод, называемый конвертным шифрованием. При использовании этого метода KMS генерирует ключи данных, которые используются для шифрования данных, при этом сами ключи зашифрованы с помощью главных ключей в KMS. Сервис KMS не используется для хранения ключей данных или для управления ими. Сервисы AWS шифруют данные и хранят зашифрованную копию ключа данных вместе с защищаемыми этим ключом данными. Когда сервису необходимо расшифровать определенные данные, он запрашивает у сервиса KMS расшифровку ключа данных с помощью соответствующего главного ключа. Если пользователь, запросивший данные из сервиса AWS, авторизован политикой главного ключа и имеет право выполнять дешифрование, соответствующий сервис получит из KMS дешифрованный ключ данных, с помощью которого он сможет дешифровать нужные данные и вернуть их в виде простого текста. Все запросы на использование главных ключей регистрируются в AWS CloudTrail, что позволяет понять, кто, для каких целей и когда применял тот или иной ключ.

Вопрос: Где шифруются мои данные, если я использую сервис AWS KMS?
Существует три основных сценария шифрования данных с использованием AWS KMS. Во‑первых, можно непосредственно использовать API KMS для шифрования и дешифрования данных с помощью главных ключей, хранящихся в KMS. Во‑вторых, можно настроить, чтобы сервисы AWS шифровали данные, используя главные ключи, которые хранятся в KMS. В этом случае данные шифруются с использованием ключей данных, которые защищены с помощью соответствующих главных ключей KMS. В‑третьих, можно использовать AWS Encryption SDK, который интегрирован с сервисом AWS KMS, для выполнения шифрования в собственных приложениях независимо от того, работают они в облаке AWS или нет.

Вопрос: Какие облачные сервисы AWS интегрированы с сервисом AWS KMS?
AWS KMS полностью интегрирован с большинством других сервисов AWS, что значительно упрощает шифрование данных в этих сервисах: требуется только установить соответствующий флажок в настройках. В некоторых случаях данные шифруются по умолчанию с использованием ключей, которые хранятся в KMS, но принадлежат рассматриваемому сервису AWS и управляются им. Во многих случаях главные ключи в рамках аккаунта принадлежат клиенту и полностью им управляются. Некоторые сервисы предоставляют на выбор возможность самостоятельно управлять ключами или разрешать сервису управлять ключами от вашего имени. См. список сервисов AWS, которые в настоящее время интегрированы с KMS. См. Руководство для разработчиков по AWS KMS, чтобы получить дополнительную информацию о том, как интегрированные сервисы используют AWS KMS.

Вопрос: Зачем использовать конвертное шифрование? Почему нельзя просто передавать данные в сервис AWS KMS для выполнения непосредственного шифрования?
Поскольку сервис AWS KMS не позволяет передавать для непосредственного шифрования данные менее 4 КБ, конвертное шифрование обеспечивает значительные преимущества в вопросах производительности. При шифровании данных непосредственно с помощью AWS KMS их нужно передавать по сети. Конвертное шифрование снижает нагрузку на сеть, поскольку по сети передается только запрос и выполняется доставка ключа данных гораздо меньшего размера. Ключ данных локально используется в приложении или в шифрующем сервисе AWS, что позволяет не отправлять весь блок данных в сервис KMS по сети, избегая связанных с этим задержек.

Вопрос: В чем разница между главным ключом, который создаю я, и главными ключами, созданными для меня автоматически другими сервисами AWS?
Существует возможность выбрать определенный главный ключ клиента (CMK), который будет использоваться, когда сервису AWS потребуется зашифровать данные от имени клиента. Такие ключи называются главными пользовательскими ключами, или CMK, при этом владелец аккаунта сохраняет полный контроль над ними. Можно установить политику использования каждого ключа и контроля доступа к нему, при этом сервис позволяет предоставлять разрешения на использование таких ключей другим аккаунтам и сервисам. Если CMK не указан клиентом, при первой попытке создать зашифрованный ресурс в некоем сервисе этот сервис создает CMK, управляемый AWS. AWS будет от имени клиента управлять политиками, связанными с CMK, управляемый AWS. Сервис позволяет отслеживать управляемые AWS ключи в своем аккаунте, их использование также регистрируется в сервисе AWS CloudTrail, однако прямого контроля над самими ключами у владельца аккаунта нет.

Вопрос: Зачем нужно создавать собственные главные ключи клиента?
Создание собственного CMK в сервисе AWS KMS обеспечивает больший контроль, чем использование ключей CMK, управляемых AWS. При создании управляемого клиентом CMK можно выбрать использование данных ключа, сгенерированных AWS KMS, сгенерированных в кластере AWS CloudHSM, или импортировать собственные данные ключа. Можно указать псевдоним и дать описание ключа, а также включить автоматическую ротацию ключа один раз в год, если ключ был сгенерирован сервисом AWS KMS. Владелец аккаунта определяет права доступа к такому ключу, указывая, кто может использовать CMK и управлять им.

Вопрос: Можно ли импортировать ключи в AWS KMS?
Да. Можно импортировать в AWS KMS копию ключа из собственной инфраструктуры управления ключами и использовать ее с любым интегрированным сервисом AWS или с собственными приложениями.

Вопрос: В каких случаях стоит использовать импортированные ключи?
Импортированные ключи можно использовать для обеспечения большего контроля над созданием ключей, их надежностью и управлением их жизненным циклом в AWS KMS. Импортированные ключи предназначены для того, чтобы обеспечить соответствие требованиям, которые могут включать возможность генерировать или хранить защищенную копию ключа в собственной инфраструктуре, а также возможность немедленного удаления импортированной копии ключа из инфраструктуры AWS.

Вопрос: Ключи каких типов можно импортировать?
Можно импортировать 256-битные симметричные ключи.

Вопрос: Каким образом импортируемые в AWS KMS ключи защищаются при передаче?
Во время процесса импорта ключ должен быть упакован с помощью открытого ключа, предоставленного AWS KMS, с использованием одной из двух схем RSA PKCS 1. Это гарантирует, что зашифрованный ключ может быть расшифрован только сервисом AWS KMS.

Вопрос: Чем отличается ключ, который я импортировал, от ключа, который я сгенерировал в AWS KMS?
Есть два основных отличия.

  1. Вы несете ответственность за хранение копии импортированных ключей в собственной инфраструктуре управления ключами, чтобы их можно было в любой момент импортировать повторно. AWS при этом обеспечивает доступность, безопасность и надежность ключей, сгенерированных AWS KMS от вашего имени, пока вы не запланируете их удаление.
  2. Для импортированного ключа можно установить окончание срока действия. AWS KMS автоматически удалит данные ключа, как только его срок действия будет окончен. Удалить данные импортированного ключа также можно по требованию. В обоих случаях сами данные ключа удаляются, но сохраняется ссылка CMK в KMS и связанные метаданные, что позволяет повторно импортировать данные ключа в будущем. Ключи, сгенерированные AWS KMS, не имеют срока действия и не могут быть удалены немедленно; существует обязательный период ожидания от 7 до 30 дней. Все управляемые клиентом ключи CMK (независимо от того, были ли импортированы данные этих ключей) могут быть заблокированы вручную или запланированы на удаление. В этом случае удаляется сам ключ CMK, а не только данные этого ключа, лежащие в его основе.

Вопрос: Поддерживается ли ротация ключей?
Да. Можно включить в AWS KMS ежегодную автоматическую ротацию ключей CMK, при условии, что эти ключи были созданы AWS KMS. Автоматическая ротация не поддерживается для импортированных ключей, а также ключей, сгенерированных в кластере AWS CloudHSM с использованием возможности собственного хранилища ключей KMS. Если вы решите импортировать ключи в AWS KMS или использовать собственное хранилище ключей, ротацию можно выполнять вручную по мере необходимости, создавая новый ключ CMK и связывая псевдоним старого ключа с новым ключом.

Вопрос: Потребуется ли после ротации ключей в сервисе AWS KMS повторно шифровать данные?
Если используется автоматическая ротация ключей AWS KMS, повторное шифрование данных не требуется. В сервисе AWS KMS автоматически сохраняются предыдущие версии ключей для расшифровки данных, которые были зашифрованы с использованием старой версии ключа. Все новые запросы на шифрование с помощью ключа в сервисе AWS KMS выполняются с использованием последней версии ключа.

При ручной ротации импортированных ключей или ключей из собственного хранилища может потребоваться повторное шифрование данных в зависимости от того, будут ли сохранены старые версии ключей.

Вопрос: Можно ли удалить ключ из сервиса AWS KMS?
Да. Можно запланировать удаление главного ключа клиента и связанных с ним метаданных, созданных в AWS KMS, выбрав период ожидания от 7 до 30 дней. Этот период ожидания позволяет проверить воздействие удаления ключа на ваши приложения и на пользователей, которые зависят от него. Период ожидания по умолчанию составляет 30 дней. В течение периода ожидания удаление ключа можно отменить. Ключ, запланированный к удалению, нельзя продолжать использовать, если удаление не будет отменено в течение периода ожидания. Ключ, удаление которого не было отменено, будет удален в конце заданного периода ожидания. После удаления ключа использовать его будет невозможно. Все данные, которые были защищены с помощью удаленного главного ключа, станут недоступными.

Для главного ключа клиента с импортированными данными можно удалить данные ключей без стирания ID главного ключа клиента или метаданных двумя способами. В первом способе вы можете удалить данные импортированного ключа по требованию, без периода ожидания. Во втором способе во время импортирования данных ключа в главный ключ клиента можно определить время окончания срока, в течение которого AWS будет использовать данные импортированного ключа перед его удалением. Можно повторно импортировать данные вашего ключа в главный ключ клиента, если потребуется использовать его снова.

Вопрос: Что нужно делать, если срок действия данных импортированного ключа истек или они были случайно удалены?
Можно повторно импортировать в AWS KMS копию данных ключа с действительным сроком действия. Чтобы данные ключа были доступны для использования, импорт должен быть выполнен с использованием первоначального главного ключа клиента.

Вопрос: Получу ли я предупреждение о необходимости повторного импортирования ключа?
Да. После импортирования вашего ключа в главный ключ клиента вы будете раз в несколько минут получать метрику Amazon CloudWatch, отсчитывающую время, оставшееся до окончания срока действия импортированного ключа. Кроме того, вы получите от сервиса Amazon CloudWatch Event оповещение о событии после того, как истечет срок действия ключа, импортированного с помощью главного ключа клиента. Чтобы избежать риска потери доступа к данным, можно на основе этих метрик и событий создать алгоритм автоматического повторного импорта ключа с новым сроком действия.

Вопрос: Можно ли использовать сервис AWS KMS для управления шифрованием данных за пределами облачных сервисов AWS?
Да. Поддержка сервиса AWS KMS существует в пакетах AWS SDK, AWS Encryption SDK, Amazon DynamoDB Client‑side Encryption и Amazon S3 Encryption Client, что упрощает процедуру шифрования данных в приложениях, где бы они ни работали. Дополнительную информацию см. на страницах AWS Crypto Tools и Разработка на AWS.

Вопрос: Ограничено ли количество ключей, которые я могу создать в сервисе AWS KMS?
Для каждого аккаунта в каждом регионе можно создать до 1000 главных ключей клиентов. Поскольку учитываются как используемые, так и деактивированные главные ключи клиентов, мы рекомендуем удалять деактивированные ключи, которые больше не используются. Управляемые AWS главные ключи, созданные от вашего имени для использования в поддерживаемых сервисах AWS, в этом ограничении не учитываются. Ограничение на количество ключей данных, которые можно получить с помощью главного ключа и использовать в своем приложении или сервисах AWS для шифрования данных от своего имени, отсутствует. Заявку на повышение лимита по количеству главных ключей клиента можно подать в Центре AWS Support.

Собственное хранилище ключей

Вопрос: Что такое собственное хранилище ключей?
Собственное хранилище ключей в AWS KMS сочетает в себе средства управления, предоставляемые AWS CloudHSM, с возможностями интеграции и простотой использования сервиса AWS KMS. Можно настроить свой собственный кластер CloudHSM и разрешить KMS использовать его в качестве выделенного хранилища для ключей аккаунта вместо хранилища ключей в KMS по умолчанию. При создании ключей в KMS можно настроить генерирование данных ключа в кластере CloudHSM. Главные ключи, сгенерированные в собственном хранилище ключей, никогда не передаются за пределы модулей HSM в кластере CloudHSM в незашифрованном виде, при этом все операции KMS, использующие эти ключи, выполняются только в соответствующих модулях HSM. Все прочие характеристики главных ключей, хранящихся в собственном хранилище ключей, соответствуют характеристикам других ключей CMK в KMS.

В этом блоге можно найти дополнительную информацию, позволяющую принять решение о том, подходит ли собственное хранилище ключей в вашем случае.

Вопрос: Зачем может потребоваться использовать собственное хранилище ключей?
Поскольку кластер AWS CloudHSM находится под контролем клиента, это позволяет управлять жизненным циклом главных ключей AWS KMS независимо от KMS. Есть четыре случая, в которых собственное хранилище ключей может оказаться полезным. Во‑первых, когда используются ключи, которые должны быть явно защищены в однопользовательском модуле HSM или в модуле HSM под непосредственным контролем владельца. Во‑вторых, когда используются ключи, которые необходимо сохранить в модуле HSM, прошедшем проверку на соответствие требованиям стандарта FIPS 140‑2 Level 3 (модули HSM, используемые в стандартном хранилище ключей KMS, проверяются на соответствие Level 2 и соответствуют Level 3 по ряду категорий). В‑третьих, когда может потребоваться возможность немедленного удаления данных ключа из KMS и доказательство, что удаление было выполнено независимыми средствами. Наконец, когда требуется возможность проверять любое использование ключей независимо от KMS или AWS CloudTrail.

Вопрос: Влияет ли собственное хранилище ключей на способ управления ключами?
Есть два отличия между управлением ключами в собственном хранилище ключей и хранилище ключей AWS KMS по умолчанию. В собственное хранилище ключей нельзя импортировать данные ключей. Кроме того, нельзя будет использовать KMS для выполнения автоматической ротации ключей. Во всех других аспектах (включая типы ключей, которые могут быть сгенерированы, способ использования ключами псевдонимов и способ определения политик) управление ключами, которые хранятся в собственном хранилище ключей, осуществляется так же, как и управление любым другим CMK под управлением клиента в KMS.

Вопрос: Можно ли использовать собственное хранилище ключей для хранения главного ключа клиента, управляемого AWS?
Нет. В собственном хранилище ключей AWS KMS можно хранить только управляемые клиентом ключи CMK, а также управлять ими. Управляемые AWS ключи CMK, которые создаются от имени клиента другими сервисами AWS для шифрования данных, всегда генерируются и хранятся в хранилище ключей KMS по умолчанию.

Вопрос: Влияет ли собственное хранилище ключей на способ использования ключей?
Нет. Запросы API к AWS KMS на использование CMK для шифрования и дешифрования данных обрабатываются стандартным образом. Процессы аутентификации и авторизации работают независимо от того, где хранится ключ. Все действия, связанные с использованием ключа в собственном хранилище ключей, также регистрируются в сервисе AWS CloudTrail стандартным образом. Однако сами криптографические операции однозначно выполняются либо в собственном хранилище ключей, либо в хранилище ключей KMS по умолчанию.

Вопрос: Как выполнять аудит использования ключей в собственном хранилище ключей?
В дополнение к действиям, которые регистрируются AWS KMS в сервисе AWS CloudTrail, при использовании собственного хранилища ключей предоставляются три дополнительных механизма аудита. Во‑первых, AWS CloudHSM также регистрирует в CloudTrail все операции, связанные с API, например создание кластеров, добавление или удаление модулей HSM. Во‑вторых, каждый кластер ведет свои собственные локальные журналы для записи действий пользователей и действий, связанных с управлением ключами. В‑третьих, каждый инстанс CloudHSM копирует локальные журналы действий пользователей и действий, связанных с управлением ключами, в AWS CloudWatch.

Вопрос: Как влияет использование собственного хранилища ключей на доступность ключей?
Использование собственного хранилища ключей в AWS KMS возлагает ответственность за обеспечение доступности ключей для использования в KMS на клиента. Ошибки в конфигурации CloudHSM и случайное удаление данных ключа в кластере AWS CloudHSM может повлиять на доступность. Количество модулей HSM и выбор зон доступности (AZ) также влияет на отказоустойчивость используемого кластера. Как и в любой системе управления ключами, важно понимать, как доступность ключей может повлиять на возможность восстановления зашифрованных данных.

Вопрос: Какие ограничения производительности применяются при использовании собственного хранилища ключей?
Скорость, с которой ключи, хранящиеся в собственном хранилище ключей AWS KMS, могут использоваться посредством вызовов API AWS KMS, более низкая, чем для ключей, хранящихся в хранилище ключей AWS KMS по умолчанию. См. руководство для разработчиков по KMS для получения информации о текущих ограничениях производительности.

Вопрос: Сколько стоит использование собственного хранилища ключей?
Использование собственного хранилища ключей не влияет на цены на AWS KMS. Однако при использовании каждого собственного хранилища ключей необходимо, чтобы соответствующий кластер AWS CloudHSM включал не менее двух модулей HSM. Эти модули HSM оплачиваются по стандартным тарифам AWS CloudHSM. Дополнительная плата за использование собственного хранилища ключей не взимается.

Вопрос: Какие дополнительные навыки и ресурсы требуются для настройки собственного хранилища ключей?
Пользователям AWS KMS, которые хотят использовать собственное хранилище ключей, потребуется настраивать кластер AWS CloudHSM, добавлять модули HSM, управлять пользователями HSM и, возможно, восстанавливать HSM из резервной копии. От выполнения этих задач серьезно зависит безопасность, поэтому стоит убедиться, что у вас есть соответствующие ресурсы и организационные средства управления.

Вопрос: Можно ли импортировать ключи в собственное хранилище ключей?
Нет. Возможность импорта своих данных ключей в собственное хранилище ключей AWS KMS не поддерживается. Ключи, которые хранятся в собственном хранилище ключей, могут быть сгенерированы только в модулях HSM, которые входят в соответствующий кластер AWS CloudHSM.

Вопрос: Можно ли переносить ключи между хранилищем ключей KMS по умолчанию и собственным хранилищем ключей?
Нет. В AWS KMS в настоящее время не поддерживается возможность перемещения ключей между разными типами хранилищ ключей. Все ключи должны быть созданы в том хранилище ключей, в котором они будут использоваться, за исключением случаев, когда выполняется импорт собственных данных ключа в хранилище ключей KMS по умолчанию.

Вопрос: Можно ли выполнять ротацию ключей, хранящихся в собственном хранилище ключей?
Возможность выполнения автоматической ротации данных ключей в собственном хранилище ключей AWS KMS не поддерживается. Ротацию ключей необходимо выполнять вручную путем создания новых ключей и привязки псевдонимов ключей KMS, используемых в коде приложения, к новым ключам для их использования в дальнейших операциях шифрования.

Вопрос: Можно ли использовать свой кластер AWS CloudHSM для других приложений?
Да. AWS KMS не требует эксклюзивного доступа к кластеру AWS CloudHSM. Если у вас уже есть кластер, его можно использовать как собственное хранилище ключей и продолжать использовать для других приложений. Однако если такой кластер поддерживает обработку высокой нагрузки, не связанной с KMS, вы можете столкнуться со снижением производительности при выполнении операций, использующих главные ключи KMS в собственном хранилище ключей. Аналогичным образом высокая частота запросов KMS к собственному хранилищу ключей может повлиять на работу других приложений.

Вопрос: Где можно узнать подробнее о AWS CloudHSM?
Посетите страницу AWS CloudHSM, чтобы ознакомиться с обзором сервиса, а чтобы получить более подробную информацию о настройке и использовании сервиса, обратитесь к Руководству пользователя AWS CloudHSM.  

Оплата

Вопрос: Каков принцип оплаты пользования сервисом AWS KMS?
Работая с AWS KMS, вы платите только за то, чем пользуетесь, без минимальных взносов. Для начала работы с сервисом не требуется предоплата или какие-либо обязательства. В конце месяца с вашей кредитной карты будет автоматически снята сумма за пользование сервисом по итогам месяца.

Вы платите за все созданные главные ключи клиента (CMK) и за запросы API, выполненные к сервису в течение месяца сверх количества, предусмотренного уровнем бесплатного пользования.

Сведения о действующих ценах см. на странице цен на AWS KMS.

Вопрос: Существует ли уровень бесплатного пользования?
Да. Уровень бесплатного пользования AWS позволяет приступить к работе с сервисом AWS KMS бесплатно в любых регионах. Управляемые AWS главные ключи, которые были созданы сервисами AWS от имени клиента, хранятся в аккаунте бесплатно. Уровень бесплатного пользования предусматривает определенное количество запросов, которые можно ежемесячно направлять к AWS KMS бесплатно. Сведения о действующих ценах, включая информацию об уровне бесплатного пользования, см. на странице цен на AWS KMS.

Вопрос: Указанные цены включают налоги?
Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Дополнительную информацию можно получить здесь.

Безопасность

Вопрос: Кто может использовать мои ключи и управлять ими в сервисе AWS KMS?
Сервис AWS KMS принудительно применяет политики использования и управления, которые определены вами. Использовать ваши ключи и управлять ими можно разрешить или запретить пользователям и ролям сервиса AWS Identity and Access Management (IAM) своего или других аккаунтов.

Вопрос: Как AWS обеспечивает безопасность главных ключей, которые создаются в AWS KMS?
AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные главные ключи. Сервис использует проверенные на соответствие FIPS 140‑2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности ключей независимо от того, используете вы для создания ключей AWS KMS или AWS CloudHSM или импортируете их в сервис самостоятельно. Незашифрованные ключи никогда не выходят за пределы модулей HSM, никогда не записываются на диск и используются только в энергозависимой памяти модуля HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи AWS KMS никогда не передаются за пределы регионов AWS, в которых они были созданы. Обновление программного обеспечения на узлах сервиса и обновление встроенного ПО модулей HSM в AWS KMS управляется системой многостороннего контроля доступа, за проверку и корректировку которой отвечает независимая группа в составе Amazon и лаборатория, прошедшая сертификацию NIST, как того требует стандарт FIPS 140‑2.

Дополнительную информацию о порядке обеспечения безопасности в данном отношении см. в техническом описании Сведения о криптографии в сервисе AWS KMS. Чтобы узнать больше об обеспечении соответствия требованиям безопасности FIPS 140-2 для модулей HSM сервиса AWS KMS, ознакомьтесь с сертификатом FIPS 140-2 для модулей HSM AWS KMS и соответствующей политикой безопасности. Кроме того, можно загрузить в AWS Artifact копию отчета Service Organization Controls (SOC) для ознакомления со средствами обеспечения безопасности, которые используются в AWS KMS для защиты главных ключей.

Вопрос: Как перенести существующие главные ключи AWS KMS, чтобы использовать проверенные на соответствие FIPS 140-2 модули HSM?
Все главные ключи в AWS KMS, независимо от их происхождения или даты создания, автоматически защищаются с использованием модулей HSM, проверенных на соответствие FIPS 140‑2. Для использования модулей HSM, проверенных на соответствие FIPS 140‑2, не требуется дополнительных действий со стороны пользователя.

Вопрос: В каких регионах AWS используются модули HSM, проверенные на соответствие FIPS 140‑2?
Модули HSM, проверенные на соответствие FIPS 140‑2, доступны во всех регионах AWS, где предлагается сервис AWS KMS.

Вопрос: В чем разница между проверенными на соответствие FIPS 140‑2 адресами и модулями HSM в AWS KMS?
AWS KMS – это двухуровневый сервис. Адреса API получают клиентские запросы через соединение HTTPS, используя только комплекты шифров TLS, обеспечивающие полную безопасность пересылки. Эти адреса API выполняют аутентификацию и авторизуют запрос перед передачей запроса на криптографическую операцию в модули HSM сервиса AWS KMS или в кластер AWS CloudHSM, если в KMS используется собственное хранилище ключей.

Вопрос: Как выполнять запросы API к AWS KMS с помощью адресов, проверенных на соответствие FIPS 140‑2?
Необходимо настроить приложения на подключение к уникальным региональным адресам HTTPS, проверенным на соответствие FIPS 140-2. Проверенные на соответствие FIPS 140-2 адреса HTTPS сервиса AWS KMS работают на базе OpenSSL FIPS Object Module. Ознакомиться с политикой безопасности модуля OpenSSL можно по адресу https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Адреса API, проверенные на соответствие FIPS 140-2, доступны во всех коммерческих регионах, где доступен сервис AWS KMS.

Вопрос: Поможет ли сервис AWS KMS обеспечить соответствие требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS 3.1) к шифрованию и управлению ключами?
Да. Сервис AWS KMS прошел проверку на наличие функциональных возможностей и средств обеспечения безопасности, которые необходимы для выполнения требований PCI DSS 3.1 к шифрованию и управлению ключами (перечисленных главным образом в разделах 3.5 и 3.6).

Подробнее о соответствии сервисов AWS стандарту PCI DSS см. на странице вопросов и ответов по PCI DSS.

Вопрос: Каким образом сервис AWS KMS обеспечивает безопасность ключей данных, которые я экспортирую и использую в своем приложении?
Сервис AWS KMS может по запросу сгенерировать и вернуть ключи данных с целью их использования в вашем приложении. Ключи данных шифруются с помощью главного ключа, заданного вами в сервисе AWS KMS, благодаря чему вы можете безопасно хранить зашифрованный ключ данных вместе с зашифрованными данными. Ваш зашифрованный ключ данных (и, следовательно, исходные данные) могут быть расшифрованы только теми пользователями, у которых есть разрешения на использование исходного главного ключа для расшифровки соответствующего зашифрованного ключа данных.

Вопрос: Ключи какой длины генерирует сервис AWS KMS?
Главные ключи в сервисе AWS KMS имеют длину 256 бит. Ключи данных могут быть сгенерированы длиной 128 или 256 бит и зашифрованы с помощью главного ключа, который вы укажете. Сервис AWS KMS также позволяет генерировать случайные данные любой длины, которую вы посчитаете подходящей для использования в криптографических целях.

Вопрос: Можно ли экспортировать главный ключ из сервиса AWS KMS и использовать его в собственных приложениях?
Нет. Главные ключи создаются и используются только в сервисе AWS KMS, что гарантирует обеспечение их безопасности, принудительное применение ваших политик, а также делает возможным централизованное ведение журнала их использования.

Вопрос: В каком географическом регионе хранятся мои ключи?
Ключи, сгенерированные сервисом AWS KMS, хранятся и используются только в том регионе, в котором они создавались. Их нельзя передать в другой регион. Например, ключи, которые созданы в регионе Центр ЕС (Франкфурт), хранятся и используются только в этом регионе.

Вопрос: Как узнать, кто использовал мои ключи или изменил их конфигурацию в сервисе AWS KMS?
В журналах AWS CloudTrail отображаются все запросы API KMS, включая как запросы, связанные с операциями управления (например, создание, ротация, деактивация, изменение политики), так и криптографические запросы (например, шифрование / дешифрование). Включите сервис AWS CloudTrail для своего аккаунта, чтобы просматривать эти журналы.

Вопрос: В чем отличие между сервисами AWS KMS и AWS CloudHSM?
AWS CloudHSM предоставляет для хранения и использования ключей проверенный на соответствие требованиям FIPS 140‑2 Level 3 однопользовательский кластер модулей HSM в рамках Amazon Virtual Private Cloud (VPC). Пользователь получает эксклюзивный контроль над тем, как используются его ключи, через механизм аутентификации, независимый от AWS. Пользователь взаимодействует с ключами в своем кластере AWS CloudHSM подобно тому, как он взаимодействует со своими приложениями, работающими в Amazon EC2. AWS CloudHSM подходит для различных примеров использования, таких как технические средства защиты авторских прав (DRM), инфраструктура открытых ключей (PKI), подпись документов и криптографические функции с использованием интерфейсов PKCS 11, Java JCE или Microsoft CNG.

Сервис AWS KMS предоставляет единую консоль для создания ключей шифрования и управления ими. Эти ключи могут использоваться в приложениях и поддерживаемых сервисах AWS во множестве регионов по всему миру. Защита ключей обеспечивается с помощью аппаратных модулей безопасности (HSM), проверенных на соответствие FIPS 140-2. Централизованное управление всеми ключами в сервисе AWS KMS позволяет определять, кто и при каких условиях может использовать ключи и управлять ими, а также когда происходит их ротация. Интеграция сервиса AWS KMS с AWS CloudTrail позволяет проводить аудит использования ключей с целью соблюдения применимых нормативных требований. Взаимодействовать с AWS KMS из приложений можно с помощью AWS SDK, если необходимо напрямую вызывать API сервисов, через другие сервисы AWS, которые интегрированы с KMS, или с помощью SDK AWS Encryption, если требуется выполнять шифрование на стороне клиента.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах

Ознакомьтесь с примерами расчета стоимости, рассчитайте свои расходы.

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните разработку с использованием AWS Key Management Service в Консоли AWS.

Вход