Общие вопросы

Вопрос: Что такое AWS Key Management Service (KMS)?
AWS KMS – это управляемый сервис шифрования, позволяющий пользователям легко шифровать данные. AWS KMS предоставляет высокодоступное решение для хранения ключей, управления ими и аудита, что позволяет вам шифровать свои данные при использовании сервисов AWS, а также в своих собственных приложениях.

Вопрос: Какие задачи позволяет решить AWS KMS?
Разработчики, которым нужно шифровать данные в своих приложениях, могут применять пакеты AWS SDK с поддержкой AWS KMS для упрощения работы с ключами шифрования и их защиты. ИТ-администраторы, которым требуется масштабируемая инфраструктура управления ключами, позволяющая обеспечить поддержку разработчиков и растущего числа их приложений, могут использовать сервис AWS KMS, чтобы снизить расходы на лицензирование и рабочую нагрузку. Если вы отвечаете за безопасность данных при выполнении задач, связанных с обеспечением соответствия нормативным требованиям, сервис AWS KMS можно использовать для проверки того, что данные зашифрованы полностью во всех приложениях, где они используются и хранятся.

Вопрос: Как начать работу с сервисом AWS KMS?
Самый простой способ начать работу с сервисом AWS KMS – установить флажок, чтобы зашифровать ваши данные в поддерживаемых сервисах AWS, и использовать ключи по умолчанию, создаваемые в вашем аккаунте для каждого сервиса. Если вы хотите иметь больше возможностей управления этими ключами, можно создать ключи в сервисе AWS KMS и назначить их использование в поддерживаемых сервисах AWS при создании зашифрованных ресурсов, а также использовать ключи непосредственно в своих приложениях. Доступ к сервису AWS KMS можно получить через веб-интерфейс в разделе «Encryption Keys» консоли AWS Identity and Access Management (IAM), а также программным путем с помощью интерфейса командной строки AWS KMS или пакета AWS Software Development Kit. Подробнее см. на странице Начало работы.

Вопрос: В каких регионах доступен сервис KMS?
Доступность сервиса можно проверить на нашей странице Продукты и сервисы по регионам.

Вопрос: Какие функции управления ключами доступны в AWS KMS?
Вы можете выполнять в AWS KMS следующие задачи управления ключами.

  • Создавать ключи с уникальными псевдонимами и описанием.
  • Импортировать собственные ключи
  • Определять, какие пользователи и роли IAM могут управлять ключами.
  • Устанавливать, какие пользователи и роли IAM могут использовать ключи для шифрования и дешифрования данных.
  • Настроить в AWS KMS автоматическое ежегодное чередование ключей.
  • Временно деактивировать ключи, чтобы никто не мог их использовать.
  • Повторно активировать деактивированные ключи.
  • Удалять ключи, которые больше не используются.
  • Проводить аудит использования ключей путем анализа журналов AWS CloudTrail.

Вопрос: Как работает сервис AWS KMS?
Сервис AWS KMS позволяет централизованно управлять вашими ключами и надежно их хранить. Ключи можно генерировать в AWS KMS или импортировать из собственной инфраструктуры управления ключами. Эти ключи можно использовать для защиты данных внутри приложений и поддерживаемых сервисов AWS, однако сам ключ никогда не выходит за пределы AWS KMS. Вы отправляете в AWS KMS данные, которые должны быть зашифрованы или дешифрованы с помощью ключей, находящихся под вашим контролем. Вы задаете политики использования этих ключей, которые определяют, какие пользователи могут применять их для шифрования и дешифрования данных. Все запросы на использование этих ключей регистрируются в AWS CloudTrail, что позволяет понять, кто и когда применял определенный ключ.

Вопрос: Где шифруются мои данные, если я использую сервис AWS KMS?
Вы можете использовать сервис AWS KMS, чтобы шифровать данные локально в собственных приложениях или хранить их в зашифрованном виде в поддерживаемом сервисе AWS. AWS SDK с поддержкой сервиса AWS KMS можно использовать для шифрования в любой среде, где запускаются ваши приложения. Кроме того, можно настроить шифрование данных при их хранении в поддерживаемом сервисе AWS. Сервис AWS CloudTrail предоставляет журналы доступа, позволяющие проверить использование ключей в любой ситуации.

Вопрос: Какие облачные сервисы AWS интегрированы с сервисом AWS KMS?
AWS KMS полностью интегрирован с рядом других сервисов AWS, что значительно упрощает шифрование данных в этих сервисах: достаточно установить флажок и выбрать главный ключ. Полный список сервисов AWS, которые в настоящее время интегрированы с AWS KMS, см. на странице возможностей. Вся информация об использовании ключей в интегрированных сервисах появляется в журналах AWS CloudTrail. См. Руководство по AWS KMS для разработчиков, чтобы получить дополнительную информацию о том, как интегрированные сервисы используют сервис AWS KMS.

Вопрос: Как облачные сервисы AWS используют мои ключи для шифрования данных?
Облачные сервисы AWS, интегрированные с сервисом AWS KMS, для защиты ваших данных используют метод, называемый конвертным шифрованием. Конвертное шифрование представляет собой оптимизированный метод шифрования данных, при котором используется два разных ключа. Ключ данных генерируется и используется сервисом AWS для шифрования каждого блока данных или ресурса. Ключ данных шифруется с помощью главного ключа, заданного вами в сервисе AWS KMS. Зашифрованный ключ данных хранится в сервисе AWS. Когда вам нужно дешифровать свои данные с помощью сервиса AWS, зашифрованный ключ данных передается в сервис AWS KMS и расшифровывается главным ключом, с помощью которого он был первоначально зашифрован, после чего сервис может расшифровать ваши данные.

Вопрос: Зачем использовать конвертное шифрование? Почему нельзя просто передавать данные в сервис AWS KMS для выполнения непосредственного шифрования?
Поскольку сервис AWS KMS не позволяет передавать для шифрования данные менее 4 КБ, конвертное шифрование обеспечивает значительные преимущества в вопросах производительности. При шифровании данных непосредственно с помощью AWS KMS их нужно передавать по сети. Конвертное шифрование снижает нагрузку на сеть для приложения или облачного сервиса AWS. По сети передается только запрос ключа данных и результат его исполнения с помощью AWS KMS. Поскольку ключ данных всегда хранится в зашифрованном виде, его можно легко и безопасно распространять везде, где это необходимо, не беспокоясь, что он будет раскрыт. Зашифрованные ключи данных передаются в сервис AWS KMS и расшифровываются с помощью главных ключей, что в конечном счете позволяет вам расшифровать данные. Ключ данных доступен непосредственно в вашем приложении, что позволяет не отправлять весь блок данных в сервис AWS KMS по сети, избегая связанных с этим задержек.

Вопрос: В чем разница между ключом, который я создаю, и главным ключом, созданным для меня по умолчанию для использования в облачных сервисах AWS?
У вас есть возможность выбрать определенный главный ключ, который будет использоваться, когда сервису AWS потребуется зашифровать данные от вашего имени. Главный ключ по умолчанию, который является уникальным для каждого сервиса, создается в вашем аккаунте для удобства, когда вы в первый раз пытаетесь создать зашифрованный ресурс. Этот ключ управляется сервисом AWS KMS, но вы всегда можете проверить его использование в AWS CloudTrail. Вы также можете создать главный ключ клиента в сервисе AWS KMS, который затем можно использовать в собственных приложениях или в поддерживаемом сервисе AWS. Платформа AWS при необходимости обновит политики использования главных ключей по умолчанию, чтобы автоматически обеспечить поддержку новых возможностей в поддерживаемых сервисах. Платформа AWS не изменяет политики для ключей, которые создаете вы.

Вопрос: Зачем нужно создавать главный ключ клиента?
Создание собственного ключа в сервисе AWS KMS обеспечивает больший контроль, чем использование главных ключей по умолчанию, созданных сервисами. При создании главного ключа клиента можно использовать данные, сгенерированные AWS KMS от вашего имени, или импортировать собственные данные ключа, указать псевдоним, дать описание, а также включить автоматическую ротацию ключа один раз в год, если он создан с использованием данных ключа, сгенерированных AWS KMS. Можно также определить права доступа к ключу, указав, кто может использовать этот ключ и управлять им. Все действия, связанные с управлением и использованием ключа, можно просмотреть в AWS CloudTrail.

Вопрос: Можно ли импортировать ключи в AWS KMS?
Да. Можно импортировать в AWS KMS копию ключа из собственной инфраструктуры управления ключами и использовать ее с любым интегрированным сервисом AWS или с собственными приложениями.

Вопрос: В каких случаях стоит использовать импортированные ключи?
Импортированные ключи можно использовать для обеспечения большего контроля над созданием ключей, их надежностью и управлением их жизненным циклом в AWS KMS. Импортированные ключи предназначены для того, чтобы обеспечить соответствие требованиям, которые могут включать возможность генерировать или хранить защищенную копию ключа в собственной инфраструктуре, а также возможность удалять импортированную копию ключа по требованию инфраструктуры AWS после того, как ключ станет не нужен.

Вопрос: Ключи каких типов можно импортировать?
Можно импортировать 256-битные симметричные ключи.

Вопрос: Каким образом импортируемые в AWS KMS ключи защищаются при передаче?
Во время импорта ключ должен быть упакован с помощью открытого ключа, предоставленного AWS KMS, с использованием одной из двух схем RSA PKCS 1. Это гарантирует, что зашифрованный ключ может быть расшифрован только сервисом AWS KMS.

Вопрос: Чем отличается импортированный ключ от ключа, сгенерированного AWS KMS?
Между импортированным ключом и ключом, сгенерированным AWS KMS, есть два главных различия.

  1. Вы должны надежно хранить копию импортированных ключей в собственной инфраструктуре управления ключами, чтобы их можно было в любой момент импортировать повторно. AWS обеспечивает доступность, безопасность и надежность ключей, сгенерированных AWS KMS от вашего имени, пока вы не запланируете их удаление.
  2. Для импортированного ключа можно установить срок окончания действия, и в установленное время AWS KMS автоматически удалит его. Можно также удалить импортированный ключ по требованию, без удаления базового главного ключа клиента. Кроме этого, вы можете в любое время вручную заблокировать или удалить главный ключ клиента вместе с импортированным ключом. Ключ, сгенерированный AWS KMS, может быть заблокирован или запланирован на удаление, но не может иметь срока окончания действия.

Вопрос: Поддерживается ли чередование ключей?
Да. Можно включить ежегодную автоматическую ротацию ключей, сгенерированных AWS KMS от вашего имени. Для импортированных ключей автоматическая ротация не поддерживается. Если используются импортированные в AWS KMS ключи, их ротация может осуществляться вручную в любое время.

Вопрос: Потребуется ли повторно шифровать данные после ротации ключей в сервисе AWS KMS?
Если включена автоматическая ротация ключей, сгенерированных AWS KMS от вашего имени, то повторное шифрование данных не требуется. В сервисе AWS KMS хранятся предыдущие версии ключей для расшифровки данных, которые были зашифрованы с использованием старой версии ключа. Все новые запросы на шифрование с помощью ключа в сервисе AWS KMS выполняются с использованием последней версии ключа.

При ручной ротации ключей может потребоваться повторное шифрование данных в зависимости от конфигурации вашего приложения.

Вопрос: Можно ли удалить ключ из сервиса AWS KMS?
Да. Можно запланировать удаление главного ключа клиента и связанных с ним метаданных, созданных в AWS KMS, выбрав период ожидания от 7 до 30 дней. Этот период ожидания позволяет проверить воздействие удаления ключа на ваши приложения и на пользователей, которые зависят от него. Период ожидания по умолчанию составляет 30 дней. Вы можете отменить удаление в течение периода ожидания. Если вы запланировали удаление ключа, его нельзя больше использовать, если не отменить удаление в течение периода ожидания. Ключ будет удален в конце заданного периода ожидания, если вы не отмените его удаление. После удаления ключа вы больше не сможете его использовать. Все данные, которые были защищены с помощью удаленного главного ключа, станут недоступными.

Для главного ключа клиента с импортированными данными можно удалить данные ключей без стирания ID главного ключа клиента или метаданных двумя способами. В первом способе вы можете удалить данные импортированного ключа по требованию, без периода ожидания. Во втором способе во время импортирования данных ключа в главный ключ клиента можно определить время окончания срока, в течение которого AWS будет использовать данные импортированного ключа перед его удалением. Можно повторно импортировать данные вашего ключа в главный ключ клиента, если потребуется использовать его снова.

Вопрос: Что нужно делать, если срок действия данных импортированного ключа истек или они были случайно удалены?
Можно повторно импортировать в AWS KMS копию данных ключа с действительным сроком действия. Чтобы данные ключа были доступны для использования, импорт должен быть выполнен с использованием первоначального главного ключа клиента.

Вопрос: Получу ли я предупреждение о необходимости повторного импортирования ключа?
Да. После импортирования вашего ключа в главный ключ клиента вы будете раз в несколько минут получать метрику Amazon CloudWatch, отсчитывающую время, оставшееся до окончания срока действия импортированного ключа. Кроме того, вы получите от сервиса Amazon CloudWatch Event оповещение о событии после того, как истечет срок действия ключа, импортированного с помощью главного ключа клиента. Чтобы избежать риска потери доступа к данным, можно на основе этих метрик и событий создать алгоритм автоматического повторного импорта ключа с новым сроком действия.

Вопрос: Можно ли использовать сервис AWS KMS для управления шифрованием данных за пределами облачных сервисов AWS?
Да. Поддержка сервиса AWS KMS присутствует в пакетах AWS SDK, AWS Encryption SDK и Amazon S3 Encryption Client, что упрощает процедуру шифрования данных в приложениях везде, где они работают. API AWS KMS поддерживаются пакетами AWS SDK на платформах Java, Ruby, .NET и PHP. Подробнее см. на странице Разработка на платформе AWS.

Вопрос: Ограничено ли количество ключей, которые я могу создать в сервисе AWS KMS?
Для каждого аккаунта в каждом регионе можно создать до 1000 главных ключей клиентов. Поскольку учитываются как используемые, так и деактивированные главные ключи клиентов, мы рекомендуем удалять деактивированные ключи, которые вы больше не используете. Главные ключи по умолчанию, созданные от вашего имени для использования в поддерживаемых сервисах AWS, в этом ограничении не учитываются. Ограничение на количество ключей данных, которые можно получить с помощью главного ключа и использовать в вашем приложении или сервисах AWS для шифрования данных от вашего имени, отсутствует. Заявку на увеличение ограничения по количеству главных ключей клиента можно подать в Центре AWS Support.

Оплата

Вопрос: Каков принцип оплаты пользования сервисом AWS KMS?
Работая с AWS KMS, вы платите только за то, чем пользуетесь, без минимальных взносов. Для начала работы с сервисом не требуется предоплата или какие-либо обязательства. В конце месяца с указанной кредитной карты будет автоматически снята сумма за пользование сервисом по итогам месяца.

Вы платите за все созданные вами главные ключи клиента и за запросы API, выполненные к сервису за каждый месяц сверх количества, заданного для уровня бесплатного пользования.

Сведения о действующих ценах см. на странице цен на AWS KMS.

Вопрос: Существует ли уровень бесплатного пользования?
Да. Уровень бесплатного пользования AWS позволяет приступить к работе с сервисом AWS KMS бесплатно во всех регионах. Плата за хранение в вашем аккаунте главных ключей по умолчанию, созданных от вашего имени, не взимается. Уровень бесплатного пользования также предусматривает определенное количество запросов, которые можно ежемесячно направлять к AWS KMS бесплатно. Сведения о действующих ценах, включая информацию об уровне бесплатного пользования, см. на странице цен на AWS KMS.

Вопрос: Указанные цены включают налоги?
Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Дополнительную информацию можно получить здесь.

Безопасность

Вопрос: Кто может использовать мои ключи и управлять ими в сервисе AWS KMS?
Сервис AWS KMS принудительно применяет политики использования и управления, которые определены вами. Использовать ваши ключи и управлять ими можно разрешить или запретить пользователям и ролям сервиса AWS Identity and Access Management (IAM) своего или других аккаунтов.

Вопрос: Как AWS обеспечивает безопасность главных ключей, которые создаются внутри AWS KMS?
AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Сервис использует проверенные на соответствие FIPS 140-2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности всех ключей – как создаваемых AWS KMS от вашего имени, так и импортированных в сервис. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи AWS KMS никогда не передаются за пределы регионов AWS, в которых они были созданы. Обновление программного обеспечения на хостах сервиса и обновление встроенного ПО модулей HSM сервиса AWS KMS управляется системой многостороннего контроля доступа, за проверку и корректировку которой отвечает независимая группа в составе Amazon.

Дополнительную информацию о порядке обеспечения безопасности в данном отношении см. в техническом описании Сведения о криптографии в сервисе AWS KMS. Чтобы узнать больше об обеспечении соответствия требованиям безопасности FIPS 140-2 для модулей HSM сервиса AWS KMS, ознакомьтесь с сертификатом FIPS 140-2 для модулей HSM AWS KMS и соответствующей политикой безопасности. Кроме того, можно загрузить копию отчета Service Organization Controls (SOC) в AWS Artifact для ознакомления со средствами обеспечения безопасности, которые используются в AWS KMS для защиты главных ключей.

Вопрос: Как перенести существующие главные ключи AWS KMS, чтобы использовать проверенные на соответствие FIPS 140-2 модули HSM?
Все главные ключи в AWS KMS, независимо от их происхождения или даты создания, автоматически защищаются с использованием модулей HSM, проверенных на соответствие FIPS 140-2. Для использования модулей HSM, проверенных на соответствие FIPS 140-2, не требуется никаких действий со стороны пользователя.

Вопрос: В каких регионах AWS используются модули HSM, проверенные на соответствие FIPS 140-2?
Модули HSM, проверенные на соответствие FIPS 140-2, доступны во всех регионах AWS, где предлагается сервис AWS KMS.

Вопрос: Как проверяется соответствие модулей HSM сервиса AWS KMS требованиям FIPS 140-2?
Сведения об этой проверке можно найти в сертификате FIPS 140-2 для модулей HSM сервиса AWS KMS и в соответствующей политике безопасности.

Вопрос: В чем разница между проверенными на соответствие FIPS 140-2 адресами и модулями HSM в AWS KMS?
AWS KMS – это двухуровневый сервис. Адреса API получают клиентские запросы через соединение HTTPS, используя только комплекты шифров TLS, обеспечивающие полную безопасность пересылки. Эти адреса API аутентифицируют и авторизуют запрос на криптографическую операцию перед передачей в модули HSM сервиса AWS KMS.

Вопрос: Как выполнять запросы API к AWS KMS с помощью адресов, проверенных на соответствие FIPS 140-2?
Необходимо настроить приложения на подключение к уникальным региональным адресам HTTPS, проверенным на соответствие FIPS 140-2. Проверенные на соответствие FIPS 140-2 адреса HTTPS сервиса AWS KMS работают на базе OpenSSL FIPS Object Module. Ознакомиться с политикой безопасности модуля OpenSSL можно по адресу https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf. Адреса API, проверенные на соответствие FIPS 140-2, доступны во всех коммерческих регионах, где доступен сервис AWS KMS.

Вопрос: Поможет ли сервис AWS KMS обеспечить соответствие требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS 3.1) к шифрованию и управлению ключами?
Да. Сервис AWS KMS прошел проверку на наличие функциональных возможностей и средств обеспечения безопасности, которые необходимы для выполнения требований к шифрованию и управлению ключами (перечисленных главным образом в разделах 3.5 и 3.6 PCI DSS 3.1).

Подробнее о соответствии сервисов AWS стандарту PCI DSS см. на странице вопросов и ответов по PCI DSS.

Вопрос: Каким образом сервис AWS KMS обеспечивает безопасность ключей данных, которые я экспортирую и использую в своем приложении?
Сервис AWS KMS может по вашему требованию сгенерировать ключи данных с целью использования в вашем собственном приложении. Ключи данных шифруются с помощью главного ключа, заданного вами в сервисе AWS KMS, благодаря чему вы можете безопасно хранить зашифрованный ключ данных вместе с зашифрованными данными. Ваш зашифрованный ключ данных (и, следовательно, ваши исходные данные) могут быть расшифрованы только теми пользователями, у которых есть разрешения на использование исходного главного ключа, который использовался для шифрования ключа данных.

Вопрос: Ключи какой длины генерирует сервис AWS KMS?
Главные ключи в сервисе AWS KMS имеют длину 256 бит. Ключи данных могут быть сгенерированы длиной 128 или 256 бит и зашифрованы с помощью главного ключа, который вы укажете. Сервис AWS KMS также позволяет генерировать случайные данные любой длины, которую вы посчитаете подходящей для использования в криптографических целях.

Вопрос: Можно ли экспортировать главный ключ из сервиса AWS KMS и использовать его в собственных приложениях?
Нет. Главные ключи создаются и используются только в сервисе AWS KMS, что гарантирует обеспечение их безопасности, принудительное применение ваших политик, а также делает возможным централизованное ведение журнала их использования.

Вопрос: В каком географическом регионе хранятся мои ключи?
Ключи хранятся и используются только в том регионе, в котором они создавались. Их нельзя передать в другой регион. Например, ключи, которые созданы в регионе Центр ЕС (Франкфурт), хранятся и используются только в этом регионе.

Вопрос: Как узнать, кто использовал мои ключи или изменил их конфигурацию в сервисе AWS KMS?
В журналах AWS CloudTrail будут видны запросы к вашим главным ключам, включая как запросы, связанные с операциями управления (например, создание, чередование, деактивация, изменение политики), так и криптографические запросы (например, шифрование/дешифрование). Включите сервис AWS CloudTrail для своего аккаунта, чтобы просматривать эти журналы.

Вопрос: В чем отличие между сервисами AWS KMS и AWS CloudHSM?
AWS CloudHSM предоставляет для хранения и использования ключей проверенный на соответствие требованиям FIPS 140-2 Level 3 однопользовательский кластер модулей HSM в рамках Amazon Virtual Private Cloud (VPC). Пользователь обладает монопольным контролем над тем, как используются его ключи, через механизм аутентификации, независимый от AWS. Пользователь взаимодействует с ключами в своем кластере AWS CloudHSM подобно тому, как он взаимодействует со своими приложениями, работающими в Amazon EC2. AWS CloudHSM подходит для различных примеров использования, таких как технические средства защиты авторских прав (DRM), инфраструктура открытых ключей (PKI), подпись документов и криптографические функции с использованием интерфейсов PKCS 11, Java JCE или Microsoft CNG.

Сервис AWS KMS предоставляет единую консоль для создания ключей шифрования и управления ими. Эти ключи могут использоваться в приложениях и поддерживаемых сервисах AWS во множестве регионов по всему миру. Защита ключей обеспечивается с помощью аппаратных модулей безопасности (HSM), проверенных на соответствие FIPS 140-2. Централизованное управление всеми ключами в сервисе AWS KMS позволяет определять, кто и при каких условиях может использовать ключи и управлять ими, а также когда происходит их ротация. Интеграция сервиса AWS KMS с AWS CloudTrail позволяет проводить аудит использования ключей с целью соблюдения ваших нормативных требований. Взаимодействовать с AWS KMS из приложений можно с помощью SDK AWS, если требуется делать вызовы к API сервиса напрямую, или с помощью SDK AWS Encryption, если шифрование должно выполняться на стороне клиента.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах

Ознакомьтесь с примерами расчета стоимости, рассчитайте свои расходы.

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрируйте бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните разработку с использованием AWS Key Management Service в Консоли AWS.

Вход