Обзор

Сервис AWS Key Management Service (KMS) обеспечивает централизованный контроль над ключами шифрования, используемыми для защиты данных. AWS KMS интегрирован с сервисами AWS, что упрощает шифрование данных, хранимых в этих сервисах, и управление доступом к используемым ключам шифрования. Благодаря интеграции AWS KMS с AWS CloudTrail можно проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS также позволяет разработчикам без лишних усилий добавлять функционал шифрования в код приложений напрямую через API сервиса для шифрования и дешифрования либо путем интеграции с пакетом AWS Encryption SDK.

Централизованное управление ключами

AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Главные ключи клиента (CMK) используются для управления доступом к ключам шифрования, которые используются при шифровании и дешифровании данных. Сервис позволяет в любой момент создавать новые главные ключи и управлять настройками доступа к ним, а также списком сервисов, с которыми они могут быть использованы. Кроме того, можно импортировать в AWS KMS ключи из собственной инфраструктуры управления ключами либо использовать ключи, хранящиеся в кластере AWS CloudHSM, и управлять ими из AWS KMS. Управлять главными ключами и выполнять аудит их использования можно с помощью Консоли управления AWS, AWS SDK или интерфейса командной строки AWS.

Ключи в AWS KMS (как созданные в KMS или в соответствующем кластере CloudHSM, так и импортированные клиентом) хранятся в высоконадежном хранилище в зашифрованном виде, что позволяет использовать их по мере необходимости. При желании можно настроить AWS KMS для выполнения автоматической ротации главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые были зашифрованы с использованием главного ключа ранее. Отслеживать устаревшие версии главных ключей не потребуется, так как KMS сохраняет их для расшифровки ранее зашифрованных данных.

Интеграция с сервисами AWS

Сервис AWS KMS эффективно интегрирован с большинством других сервисов AWS. Такая интеграция позволяет использовать главные ключи шифрования KMS для управления шифрованием данных, хранимых в этих сервисах. Если требуется зашифровать данные в каком‑либо сервисе, можно использовать главный ключ под управлением AWS, который создается этим сервисом в KMS автоматически. AWS KMS позволяет отслеживать использование ключа, при этом управление ключом от имени клиента сервис полностью берет на себя.

Если требуется управлять жизненным циклом главного ключа напрямую или разрешить другим аккаунтам использовать этот ключ, можно создать собственные главные ключи, которые будут использоваться сервисами AWS от имени владельца аккаунта, и самостоятельно управлять этими ключами. Такие главные ключи, управляемые клиентом, позволяют полностью контролировать права доступа и тем самым определять, кто и при каких условиях может использовать данный ключ.

Сервисы AWS, интегрированные с KMS
Alexa for Business* Amazon EMR Amazon S3
Amazon Athena Amazon FSx for Windows File Server Amazon SageMaker
Amazon Aurora Amazon Glacier Amazon Simple Email Service (SES)
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Relational Database Service (RDS)
Amazon Comprehend* Amazon Kinesis Firehose Amazon Simple Notification Service (SNS)
Amazon Connect Amazon Kinesis Video Streams Amazon Simple Queue Service (SQS)
Amazon DocumentDB Amazon Lex Amazon Translate
Amazon DynamoDB* Amazon Lightsail* Amazon WorkMail
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces
Amazon EBS Amazon MQ AWS Backup
Amazon EFS Amazon Neptune AWS Certificate Manager*
Amazon Elastic Transcoder Amazon Personalize AWS Cloud9*
Amazon Elasticsearch Service Amazon Redshift AWS CloudTrail
AWS CodeCommit* AWS Glue AWS Snowball Edge
AWS CodeDeploy AWS Lambda AWS Snowmobile
AWS CodePipeline AWS Secrets Manager AWS Storage Gateway
AWS CodeBuild AWS Systems Manager AWS X-Ray
AWS Database Migration Service AWS Snowball  

* Поддерживает только ключи KMS под управлением AWS.

** Список сервисов, интегрированных с KMS в регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD, см. на странице интеграции AWS KMS с сервисами в Китае. 

Сервисы AWS, которые не перечислены выше, шифруют данные клиента с помощью ключей, принадлежащих самому сервису и управляемых им же.

Возможности аудита

Если в аккаунте AWS включен сервис AWS CloudTrail, каждый запрос в AWS KMS записывается в файл журнала, который сохраняется в корзине Amazon S3, указанной при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате, действии API и использованном ключе (когда требуется).

Масштабирование, надежность и высокая доступность

AWS KMS является полностью управляемым сервисом. По мере расширения использования ключей шифрования сервис KMS автоматически масштабируется в соответствии с текущими требованиями. AWS KMS позволяет управлять тысячами главных ключей в аккаунте и использовать их в любое время. AWS KMS предусматривает лимиты по умолчанию на количество ключей и запросов, но при необходимости можно запросить их повышение.

Главные ключи, созданные в AWS KMS клиентом или другими сервисами AWS от его имени, не могут быть экспортированы из сервиса. KMS несет полную ответственность за их надежное хранение. Чтобы обеспечить доступность ключей и соответствующих данных в любой момент обращения к ним, KMS хранит множество копий зашифрованных версий ключей в системах с уровнем надежности 99,999999999 %.

При импорте ключей в KMS требуется надежно хранить копию главных ключей, чтобы в случае недоступности их можно было в любое время импортировать повторно. Если вы используете возможности собственного хранилища ключей в KMS и создаете главные ключи в кластере AWS CloudHSM, для зашифрованных копий ключей будут автоматически создаваться резервные копии, а процесс их восстановления можно будет полностью контролировать.

AWS KMS представляет собой высокодоступный сервис с региональным адресом API. Поскольку большинство сервисов AWS зависит от шифрования и расшифровки AWS KMS, он спроектирован таким образом, чтобы обеспечить уровень доступности, необходимый для поддержки остальных сервисов AWS, а также подкреплен Соглашением об уровне обслуживания AWS KMS.

Безопасность

AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Для защиты конфиденциальности и целостности ключей (как созданных KMS от имени пользователя или созданных в кластере AWS CloudHSM, так и импортированных в сервис) сервис использует аппаратные модули безопасности (HSM), проверенные на соответствие требованиям стандарта FIPS 140‑2 либо находящиеся в процессе проверки. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи, созданные KMS, могут использоваться только в том регионе AWS, где они были созданы, и никогда не передаются за его пределы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа. За ее аудит и проверку на соответствие требованиям стандарта FIPS 140‑2 отвечает независимая группа в составе Amazon, а также лаборатория, прошедшая аккредитацию NIST.

Подробнее об архитектуре AWS KMS и криптографии, которая используется в этом сервисе для защиты ключей, см. в техническом описании «Сведения о криптографии в сервисе AWS Key Management Service».

* В регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD модули HSM одобрены государственными учреждениями Китая (а не проверены по стандарту FIPS 140‑2), а вышеупомянутое техническое описание «Сведения о криптографии» не применяется. 

Собственное хранилище ключей

AWS KMS позволяет создать собственное хранилище ключей, используя управляемые клиентом модули HSM. Для каждого собственного хранилища ключей кластер AWS CloudHSM создает резервную копию. Когда вы создаете главный ключ клиента (CMK) KMS в собственном хранилище ключей, сервис KMS генерирует неизвлекаемые данные CMK и хранит их в кластере AWS CloudHSM, полностью находящемся под вашим управлением. Когда используется CMK, созданный в собственном хранилище ключей, криптографические операции, зависящие от этого ключа, выполняются в соответствующем кластере CloudHSM.

Управление главными ключами, хранящимися в собственном хранилище ключей, а не в хранилище ключей KMS по умолчанию, выполняется так же, как и управление любыми другими главными ключами в KMS. Такие главные ключи можно использовать с любым сервисом AWS, который поддерживает управляемые клиентом CMK.

Использование собственного хранилища ключей влечет за собой дополнительные расходы на кластер CloudHSM. Ответственность за доступность данных, связанных с ключами в этом кластере, несет сам клиент. Подробнее о том, подойдет ли собственное хранилище ключей в вашем случае, см. в этом блоге.

* Возможность использования собственного хранилища ключей недоступна в регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD.

Соответствие требованиям

Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.

 
* Стандарт FIPS 140‑2 неприменим к KMS в регионах Китая. Аппаратные модули безопасности, используемые в Китае, одобрены государственными учреждениями Китая.
Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах

Ознакомьтесь с примерами расчета стоимости и рассчитайте свои расходы.

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните разработку с использованием AWS Key Management Service в Консоли AWS.

Вход