Обзор

Сервис AWS Key Management Service (KMS) обеспечивает централизованный контроль над ключами шифрования, используемыми для защиты данных. AWS KMS интегрирован с сервисами AWS, что упрощает шифрование данных, хранимых в этих сервисах, и управление доступом к используемым ключам шифрования. Благодаря интеграции AWS KMS с AWS CloudTrail можно проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS также позволяет разработчикам без лишних усилий добавлять функционал шифрования в код приложений напрямую через API сервиса для шифрования и дешифрования либо путем интеграции с пакетом AWS Encryption SDK.

Централизованное управление ключами

AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Главные ключи клиента (CMK) используются для управления доступом к ключам шифрования, которые используются при шифровании и дешифровании данных. Сервис позволяет в любой момент создавать новые главные ключи и управлять настройками доступа к ним, а также списком сервисов, с которыми они могут быть использованы. Кроме того, можно импортировать в AWS KMS ключи из собственной инфраструктуры управления ключами либо использовать ключи, хранящиеся в кластере AWS CloudHSM, и управлять ими из AWS KMS. Управлять главными ключами и выполнять аудит их использования можно с помощью Консоли управления AWS, AWS SDK или интерфейса командной строки AWS.

Ключи в AWS KMS (как созданные в KMS или в соответствующем кластере CloudHSM, так и импортированные клиентом) хранятся в высоконадежном хранилище в зашифрованном виде, что позволяет использовать их по мере необходимости. При желании можно настроить AWS KMS для выполнения автоматической ротации главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые были зашифрованы с использованием главного ключа ранее. Отслеживать устаревшие версии главных ключей не потребуется, так как KMS сохраняет их для расшифровки ранее зашифрованных данных.

Интеграция с сервисами AWS

Сервис AWS KMS эффективно интегрирован с большинством других сервисов AWS. Такая интеграция позволяет использовать главные ключи шифрования KMS для управления шифрованием данных, хранимых в этих сервисах. Если требуется зашифровать данные в каком‑либо сервисе, можно использовать главный ключ под управлением AWS, который создается этим сервисом в KMS автоматически. AWS KMS позволяет отслеживать использование ключа, при этом управление ключом от имени клиента сервис полностью берет на себя.

Если требуется управлять жизненным циклом главного ключа напрямую или разрешить другим аккаунтам использовать этот ключ, можно создать собственные главные ключи, которые будут использоваться сервисами AWS от имени владельца аккаунта, и самостоятельно управлять этими ключами. Такие главные ключи, управляемые клиентом, позволяют полностью контролировать права доступа и тем самым определять, кто и при каких условиях может использовать данный ключ.

Сервисы AWS, интегрированные с KMS
Alexa for Business* Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS Glue
Amazon Athena Amazon Glacier Amazon Simple Queue Service (SQS) AWS Lambda

Amazon Aurora

Amazon Kinesis Data Streams Amazon Translate AWS Secrets Manager
Amazon CloudWatch Logs Amazon Kinesis Firehose Amazon WorkMail AWS Systems Manager
Amazon Comprehend* Amazon Kinesis Video Streams Amazon WorkSpaces AWS Snowball
Amazon Connect Amazon Lex AWS Certificate Manager* AWS Snowball Edge
Amazon DynamoDB* Amazon Lightsail* AWS Cloud9* AWS Snowmobile
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) AWS CloudTrail AWS Storage Gateway
Amazon EBS Amazon Neptune AWS CodeBuild AWS X‑Ray
Amazon EFS Amazon Redshift AWS CodeCommit*  
Amazon Elastic Transcoder Amazon Relational Database Service (RDS) AWS CodeDeploy  
Amazon Elasticsearch Service Amazon S3 AWS CodePipeline  
Amazon EMR Amazon SageMaker AWS Database Migration Service
AWS X‑Ray

* Поддерживает только ключи KMS под управлением AWS.

Сервисы AWS, которые не перечислены выше, автоматически шифруют данные клиента с помощью ключей, принадлежащих самому сервису и управляемых им же.

Возможности аудита

Если в аккаунте AWS включен сервис AWS CloudTrail, каждый запрос в AWS KMS записывается в файл журнала, который сохраняется в корзине Amazon S3, указанной при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате, действии API и использованном ключе (когда требуется).

Масштабирование, надежность и высокая доступность

AWS KMS является полностью управляемым сервисом. По мере расширения использования ключей шифрования сервис KMS автоматически выполняет масштабирование в соответствии с текущими требованиями. AWS KMS позволяет управлять тысячами главных ключей в аккаунте и использовать их в любое время. AWS KMS предусматривает лимиты по умолчанию на количество ключей и запросов, но при необходимости эти ограничения можно повысить.

Главные ключи, которые созданы в AWS KMS клиентом или другими сервисами AWS от его имени, не могут быть экспортированы из сервиса. KMS несет полную ответственность за их надежное хранение. Чтобы обеспечить доступность ключей и соответствующих данных в любой момент обращения к ним, KMS хранит множество копий зашифрованных версий ключей в системах с уровнем надежности 99,999999999 %.

При импорте ключей в KMS требуется надежно хранить копию главных ключей, чтобы в случае недоступности их можно было в любое время импортировать повторно. Если вы используете возможности собственного хранилища ключей в KMS и создаете главные ключи в кластере AWS CloudHSM, для зашифрованных копий ключей будут автоматически создаваться резервные копии, а процесс их восстановления можно будет полностью контролировать.

AWS KMS представляет собой высокодоступный сервис с региональным адресом API. Поскольку большинство сервисов AWS зависит от шифрования и расшифровки AWS KMS, он спроектирован таким образом, чтобы обеспечить уровень доступности, необходимый для поддержки остальных сервисов AWS.

Безопасность

AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Сервис использует проверенные на соответствие FIPS 140‑2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности всех ключей – как созданных KMS от имени пользователя и созданных в кластере AWS CloudHSM, так и импортированных в сервис. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи, созданные KMS, могут использоваться только в том регионе AWS, где они были созданы, и никогда не передаются за его пределы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа, за аудит и проверку на соответствие требованиям стандарта FIPS 140‑2 которой отвечает независимая группа в составе Amazon, а также лаборатория, прошедшая сертификацию NIST.

Подробнее об архитектуре AWS KMS и криптографии, которая используется в этом сервисе для защиты ключей, см. в техническом описании «Сведения о криптографии в сервисе AWS Key Management Service».

Собственное хранилище ключей

AWS KMS позволяет создать собственное хранилище ключей, используя управляемые клиентом модули HSM. Для каждого собственного хранилища ключей кластер AWS CloudHSM создает резервную копию. Когда вы создаете главный ключ клиента (CMK) KMS в собственном хранилище ключей, сервис KMS генерирует неизвлекаемые данные CMK и хранит их в кластере AWS CloudHSM, полностью находящемся под вашим управлением. Когда используется CMK, созданный в собственном хранилище ключей, криптографические операции, зависящие от этого ключа, выполняются в соответствующем кластере CloudHSM.

Управление главными ключами, хранящимися в собственном хранилище ключей, а не в хранилище ключей KMS по умолчанию, выполняется так же, как и управление любыми другими главными ключами в KMS. Такие главные ключи можно использовать с любым сервисом AWS, который поддерживает управляемые клиентом CMK.

Использование собственного хранилища ключей влечет за собой дополнительные расходы на кластер CloudHSM. Ответственность за доступность данных, связанных с ключами в этом кластере, несет сам клиент. Подробнее о том, подойдет ли собственное хранилище ключей в вашем случае, см. в этом блоге.

Соответствие требованиям

Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах

Ознакомьтесь с примерами расчета стоимости и рассчитайте свои расходы.

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните разработку с использованием AWS Key Management Service в Консоли AWS.

Вход