Обзор

Сервис AWS Key Management Service обеспечивает централизованный контроль над ключами шифрования, используемых для защиты данных. Можно создавать, импортировать, чередовать, отключать и удалять ключи, определять политики их использования, а также проводить аудит ключей шифрования, используемых при шифровании данных. AWS Key Management Service интегрирован с большинством других сервисов AWS, что упрощает шифрование данных, сохраненных в этих сервисах, с использованием управляемых пользователем ключей шифрования. Благодаря интеграции AWS KMS с AWS CloudTrail можно проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS предоставляет разработчикам возможность шифровать данные как методом 1‑Click в Консоли управления AWS, так и с помощью SDK AWS для добавления шифрования в код приложения.

Централизованное управление ключами

AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Можно без труда создавать, импортировать и чередовать ключи, определять политики их использования, а также проводить аудит использования с помощью Консоли управления AWS, SDK или интерфейса командной строки AWS. Главные ключи в KMS, независимо от того, были они импортированы или созданы в KMS от вашего имени, помещаются в хранилище с высокой степенью надежности в зашифрованном формате, что обеспечивает гарантированное извлечение в случае необходимости. Можно сделать так, чтобы KMS осуществляла автоматическую ротацию главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые ранее были зашифрованы с использованием главного ключа. Отслеживать устаревшие версии главных ключей не требуется, так как KMS сохраняет их для расшифровки ранее зашифрованных данных. В любой момент можно создавать новые главные ключи и управлять настройками доступа к этим ключам, а также списком сервисов, с которыми они могут быть использованы. Можно также импортировать ключи из собственной инфраструктуры управления ключами и использовать их в KMS.

Интеграция с сервисами AWS

AWS Key Management Service эффективно интегрирован с большинством других сервисов AWS. Такая интеграция позволяет использовать главные ключи шифрования AWS KMS для шифрования данных, хранимых в других сервисах. Использовать можно как главный ключ по умолчанию, созданный автоматически и разрешенный к использованию только в пределах интегрированного сервиса, так и пользовательский главный ключ, созданный в KMS или импортированный из собственной инфраструктуры управления ключами и находящийся в полном распоряжении пользователя.

Сервисы AWS, интегрированные с KMS
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X‑Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager

* Поддерживает только ключи KMS, управляемые AWS.

Возможности AWS KMS также интегрированы в AWS SDK, интерфейс командной строки (CLI) AWS и доступны через RESTful API. При использовании этих интерфейсов для шифрования и дешифрования данных операции шифрования и дешифрования выполняются автоматически – нужно лишь выбрать, какой главный ключ KMS следует использовать. Кроме того, KMS интегрирован с сервисом AWS CloudFormation, что позволяет быстро создавать ключи в KMS, используя шаблон CloudFormation для KMS.

Аудит

Если в аккаунте AWS включен сервис AWS CloudTrail, каждое использование ключа, хранимого в KMS, записывается в файл журнала, который сохраняется в корзине Amazon S3, указанной при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате и использованном ключе.

Масштабируемость, надежность и высокая доступность

AWS Key Management Service – управляемый сервис. По мере расширения использования ключей шифрования AWS KMS вам не придется приобретать дополнительную инфраструктуру управления ключами. AWS KMS автоматически масштабируется и подстраивается под требования ключей шифрования.

Главные ключи, созданные от вашего имени сервисом AWS KMS или импортированные вами, не могут быть экспортированы из сервиса. AWS KMS хранит множество копий зашифрованных версий ваших ключей в системах с уровнем надежности 99,999999999 %, что обеспечивает доступность ключей в любой момент обращения к ним. При импорте ключей в KMS требуется надежно хранить их копию, чтобы их можно было импортировать снова в любое время.

Для обеспечения высокой доступности ключей шифрования AWS KMS работает в нескольких зонах доступности в пределах региона AWS.

Безопасность

AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Сервис использует проверенные на соответствие FIPS 140‑2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности всех ключей – как созданных KMS от имени пользователя, так и импортированных в сервис. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи KMS никогда не передаются за пределы регионов AWS, в которых они были созданы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа, за аудит и проверку которой отвечает независимая группа в составе Amazon.

Подробнее о том, как работает AWS KMS, см. в техническом описании по AWS Key Management Service.

Соответствие требованиям

Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах

Ознакомьтесь с примерами расчета стоимости и рассчитайте свои расходы.

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрируйте бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните разработку с использованием AWS Key Management Service в Консоли AWS.

Вход