Возможности AWS Key Management Service

Сервис AWS Key Management Service (KMS) обеспечивает централизованный контроль над ключами шифрования, используемыми для защиты данных. AWS KMS интегрирован с сервисами AWS, что упрощает шифрование данных, хранимых в этих сервисах, и управление доступом к используемым ключам шифрования. Благодаря интеграции AWS KMS с AWS CloudTrail можно проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS также позволяет разработчикам без лишних усилий добавлять функционал шифрования в код приложений напрямую через API сервиса для шифрования и дешифрования либо путем интеграции с пакетом AWS Encryption SDK.

AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Главные ключи клиента (CMK) используются для управления доступом к ключам шифрования, которые используются при шифровании и дешифровании данных. Сервис позволяет в любой момент создавать новые главные ключи и управлять настройками доступа к ним, а также списком сервисов, с которыми они могут быть использованы. Кроме того, можно импортировать в AWS KMS ключи из собственной инфраструктуры управления ключами либо использовать ключи, хранящиеся в кластере AWS CloudHSM, и управлять ими из AWS KMS. Управлять главными ключами и выполнять аудит их использования можно с помощью Консоли управления AWS, AWS SDK или интерфейса командной строки AWS.

Ключи в AWS KMS (как созданные в KMS или в соответствующем кластере CloudHSM, так и импортированные клиентом) хранятся в высоконадежном хранилище в зашифрованном виде, что позволяет использовать их по мере необходимости. При желании можно настроить AWS KMS для выполнения автоматической ротации главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые были зашифрованы с использованием главного ключа ранее. Отслеживать устаревшие версии главных ключей не потребуется, так как KMS сохраняет их для расшифровки ранее зашифрованных данных.

Сервис AWS KMS эффективно интегрирован с большинством других сервисов AWS. Такая интеграция позволяет использовать главные ключи шифрования KMS для управления шифрованием данных, хранимых в этих сервисах. Если требуется зашифровать данные в каком‑либо сервисе, можно использовать главный ключ под управлением AWS, который создается этим сервисом в KMS автоматически. AWS KMS позволяет отслеживать использование ключа, при этом управление ключом от имени клиента сервис полностью берет на себя.

Если требуется управлять жизненным циклом главного ключа напрямую или разрешить другим аккаунтам использовать этот ключ, можно создать собственные главные ключи, которые будут использоваться сервисами AWS от имени владельца аккаунта, и самостоятельно управлять этими ключами. Такие главные ключи, управляемые клиентом, позволяют полностью контролировать права доступа и тем самым определять, кто и при каких условиях может использовать данный ключ.

* Поддерживает только ключи KMS под управлением AWS.

** Список сервисов, интегрированных с KMS в регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD, см. на странице интеграции AWS KMS с сервисами в Китае. 

Сервисы AWS, которые не перечислены выше, шифруют данные клиента с помощью ключей, принадлежащих самому сервису и управляемых им же.

Если в аккаунте AWS включен сервис AWS CloudTrail, каждый запрос в AWS KMS записывается в файл журнала, который сохраняется в корзине Amazon S3, указанной при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате, действии API и использованном ключе (когда требуется).

AWS KMS является полностью управляемым сервисом. По мере расширения использования ключей шифрования сервис KMS автоматически масштабируется в соответствии с текущими требованиями. AWS KMS позволяет управлять тысячами главных ключей в аккаунте и использовать их в любое время. AWS KMS предусматривает лимиты по умолчанию на количество ключей и запросов, но при необходимости можно запросить их повышение.

Главные ключи, созданные в AWS KMS клиентом или другими сервисами AWS от его имени, не могут быть экспортированы из сервиса. KMS несет полную ответственность за их надежное хранение. Чтобы обеспечить доступность ключей и соответствующих данных в любой момент обращения к ним, KMS хранит множество копий зашифрованных версий ключей в системах с уровнем надежности 99,999999999 %.

При импорте ключей в KMS требуется надежно хранить копию главных ключей, чтобы в случае недоступности их можно было в любое время импортировать повторно. Если вы используете возможности собственного хранилища ключей в KMS и создаете главные ключи в кластере AWS CloudHSM, для зашифрованных копий ключей будут автоматически создаваться резервные копии, а процесс их восстановления можно будет полностью контролировать.

AWS KMS представляет собой высокодоступный сервис с региональным адресом API. Поскольку большинство сервисов AWS зависит от шифрования и расшифровки AWS KMS, он спроектирован таким образом, чтобы обеспечить уровень доступности, необходимый для поддержки остальных сервисов AWS, а также подкреплен Соглашением об уровне обслуживания AWS KMS.

AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Для защиты конфиденциальности и целостности ключей (как созданных KMS от имени пользователя или созданных в кластере AWS CloudHSM, так и импортированных в сервис) сервис использует аппаратные модули безопасности (HSM), проверенные на соответствие требованиям стандарта FIPS 140‑2 либо находящиеся в процессе проверки. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи, созданные KMS, могут использоваться только в том регионе AWS, где они были созданы, и никогда не передаются за его пределы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа. За ее аудит и проверку на соответствие требованиям стандарта FIPS 140‑2 отвечает независимая группа в составе Amazon, а также лаборатория, прошедшая аккредитацию NIST.

Подробнее об архитектуре AWS KMS и криптографии, которая используется в этом сервисе для защиты ключей, см. в техническом описании «Сведения о криптографии в сервисе AWS Key Management Service».

* В регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD модули HSM одобрены государственными учреждениями Китая (а не проверены по стандарту FIPS 140‑2), а вышеупомянутое техническое описание «Сведения о криптографии» не применяется. 

AWS KMS позволяет создать собственное хранилище ключей, используя управляемые клиентом модули HSM. Для каждого собственного хранилища ключей кластер AWS CloudHSM создает резервную копию. Когда вы создаете главный ключ клиента (CMK) KMS в собственном хранилище ключей, сервис KMS генерирует неизвлекаемые данные CMK и хранит их в кластере AWS CloudHSM, полностью находящемся под вашим управлением. Когда используется CMK, созданный в собственном хранилище ключей, криптографические операции, зависящие от этого ключа, выполняются в соответствующем кластере CloudHSM.

Управление главными ключами, хранящимися в собственном хранилище ключей, а не в хранилище ключей KMS по умолчанию, выполняется так же, как и управление любыми другими главными ключами в KMS. Такие главные ключи можно использовать с любым сервисом AWS, который поддерживает управляемые клиентом CMK.

Использование собственного хранилища ключей влечет за собой дополнительные расходы на кластер CloudHSM. Ответственность за доступность данных, связанных с ключами в этом кластере, несет сам клиент. Подробнее о том, подойдет ли собственное хранилище ключей в вашем случае, см. в этом блоге.

* Возможность использования собственного хранилища ключей недоступна в регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD.

Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.

• Отчеты о соответствии AWS требованиям Service Organization Controls (SOC 1, SOC 2 и SOC 3). Загрузить копию этих отчетов можно в AWS Artifact.
• PCI DSS Level 1. Подробнее о соответствии сервисов AWS стандарту PCI DSS см. на странице вопросов и ответов по PCI DSS.
• ISO 27001. Подробнее о соответствии сервисов AWS стандарту ISO 27001 см. на странице вопросов и ответов по ISO 27001.
• ISO 27017. Подробнее о соответствии сервисов AWS стандарту ISO 27017 см. на странице вопросов и ответов по ISO 27017.
• ISO 27018. Подробнее о соответствии сервисов AWS стандарту ISO 27018 см. на странице вопросов и ответов по ISO 27018.
• ISO 9001. Подробнее о соответствии сервисов AWS стандарту ISO 9001 см. на странице вопросов и ответов по ISO 9001.
• FIPS 140‑2. Криптографический модуль AWS KMS со встроенным ПО версии 1.4.4 проверяется на соответствие стандарту FIPS 140‑2 Level 2, а некоторые другие категории, в том числе физическая защита, – на соответствие стандарту Level 3. Подробные сведения можно найти в сертификате FIPS 140‑2 для модулей HSM сервиса AWS KMS и в соответствующей политике безопасности.
• FedRAMP. Подробнее о соответствии AWS требованиям FedRAMP см. на странице соответствия требованиям FedRAMP.
• HIPAA. Подробнее см. на странице соответствия требованиям HIPAA.