Обзор
Сервис AWS Key Management Service обеспечивает централизованный контроль над ключами шифрования, используемых для защиты данных. Можно создавать, импортировать, чередовать, отключать и удалять ключи, определять политики их использования, а также проводить аудит ключей шифрования, используемых при шифровании данных. AWS Key Management Service интегрирован с большинством других сервисов AWS, что упрощает шифрование данных, сохраненных в этих сервисах, с использованием управляемых пользователем ключей шифрования. Благодаря интеграции AWS KMS с AWS CloudTrail можно проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS предоставляет разработчикам возможность шифровать данные как методом 1‑Click в Консоли управления AWS, так и с помощью SDK AWS для добавления шифрования в код приложения.
Централизованное управление ключами
AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Можно без труда создавать, импортировать и чередовать ключи, определять политики их использования, а также проводить аудит использования с помощью Консоли управления AWS, SDK или интерфейса командной строки AWS. Главные ключи в KMS, независимо от того, были они импортированы или созданы в KMS от вашего имени, помещаются в хранилище с высокой степенью надежности в зашифрованном формате, что обеспечивает гарантированное извлечение в случае необходимости. Можно сделать так, чтобы KMS осуществляла автоматическую ротацию главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые ранее были зашифрованы с использованием главного ключа. Отслеживать устаревшие версии главных ключей не требуется, так как KMS сохраняет их для расшифровки ранее зашифрованных данных. В любой момент можно создавать новые главные ключи и управлять настройками доступа к этим ключам, а также списком сервисов, с которыми они могут быть использованы. Можно также импортировать ключи из собственной инфраструктуры управления ключами и использовать их в KMS.
Интеграция с сервисами AWS
AWS Key Management Service эффективно интегрирован с большинством других сервисов AWS. Такая интеграция позволяет использовать главные ключи шифрования AWS KMS для шифрования данных, хранимых в других сервисах. Использовать можно как главный ключ по умолчанию, созданный автоматически и разрешенный к использованию только в пределах интегрированного сервиса, так и пользовательский главный ключ, созданный в KMS или импортированный из собственной инфраструктуры управления ключами и находящийся в полном распоряжении пользователя.
| Alexa for Business* | Amazon Glacier | Amazon WorkMail | AWS Snowball |
| Amazon Athena | Amazon Kinesis Data Streams | Amazon WorkSpaces | AWS Snowmobile |
Amazon Aurora |
Amazon Kinesis Firehose | AWS Certificate Manager* | AWS Snowball Edge |
| Amazon CloudWatch Logs | Amazon Kinesis Video Streams | AWS Cloud9* | AWS Storage Gateway |
| Amazon Comprehend* | Amazon Lex | AWS CloudTrail | AWS X‑Ray |
| Amazon Connect | Amazon Lightsail* | AWS CodeBuild | |
| Amazon DynamoDB* | Amazon Simple Email Service (SES) | AWS CodeCommit* | |
| Amazon DynamoDB Accelerator (DAX)* | Amazon Simple Queue Service (SQS) | AWS CodeDeploy | |
| Amazon EBS | Amazon Neptune | AWS CodePipeline | |
| Amazon EFS | Amazon Relational Database Service (RDS) | AWS Database Migration Service | |
| Amazon Elastic Transcoder | Amazon Redshift | AWS Lambda | |
| Amazon Elasticsearch Service | Amazon SageMaker | AWS Secrets Manager | |
| Amazon EMR | Amazon S3 | AWS Systems Manager |
* Поддерживает только ключи KMS, управляемые AWS.
Возможности AWS KMS также интегрированы в AWS SDK, интерфейс командной строки (CLI) AWS и доступны через RESTful API. При использовании этих интерфейсов для шифрования и дешифрования данных операции шифрования и дешифрования выполняются автоматически – нужно лишь выбрать, какой главный ключ KMS следует использовать. Кроме того, KMS интегрирован с сервисом AWS CloudFormation, что позволяет быстро создавать ключи в KMS, используя шаблон CloudFormation для KMS.
Аудит
Если в аккаунте AWS включен сервис AWS CloudTrail, каждое использование ключа, хранимого в KMS, записывается в файл журнала, который сохраняется в корзине Amazon S3, указанной при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате и использованном ключе.
Масштабируемость, надежность и высокая доступность
AWS Key Management Service – управляемый сервис. По мере расширения использования ключей шифрования AWS KMS вам не придется приобретать дополнительную инфраструктуру управления ключами. AWS KMS автоматически масштабируется и подстраивается под требования ключей шифрования.
Главные ключи, созданные от вашего имени сервисом AWS KMS или импортированные вами, не могут быть экспортированы из сервиса. AWS KMS хранит множество копий зашифрованных версий ваших ключей в системах с уровнем надежности 99,999999999 %, что обеспечивает доступность ключей в любой момент обращения к ним. При импорте ключей в KMS требуется надежно хранить их копию, чтобы их можно было импортировать снова в любое время.
Для обеспечения высокой доступности ключей шифрования AWS KMS работает в нескольких зонах доступности в пределах региона AWS.
Безопасность
AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Сервис использует проверенные на соответствие FIPS 140‑2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности всех ключей – как созданных KMS от имени пользователя, так и импортированных в сервис. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи KMS никогда не передаются за пределы регионов AWS, в которых они были созданы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа, за аудит и проверку которой отвечает независимая группа в составе Amazon.
Подробнее о том, как работает AWS KMS, см. в техническом описании по AWS Key Management Service.
Соответствие требованиям
Средства управления безопасностью и качеством сервиса AWS KMS оценивались и были сертифицированы по следующим схемам соответствия требованиям.
- Отчеты о соответствии AWS требованиям Service Organization Controls (SOC 1, SOC 2 и SOC 3). Загрузить копию этих отчетов можно в AWS Artifact.
- PCI DSS Level 1. Подробнее о соответствии сервисов AWS стандарту PCI DSS см. на странице вопросов и ответов по PCI DSS.
- ISO 27001. Подробнее о соответствии сервисов AWS стандарту ISO 27001 см. на странице вопросов и ответов по ISO 27001.
- ISO 27017. Подробнее о соответствии сервисов AWS стандарту ISO 27017 см. на странице вопросов и ответов по ISO 27017.
- ISO 27018. Подробнее о соответствии сервисов AWS стандарту ISO 27018 см. на странице вопросов и ответов по ISO 27018.
- ISO 9001. Подробнее о соответствии сервисов AWS стандарту ISO 9001 см. на странице вопросов и ответов по ISO 9001.
- Криптографический модуль со встроенным ПО версии 1.4.3 проверяется на соответствие стандарту FIPS 140‑2 Level 2, а некоторые другие категории, в том числе физическая защита, – на соответствие стандарту Level 3. Подробные сведения можно найти в сертификате FIPS 140‑2 для модулей HSM сервиса AWS KMS и в соответствующей политике безопасности.
- FedRAMP. Подробнее о соответствии AWS требованиям FedRAMP см. на странице соответствия требованиям FedRAMP.
- Соответствие требованиям HIPAA. Подробнее см. на странице соответствия требованиям HIPAA.
Получите мгновенный доступ к уровню бесплатного пользования AWS.
Начните разработку с использованием AWS Key Management Service в Консоли AWS.
