Обзор
Сервис управления ключами AWS (KMS) обеспечивает централизованное управление криптографическими ключами, используемыми для защиты данных. Этот сервис интегрирован с другими сервисами AWS, что упрощает шифрование данных, хранимых в этих сервисах, и управление доступом к ключам для их дешифрования. Благодаря интеграции AWS KMS с AWS CloudTrail существует также возможность проверить, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS позволяет разработчикам без особых затруднений добавлять шифрование или цифровые подписи в код своих приложений, как напрямую, так и через AWS SDK. AWS Шифрование SDK поддерживает AWS KMS в качестве поставщика ключей для разработчиков, которые используют в своих приложениях локальное шифрование и (или) расшифровку данных.
AWS KMS предоставляет централизованное управление жизненным циклом и разрешениями для ключей. Вы сможете создавать новые ключи в любой удобный момент, а также по отдельности управлять правами на создание и использование этих ключей. Кроме использования ключей, сгенерированных AWS KMS, можно также импортировать ключи из вашей собственной инфраструктуры управления ключами, использовать ключи, хранящиеся в вашем кластере AWS CloudHSM, или ключи, хранящиеся за пределами AWS в вашем внешнем менеджере ключей. Вы можете выбрать автоматическую ежегодную ротацию корневых ключей, созданных в AWS KMS, без повторного шифрования ранее зашифрованных данных. Сервис автоматически поддерживает доступность старых версий корневого ключа для расшифровки ранее зашифрованных данных. Управлять корневыми ключами и выполнять аудит их использования можно с помощью Консоли управления AWS, AWS SDK или интерфейса командной строки (CLI) AWS.
Интеграция с сервисами AWS
AWS KMS интегрируется с сервисами AWS для шифрования данных в местах хранения или для упрощения входа и проверки с помощью ключа AWS KMS. Для защиты данных в местах хранения интегрированные сервисы AWS используют шифрование конвертов, для которого применяется ключ данных, который в свою очередь шифруется с помощью ключа KMS, сохраненного в AWS KMS. Для входа и проверки сервисы AWS используют асимметричные ключи KMS или ECC, сохраненные в AWS KMS. Дополнительные сведения о том, как интегрированный сервис использует AWS KMS, можно найти в документации на соответствующий сервис AWS.
| Alexa для бизнеса[1] | Amazon FSx | Amazon Rekognition | AWS CodePipeline |
| Amazon AppFlow | Amazon GuardDuty | Служба реляционных баз данных Amazon (Amazon RDS) | AWS Control Tower |
| Amazon Athena | Amazon HealthLake | Amazon Route 53 | Обмен данными AWS |
| Amazon Aurora | Amazon Inspector | Простой сервис хранения данных Amazon (Amazon S3)[3] | Сервис миграции баз данных AWS |
| SDK для Amazon Chime | Amazon Kendra | Amazon SageMaker | Эластичное аварийное восстановление AWS |
| Журналы Amazon CloudWatch | Amazon Keyspaces (для Apache Cassandra) | Простой почтовый сервис Amazon (Amazon SES) | AWS Elemental MediaTailor |
| Amazon CloudWatch Synthetics | Потоки данных Amazon Kinesis | Простой сервис уведомлений Amazon (Amazon SNS) | Разрешение сущностей AWS |
| Amazon CodeGuru | Amazon Kinesis Firehose | Простой сервис очередей Amazon (Amazon SQS) | AWS GameLift |
| Amazon CodeWhisperer | Видеопотоки Amazon Kinesis | Amazon Textract | AWS Glue |
| Amazon Comprehend | Amazon Lex | Amazon Timestream | AWS Glue DataBrew |
| Amazon Connect | Amazon Lightsail[1] | Amazon Transcribe | Наземная станция AWS |
| Профили клиентов Amazon Connect | Служба определения местоположения Amazon | Amazon Translate | AWS IoT SiteWise |
| Amazon Connect Voice ID | Amazon Lookout for Equipment | Amazon WorkMail | Сервис управления ключами AWS (AWS KMS) |
| Amazon Q Connect | Amazon Lookout для метрики | Amazon WorkSpaces | AWS Lambda |
| Amazon DocumentDB | Машинное зрение Amazon Lookout | Тонкий клиент Amazon WorkSpaces | Менеджер лицензий AWS |
| Amazon DynamoDB | Amazon Macie | Amazon WorkSpaces Web | Модернизация мэйнфреймов AWS |
| Ускоритель Amazon DynamoDB (DAX)[1] | Управляемый блокчейн Amazon | AWS AppConfig | Сетевой брандмауэр AWS |
| Магазин эластичных блоков Amazon (Amazon EBS) | Управляемый сервис Amazon для Prometheus |
AWS AppFabric | AWS Proton |
| Конструктор образов Amazon EC2 | Управляемая потоковая передача Amazon для Kafka (Amazon MSK) | Профилировщик затрат на приложения AWS | Менеджер секретов AWS |
| Эластичная файловая система Amazon (Amazon EFS) | Управляемые рабочие процессы Amazon для Apache Airflow (Amazon MWAA) | Сервис миграции приложений AWS (AWS MGN) | AWS Snowball |
| Эластичный реестр контейнеров Amazon (Amazon ECR) | Amazon MemoryDB | AWS App Runner | Периферийный AWS Snowball |
| Эластичный сервис Amazon Kubernetes (Amazon EKS) | Amazon Monitron | Диспетчер аудита AWS | AWS Snowcone |
| Amazon Elastic Transcoder | Amazon MQ | Резервное копирование AWS | Шлюз хранилища AWS |
| Amazon ElastiCache | Amazon Neptune | Менеджер сертификатов AWS[1] | Менеджер систем AWS |
| Amazon EMR | Студия Amazon Nimble | AWS Cloud9[1] | Цепочка поставок AWS |
| Бессерверная конфигурация Amazon EMR | Amazon OpenSearch | AWS CloudHSM[2] | Проверенный доступ AWS |
| Планировщик событий Amazon EventBridge | Amazon Omics | AWS CloudTrail | AWS X-Ray |
| Amazon FinSpace | Amazon Personalize | AWS CodeArtifact | |
| Amazon Forecast | База данных квантового реестра Amazon (Amazon QLDB) | AWS CodeBuild | |
| Детектор мошенничества Amazon | Amazon Redshift | AWS CodeCommit[1] |
[1] Поддерживает только управляемые ключи AWS.
[2] AWS KMS поддерживает собственное хранилище ключей, для которого кластер AWS CloudHSM создает резервную копию.
[3] Класс хранилищ S3 Express One Zone не интегрирован с AWS KMS, но поддерживает шифрование на стороне сервера с помощью управляемых ключей Amazon S3 (SSE-S3). Подробнее об объектном шифровании S3 Express One Zone см. в разделе Защита и шифрование данных S3 Express One Zone.
[4] Список сервисов, интегрированных с KMS в регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD, см. на странице интеграции AWS KMS с сервисами в Китае.
Сервисы AWS, которые не перечислены выше, шифруют данные клиента с помощью ключей, принадлежащих самому сервису и управляемых им же.
Мониторинг аудита
Если для вашего аккаунта AWS включен AWS CloudTrail, каждый запрос, который вы делаете к AWS KMS, записывается в файл журнала. Этот файл журнала доставляется в корзину Простого сервиса хранения данных Amazon (Amazon S3), которую вы указали при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате, действии API и использованном ключе (когда требуется).
Масштабируемость, надежность и высокая доступность
AWS KMS является полностью управляемым сервисом. При увеличении потребностей в шифровании сервис автоматически масштабируется в соответствии с текущими требованиями. Он позволяет управлять десятками тысяч ключей KMS в аккаунте и использовать их в любое время. Существуют определенные лимиты по умолчанию на количество ключей и запросов, но при необходимости можно запросить их повышение.
Ключи KMS, созданные вами самостоятельно или другими сервисами AWS от вашего имени, не могут быть экспортированы из сервиса. Это означает, что AWS KMS несет полную ответственность за их надежное хранение. Чтобы обеспечить доступность ключей и соответствующих данных в любой момент обращения к ним, AWS KMS хранит множество копий зашифрованных версий ключей в системах с уровнем надежности 99,999999999 %.
Для зашифрованных данных или рабочих процессов цифровой подписи, которые перемещаются между регионами (аварийное восстановление, многорегиональные архитектуры высокой доступности, глобальные таблицы DynamoDB и глобально распределенные согласованные цифровые подписи), вы можете создать многорегиональные ключи KMS. Это набор взаимодействующих ключей с одним и тем же ключевым материалом и идентификаторами ключей, которые могут быть реплицированы в несколько регионов.
AWS KMS разработан как высокодоступный сервис с региональным адресом API. Поскольку большинство сервисов AWS зависит от шифрования и расшифровки AWS KMS, он спроектирован таким образом, чтобы обеспечить уровень доступности, необходимый для поддержки остальных сервисов AWS, который создан на основе Соглашения об уровне обслуживания AWS KMS.
Безопасность
Сервис AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из него ваши незашифрованные ключи. В сервисе используются аппаратные модули безопасности (HSM), которые постоянно проверяются в Национальном институте по стандартизации и технологии США (NIST) с помощью Федерального стандарта по обработке информации (FIPS) 140-2 и Программы валидации криптографических модулей для защиты конфиденциальности и целостности ваших ключей. Модули HSM AWS KMS – это криптографический источник доверия для защиты ключей KMS. Они создают безопасную аппаратно защищенную границу для всех криптографических операций, которые происходят в KMS. Весь материал для ключей KMS, генерируемый в модулях AWS KMS HSM, и все операции, требующие расшифровки материала для ключей KMS, происходят строго в пределах границ этих модулей HSM по стандарту FIPS 140-2 уровня безопасности 3. К обновлениям встроенного ПО модулей AWS KMS HSM применяется многосторонний контроль доступа, который проверяет и анализирует независимая группа Amazon; согласно требованиям FIPS-140, все изменения встроенного ПО модулей KMS HSM передаются в аккредитованную NIST лабораторию для проверки на соответствие уровню безопасности 3 FIPS 140-2.
Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Эти гарантии одинаково применимы как к ключам, которые AWS KMS создает от вашего имени, так и к тем, которые вы импортируете в службу извне или самостоятельно создаете в кластере AWS CloudHSM с использованием собственного хранилища ключей. Вы выбираете, создавать ключи для одного региона или для нескольких. Ключи для одного региона могут использоваться только в том регионе AWS, где они были созданы, и никогда не передаются за его пределы.
Подробнее об архитектуре AWS KMS и криптографии, которая используется в этом сервисе для защиты ключей, см. в Сведениях о криптографии в сервисе AWS KMS.
* В регионе AWS Китай (Пекин) под управлением Beijing Sinnet Technology Co., Ltd. («Sinnet») Sinnet и регионе AWS Китай (Нинся) под управлением Ningxia Western Cloud Data Technology Co., Ltd. («NWCD») NWCD модули HSM одобрены государственными учреждениями Китая (а не проверены по стандарту FIPS 140‑2), а вышеупомянутое техническое описание «Сведения о криптографии» не применяется.
Асимметричные ключи
AWS KMS помогает создавать и использовать асимметричные ключи KMS и пары ключей данных. Вы можете назначить ключ KMS для использования в роли пары ключей подписывания или шифрования. Генераций пар ключей и асимметричные криптографические операции с такими ключами KMS выполняются в аппаратных модулях HSM. Вы можете запросить открытую часть асимметричного ключа KMS для использования в локальных приложениях, а закрытая часть никогда не покидает пределов сервиса. Вы можете импортировать закрытую часть асимметричного ключа из собственной инфраструктуры управления ключами.
Вы также может создать с помощью сервиса асимметричную пару ключей данных. Такая операция возвращает копию открытого и закрытого ключей в формате обычного текста, а также копию закрытого ключа, зашифрованную предоставленным вами симметричным ключом KMS. Версии ключей в формате обычного текста можно использовать в локальном приложении, а зашифрованную копию закрытого ключа – сохранить отдельно, чтобы использовать в будущем.
* Асимметричные ключи не поддерживаются при использовании собственного хранилища ключей.
HMAC
Вы можете создать и проверить код аутентификации сообщений на основе хэша (HMAC) из аппаратных модулей безопасности (HSM), проверенных AWS KMS FIPS 140-2. HMAC – это криптографический структурный элемент, который содержит секретный ключ в хэш-функции для создания кода аутентификации сообщения с уникальным ключом. Ключи KMS HMAC имеют преимущество перед HMAC из приложений, поскольку материал для ключа создается и используется полностью в KMS AWS, а также применяются меры контроля доступа, заданные для ключа. Ключи KMS HMAC и алгоритмы HMAC, которые используются KMS AWS, отвечают промышленным стандартам, определенным в RFC 2104. Ключи KMS HMAC генерируются в аппаратных модулях безопасности (HSM) KMS AWS, сертифицированных в соответствии с программой проверки криптографических модулей FIPS 140-2, и никогда не оставляют KMS AWS без шифрования. Можно также импортировать собственный ключ HMAC из своей инфраструктуры управления ключами.
* Ключи HMAC KMS AWS не поддерживаются в собственных хранилищах ключей.
** Информация, приведенная в разделе FIPS 140-2, не применима к региону AWS Китай (Пекин) под управлением компании Sinnet и региону AWS Китай (Нинся) под управлением компании NWCD. Аппаратные модули безопасности, используемые в Китае, одобрены государственными учреждениями Китая.
Соответствие требованиям
Средства управления безопасностью и качеством сервиса AWS KMS были подтверждены и сертифицированы по следующим схемам соответствия требованиям.
- Отчеты AWS по управлению системами и организациями (SOC 1, SOC 2 и SOC 3). Загрузить копию этих отчетов можно в AWS Artifact.
- Каталог контрольных механизмов соответствия облачных вычислений (C5). Узнайте больше о системе аттестации C5, поддерживаемой правительством Германии.
- Стандарт безопасности данных индустрии платежных карт (PCI DSS), уровень 1. Узнайте больше о сервисах, соответствующих стандарту PCI DSS, в AWS на странице вопросов и ответов.
- Федеральный стандарт по обработке информации 140-2. Криптографический модуль AWS KMS проверен США в соответствии с уровнем безопасности 3 стандарта FIPS 140-2. Национальный институт по стандартизации и технологии (NIST). Подробные сведения можно найти в сертификате FIPS 140‑2 для модулей HSM сервиса AWS KMS и в соответствующей политике безопасности.
- Федеральная программа управления рисками и авторизацией (FedRAMP). Подробнее о соответствии AWS требованиям FedRAMP см. на странице соответствия требованиям FedRAMP.
- Акта о передаче и защите данных учреждений здравоохранения (HIPAA), США. Узнайте больше на веб-странице Соответствие требованиям HIPAA.
Собственные хранилища ключей
Собственные хранилища ключей сочетают в себе удобный и всеобъемлющий интерфейс управления ключами AWS KMS с возможностью владеть устройствами, на которых находится ключевой материал и выполняются криптографические операции, и контролировать их. В результате вы берете на себя большую ответственность за доступность и долговечность криптографических ключей и за работу HSM. AWS KMS предлагает два типа собственных хранилищ ключей:
Хранилище ключей с поддержкой CloudHSM
Вы можете создать ключ KMS в собственном хранилище ключей AWS CloudHSM, где все ключи генерируются и хранятся в кластере AWS CloudHSM, которым вы владеете и управляете. Когда вы применяете ключ KMS из собственного хранилища ключей, все криптографические операции с этим ключом выполняются только в вашем кластере AWS CloudHSM.
Использование собственного хранилища ключей влечет за собой дополнительные расходы на кластер AWS CloudHSM. Ответственность за доступность материала ключей в этом кластере несет сам клиент. Подробнее о том, подойдет ли собственное хранилище ключей в вашем случае, см. в этом блоге.
Внешнее хранилище ключей
Если у вас есть нормативная необходимость хранить и использовать ключи шифрования на территории или за пределами облака AWS Cloud, вы можете создать ключ KMS во внешнем хранилище ключей AWS KMS (XKS), где все ключи генерируются и хранятся во внешнем менеджере ключей вне AWS, которым вы владеете и управляете. При использовании XKS ключевой материал никогда не покидает HSM.
В отличие от стандартных ключей KMS или ключей в собственном хранилище ключей CloudHSM, при использовании внешнего хранилища ключей вы несете ответственность за долговечность, доступность, задержку, производительность и безопасность ключевого материала и криптографических операций с внешними ключами. На производительность и доступность операций KMS могут влиять аппаратные, программные или сетевые компоненты используемой вами инфраструктуры XKS. Чтобы узнать больше о XKS, вы можете прочитать этот блог AWS News.
* Поддержка cобственных хранилищ ключей недоступна в регионе AWS Китай (Пекин) под управлением Sinnet и регионе AWS Китай (Нинся) под управлением NWCD.
** Функция собственного хранилища ключей недоступна для асимметричных ключей KMS.
*** CodeArtifact не поддерживает ключи KMS в XKS.
Шифрование на стороне клиента
AWS KMS можно использовать с библиотеками шифрования на стороне клиента для защиты данных непосредственно в приложении на AWS или в гибридных и многооблачных средах. Эти библиотеки можно использовать для шифрования данных перед их хранением в сервисах AWS или на любом другом носителе хранения и сторонних сервисах по своему усмотрению. Они предназначены для шифрования и дешифрования данных с использованием отраслевых стандартов и передовых методов. Библиотеки шифрования позволяют сосредоточиться на основных функциях приложения, а не на шифровании и дешифровании данных.
• AWS Шифрование SDK – это библиотека шифрования общего назначения для реализации шифрования и расшифровки всех типов данных.
• SDK для шифрования баз данных AWS – это библиотека шифрования, которая помогает защитить конфиденциальные данные, хранящиеся в базе данных, и предоставляет дополнительные функции поиска зашифрованных данных и запросов к ним.
• Клиент шифрования Amazon S3 – это библиотека шифрования для шифрования и дешифрования объектов, хранящихся в корзине S3.
Дополнительные сведения см. в документации AWS Crypto Tools.
Получите мгновенный доступ к уровню бесплатного пользования AWS.
Начните разработку с использованием AWS Key Management Service в Консоли AWS.