AWS Key Management Service 可讓您集中控管用來保護資料的加密金鑰。您可以建立、匯入、輪換、停用和刪除用來加密資料的加密金鑰,以及定義其使用政策和稽核使用情況。AWS Key Management Service 已經與其他許多 AWS 服務整合,可讓您輕鬆地使用您控管的加密金鑰加密存放在這些服務中的資料。AWS KMS 已經與 AWS CloudTrail 整合,您可以稽核誰使用哪些金鑰、用於哪些資源以及使用的時間。AWS KMS 還能讓開發人員輕鬆加密資料,可以透過 AWS 管理主控台中的 1-Click 方式加密,或者使用 AWS 開發套件輕鬆地在應用程式程式碼中加密。

試用 AWS Key Management Service

開始使用 AWS
或者,請登入主控台

建立您的 Amazon Web Services 免費帳戶即可獲得 12 個月的免費產品與服務存取權限

查看 AWS 免費方案詳細資訊 »

AWS Key Management Service 為您提供加密金鑰的集中化控制。您可以從 AWS 管理主控台或使用 AWS 開發套件或 CLI,輕鬆地建立、匯入和輪換金鑰,也可以定義使用政策及稽核用量。KMS 中的主金鑰,無論是您匯入或 KMS 替您建立的,都以加密格式存放在高耐用性的儲存體中,以協助確保需要時即可擷取金鑰。您可選擇讓 KMS 每年自動輪換一次在 KMS 中建立的主金鑰,而不需要重新加密已使用您的主金鑰加密的資料。您無須追蹤先前的主金鑰版本,因為 KMS 可隨時提供它們來解密先前加密的資料。您隨時可以建立新的主金鑰,並控制誰可以存取那些金鑰,以及可以搭配哪些服務使用。您也可以從自己的金鑰管理基礎設施匯入金鑰,並在 KMS 中使用。

AWS Key Management Service 已經與其他許多 AWS 服務無縫整合。這項整合表示您可輕鬆使用 AWS KMS 主金鑰來加密存放在這些服務中的資料。您可使用自動為您建立且只限在整合的服務中使用的預設主金鑰,也可選取在 KMS 中建立或從自己的金鑰管理基礎設施匯入並具有使用許可的自訂主金鑰。

AWS 產品類別 與 KMS 整合的 AWS 服務
運算 Amazon Lightsail*、Amazon EC2 SSM、AWS Lambda

儲存和內容交付

Amazon S3、Amazon EBS、AWS Import/Export Snowball、AWS Storage Gateway、Amazon EFS
資料庫 Amazon RDS、Amazon Redshift、AWS Database Migration Service、Amazon DynamoDB*
開發人員工具 AWS CodeCommit*、AWS CodeBuild**、AWS CodeDeploy**、AWS CodePipeline**、AWS Cloud9*
管理工具 AWS CloudTrail、Amazon CloudWatch Logs**
分析 Amazon EMR、Amazon Kinesis Firehose、Amazon Kinesis Streams、Amazon Athena、Amazon Elasticsearch Service
應用程式服務 Amazon Elastic Transcoder、Amazon SES、Amazon SQS
媒體服務 Amazon Kinesis Video Streams
企業應用程式 Amazon WorkSpaces、Amazon WorkMail
商業生產力 Alexa for Business*
安全、身分和合規 AWS Certificate Manager*
聯絡中心 Amazon Connect
機器學習 Amazon SageMaker

*目前僅支援受 AWS 管理的 KMS 金鑰。 
**目前僅支援受客戶管理的 KMS 金鑰。

AWS KMS 也已整合到 AWS 開發套件、AWS 命令列界面 (CLI),並且提供 RESTful API。當您使用這些界面來加密或解密資料時,加密或解密操作會自動進行,您只需選取要使用的 KMS 主金鑰。此外,KMS 已經與 AWS CloudFormation 整合,可讓您使用適用於 KMS 的 CloudFormation 範本在 KMS 中快速建立金鑰。

如果為 AWS 帳戶啟用 AWS CloudTrail,每次使用存放在 KMS 中的金鑰時,都會記錄於傳送至 Amazon S3 儲存貯體 (在您啟用 AWS CloudTrail 時指定) 的日誌檔中。記錄的資訊包含使用者、時間、日期和使用的金鑰等詳細資訊。

AWS Key Management Service 是一種受管服務。隨著使用 AWS KMS 加密金鑰的次數增加,您不需要再購買其他金鑰管理基礎設施。AWS KMS 可自動調整以符合您的加密金鑰需求。

AWS KMS 代您建立的主金鑰或您自己匯入的主金鑰都不能從服務匯出。AWS KMS 會在系統中存放多份加密的金鑰版本,此設計可提供 99.999999999% 的耐用性,有助於確保需要時隨時可以存取您的金鑰。如果您將金鑰匯入 KMS,則必須安全地維護一份金鑰,如此才能隨時重新匯入它們。

AWS KMS 會部署在一個 AWS 區域內的多個可用區域,為您的加密金鑰提供高可用性。

AWS KMS 的設計確保沒有人能存取您的主金鑰。此服務建置於旨在透過大量強化技術保護主金鑰的系統上,例如,絕不將純文字主金鑰存放在磁碟、不會將它們持續存放在記憶體中,以及限制哪些系統可以存取使用金鑰的主機。服務上更新軟體的所有存取權都透過多方存取控制加以控管,該存取控制是由 Amazon 內部獨立的小組進行稽核和審查。

進一步了解 AWS KMS 如何運作,請參閱 AWS Key Management Service 白皮書

AWS KMS 中的安全和品質控制已通過下列合規機制驗證和認證。