試用 AWS Key Management Service

開始使用 AWS
或者,請登入主控台

建立您的 Amazon Web Services 免費帳戶即可獲得 12 個月的免費產品與服務存取權限

查看 AWS 免費方案詳細資訊 »


AWS KMS 是一項受管的加密服務,可讓您輕鬆地加密資料。AWS KMS 提供高可用性的金鑰儲存、管理和稽核解決方案,讓您在 AWS 服務之間與自己的應用程式內加密資料。

如果您是需要加密應用程式資料的開發人員,應該使用 AWS 開發套件搭配 AWS KMS 支援,以輕鬆地使用和保護加密金鑰。如果您是 IT 管理員,正在尋找可擴展的金鑰管理基礎設施以支援開發人員及其不斷成長的應用程式,應該使用 AWS KMS 降低授權成本和操作負擔。如果您負責證明法規或合規目的的資料安全,應該使用 AWS KMS 來確認資料在所使用和存放的應用程式間一致地加密。

開始使用 AWS KMS 最簡單的方式是選取核取方塊,在受支援的 AWS 服務中加密資料,並為每項服務使用帳戶中建立的預設金鑰。如果要進一步控制這些金鑰的管理,可以在 AWS KMS 中建立金鑰,並指派它們在建立加密資源時用於受支援的 AWS 服務,也可以將它們直接用於您自己的應用程式中。您可以透過 AWS Identity and Access Management (IAM) 主控台的 "Encryption Keys" 部分以 Web 方式存取 AWS KMS,也可以透過 AWS KMS 命令列界面或 AWS 軟體開發套件以程式設計方式存取。請瀏覽入門頁面以進一步了解。

我們的全球按區域分類的產品和服務頁面會列出可用性。

您可以在 AWS KMS 執行以下金鑰管理功能:

  • 以唯一別名和描述建立金鑰
  • 匯入您自己的金鑰
  • 定義哪些 IAM 使用者和角色可以管理金鑰
  • 定義哪些 IAM 使用者和角色可以使用金鑰來加密和解密資料
  • 選擇讓 AWS KMS 每年自動輪換金鑰
  • 臨時停用金鑰,讓任何人都無法使用
  • 重新啟用已停用的金鑰
  • 刪除不再使用的金鑰
  • 透過檢查 AWS CloudTrail 中的日誌來稽核金鑰的使用

AWS KMS 讓您能夠集中管理和安全地存放金鑰。您可以在 KMS 中產生金鑰,或從金鑰管理基礎設施匯入金鑰。您可以從應用程式和受支援的 AWS 服務中使用這些金鑰來保護資料,但該金鑰絕對不會離開 KMS AWS。您在自己控制的金鑰下將資料提交至 AWS KMS 進行加密或解密。您在這些金鑰上設定使用政策,以決定哪些使用者可以用它們來加密和解密資料。使用這些金鑰的所有請求都記錄在 AWS CloudTrail 中,因此您可以了解誰在何時用了哪個金鑰。

您可以使用 AWS KMS 在自己的應用程式本機加密資料,或在受支援的 AWS 服務內加密資料。您可以將 AWS 開發套件與 AWS KMS 支援搭配使用,在應用程式執行的任何地方進行加密。您還可以請求受支援的 AWS 服務,在存放資料時加密該資料。AWS CloudTrail 提供存取日誌,讓您能夠稽核金鑰在任一情況的使用方式。

AWS Key Management Service 與數種其他 AWS 服務無縫整合,在那些服務中加密資料時,只需核取方塊並選取要使用的主金鑰就可以了。請參閱產品詳細資訊頁面,以取得目前與 KMS 整合的 AWS 服務清單。整合服務中金鑰的所有使用情況都會出現在 AWS CloudTrail 日誌。請參閱 AWS KMS Developer’s Guide,以取得整合服務如何使用 AWS KMS 的詳細資訊。

與 AWS KMS 整合的 AWS 雲端服務使用一個稱為信封加密的方法來保護您的資料。信封加密是經過優化的資料加密方法,使用兩個不同的金鑰。AWS 服務會產生資料金鑰,並用於加密資料或資源的每一個部分。此資料金鑰根據您在 AWS KMS 中定義的主金鑰加密。然後,由 AWS 服務存放加密的資料金鑰。當您需要 AWS 服務解密資料時,加密的資料金鑰會傳送到 AWS KMS,並根據原先用其加密的主金鑰進行解密,然後服務即可解密您的資料。

由於 AWS KMS 支援傳送小於 4 KB 的資料進行加密,信封加密可提供明顯的效能優勢。當您使用 KMS 直接加密資料時,必須透過網路傳輸資料。信封加密可為您的應用程式或 AWS 雲端服務降低網路負載。只有透過 KMS 對資料金鑰的請求和履行必須透過網路。因為資料金鑰永遠以加密形式存放,所以您需要它進行操作時可輕鬆安全地分發該金鑰,而無須擔心它會被洩露。加密的資料金鑰會傳送到 AWS KMS 並根據主金鑰進行解密,最終允許您解密資料。資料金鑰直接在應用程式中提供,您不必將整個資料區塊傳送到 AWS KMS 和忍受網路延遲。

當您希望 AWS 服務為您加密資料時,可以選擇使用特定的主金鑰。當您首次嘗試建立加密的資源時,系統會在帳戶中建立各項服務特定的預設主金鑰,方便您使用。此金鑰由 AWS KMS 管理,但您可以在 AWS CloudTrail 中稽核其使用情況。或是您可以在 AWS KMS 中建立客戶主金鑰,然後將它用在自己的應用程式或受支援的 AWS 服務。AWS 將視需要更新預設主金鑰的政策,以自動啟用受支援服務的新功能。AWS 不會修改在您建立的金鑰上修改政策。

在 AWS KMS 中建立金鑰可讓您擁有高於預設服務主金鑰的控制權。建立客戶主金鑰時,可以選擇以您的名義使用 KMS 產生的金鑰材料,或匯入自己的金鑰材料、定義別名和描述,以及如果客戶主金鑰得到 KMS 產生的金鑰材料支援時,選擇每年自動輪換一次金鑰。您還可以定義該金鑰的許可,以控制誰能使用和管理該金鑰。您可以在 AWS CloudTrail 中稽核與金鑰相關的管理和使用活動。

是。您可以將自己金鑰管理基礎設施中的金鑰匯入 KMS,並將它與任何整合的 AWS 服務搭配使用或在自己的應用程式內使用。

您可以使用匯入的金鑰對 KMS 中金鑰的建立、生命週期管理和耐久性做更好的控制。匯入的金鑰旨在協助您達到合規要求,包含產生金鑰或在基礎設施中維護一份安全金鑰的能力,以及在不需要金鑰時,從 AWS 基礎設施隨需刪除所匯入金鑰的能力。

您可以匯入 256 位元對稱金鑰。

匯入期間,必須使用兩個 RSA PKCS#1 機制的其中一種,以 KMS 提供的公開金鑰來包裝您的金鑰。這可確保加密的金鑰只能由 KMS 解密。

您匯入的金鑰與 KMS 為您產生的金鑰之間有兩個主要的差別:
  1. 您必須在金鑰管理基礎設施中安全地維護一份匯入的金鑰,如此才能隨時重新匯入它們。AWS 可代您確保 KMS 產生之金鑰的可用性、安全性和耐用性,直到排定刪除金鑰為止。
  2. 您可以設定匯入金鑰的過期期間,在過期期間之後從 KMS 自動刪除金鑰。您也可以隨需刪除匯入的金鑰,而不用刪除基礎客戶主金鑰。不僅如此,您還可以隨時停用或刪除含匯入金鑰的客戶主金鑰。KMS 產生的金鑰只能停用或排定刪除,不可以設定過期時間。

是。您可以選擇讓 KMS 每年替您自動輪換 KMS 產生的金鑰。匯入的金鑰不支援自動金鑰輪換。如果選擇將金鑰匯入 KMS,則可以在需要時候手動輪換它們。

如果您選擇讓 KMS 替您自動輪換 KMS 產生的金鑰,則不用重新加密資料。AWS KMS 會保留舊版金鑰,以用於根據舊版金鑰解密已加密的資料。對 AWS KMS 中金鑰的所有新加密請求都會根據最新版金鑰加密。

如果您手動輪換金鑰,則必須視應用程式的組態來重新加密資料。 

是。您可以排定刪除 KMS 中建立的客戶主金鑰和關聯的中繼資料,並設定 7 到 30 天的等待期間。此等待期間可讓您確認刪除金鑰對於應用程式及使用該金鑰之使用者的影響。預設等待期間為 30 天。您可以在等待期間取消刪除。金鑰排定刪除後就無法使用,除非您在等待期間取消刪除。如果您沒有取消刪除,系統將在設定的等待期間結束時刪除金鑰。金鑰一旦刪除,就不能再使用。您無法存取已刪除之主金鑰保護的所有資料。

對於含匯入金鑰材料的客戶主金鑰,您可以透過兩種方式刪除金鑰材料而不刪除客戶主金鑰 ID 或中繼資料。第一,您可以隨需刪除匯入的金鑰材料,無須等待期間。第二,將金鑰材料匯入客戶主金鑰時,可針對匯入的金鑰材料刪除前 AWS 可使用多長時間來定義過期時間。如果需要再次使用金鑰材料,可將它重新匯入客戶主金鑰。

您可以將具備有效過期期間的金鑰材料重新匯入 KMS 的原始客戶主金鑰下,即可開始使用。

是。將金鑰匯入客戶主金鑰之後,您將會每幾分鐘收到一個 Amazon CloudWatch 指標,該指標會倒數計時匯入金鑰的過期時間。客戶主金鑰下的匯入金鑰過期時,您還會收到 Amazon CloudWatch 事件。您可以建置在這些指標或事件上作用的邏輯,然後自動重新匯入具有新過期期間的金鑰,以避免出現可用性風險。 

是。AWS 開發套件、AWS 加密開發套件和 Amazon S3 加密用戶端支援 AWS KMS,無論應用程式在何處執行,您都可以輕鬆地在自己的應用程式內加密資料。Java、Ruby、.NET 及 PHP 平台中的 AWS 開發套件支援 AWS KMS API。請瀏覽 Developing on AWS 網站以取得更多資訊。

每個區域的每個帳戶最多可以建立 1000 個客戶主金鑰。因為此限制包含啟用和停用的客戶主金鑰,所以建議您刪除不再使用的停用金鑰。用於受支援的 AWS 服務而代您建立的預設主金鑰不在此限制之內。對於可使用主金鑰衍生且在應用程式中使用或由 AWS 服務用於代您加密資料的資料金鑰數量則沒有限制。您可以透過 AWS 支援中心請求提高客戶主金鑰的限額。

使用 AWS KMS,您僅需按用量付費,而且沒有最低費用。開始使用服務時,沒有安裝費,使用者無須對服務的使用簽訂任何長期使用期限合約。每個月底將自動向您的信用卡收取當月使用費。

您需支付建立的所有客戶主金鑰的費用,也需支付每個月超過免費方案之後對服務所進行的 API 請求的費用。

要了解目前的定價資訊,請參閱 AWS KMS 定價頁面

是。使用 AWS 免費用量方案,您可以在所有區域免費開始使用 AWS KMS。代您建立的預設主金鑰免費存放在您的帳戶中。同時還有每月提供免費 AWS KMS 請求數量的用量免費方案。要了解目前的定價資訊,包括免費方案,請瀏覽 AWS KMS 定價頁面

除非另有說明,否則我們的價格不包括適用的稅金和稅收 (包括加值稅和適用的營業稅)。帳單地址在日本的客戶若使用 AWS 服務,則需負擔日本消費稅。您可以在這裡進一步了解更多資訊。

AWS KMS 會強制執行您定義的使用和管理政策。您可以選擇允許您的帳戶或其他帳戶的 AWS Identity and Access Management (IAM) 使用者及角色使用和管理您的金鑰。

AWS KMS 的設計確保沒有人能存取您的主金鑰。此服務建置於旨在透過大量強化技術保護主金鑰的系統上,例如,絕不將純文字主金鑰存放在磁碟、不會將它們持續存放在記憶體中,以及限制哪些系統可以連接裝置。服務上更新軟體的所有存取權都透過多層核准程序控制,且程序是由 Amazon 內部獨立的小組進行稽核和審查。

有關這些安全控制措施的更多詳細資訊,請查看 AWS KMS Cryptographic Details 白皮書。此外,您還可以向 AWS 合規要求一份服務組織控制 (SOC) 報告,以進一步了解 AWS 用來保護資料和主金鑰的安全控制措施。

 

是。KMS 已經過驗證,擁有可協助您符合加密和金鑰管理要求 (主要參考 PCI DSS 3.1 的第 3.5 和 3.6 節) 的功能和安全控制措施。

有關 AWS 中 PCI DSS 合規服務的更多詳細資訊,可以閱讀 PCI DSS 常見問答集

您可以請求 AWS KMS 產生可傳回在您自己應用程式中使用的資料金鑰。資料金鑰根據您在 AWS KMS 中定義的主金鑰加密,因此您可以安全地存放加密的資料金鑰與加密資料。加密的資料金鑰 (以及來源資料) 只能由有權使用加密資料金鑰時所用的原主金鑰的使用者解密。

AWS KMS 中的主金鑰長度為 256 位元。資料金鑰的產生長度可為 128 位元或 256 位元,且可根據您定義的主金鑰加密。AWS KMS 還能夠產生您所定義的任何長度隨機資料,以供加密使用。

否。您只能在 AWS KMS 中建立和使用主金鑰,以協助確保主金鑰的安全、一致地實施政策,並提供集中化的金鑰使用日誌。

金鑰只會存放在其建立的區域,並在該區域使用。它們無法傳輸到另一區域。例如,在中歐 (法蘭克福) 區域建立的金鑰只能存放在中歐 (法蘭克福) 區域,並在該區域使用。

AWS CloudTrail 中的日誌將顯示有關主金鑰的請求,包括管理請求 (例如建立、輪換、停用和政策編輯) 和加密請求 (例如加密/解密)。在您的帳戶中開啟 AWS CloudTrail 可查看這些日誌。

AWS CloudHSM 在 Amazon Virtual Private Cloud (VPC) 提供 FIPS 140-2 第 3 級驗證的單一租用戶 HSM,以存放和使用您的金鑰。您擁有金鑰和在 AWS CloudHSM 使用這些金鑰之應用程式軟體的完整控制權。此外,您可使用 AWS CloudHSM 支援各種不同的使用案例和應用程式,像是數位版權管理 (DRM)、公開金鑰基礎設施 (PKI)、非對稱加密函數、文件簽署,以及高效能 VPC 內加密加速。

AWS KMS 讓您可以控制應用程式所使用的加密金鑰,並透過單一主控台支援全球多個區域的 AWS 服務。在 AWS KMS 集中管理所有金鑰能讓您強制管理可使用金鑰的人員、輪換的時間以及管理金鑰的人員。AWS KMS 與 AWS CloudTrail 整合,可提供您稽核金鑰使用方式的功能,以支援您的監管和合規活動。