概觀

AWS Key Management Service (KMS) 可讓您集中控管用來保護資料的加密金鑰。AWS KMS 整合了 AWS 服務,讓您可以輕鬆加密存放在這些服務中的資料,並控制解密金鑰的存取權。AWS KMS 已經與 AWS CloudTrail 整合,您可以稽核誰使用哪些金鑰、用於哪些資源以及使用的時間。AWS KMS 也讓開發人員可以直接透過加密和解密服務 API,或是透過與 AWS Encryption SDK 整合的方式,輕易為自己的應用程式程式碼加入加密功能。

集中化金鑰管理

AWS Key Management Service 為您提供加密金鑰的集中化控制。客戶主金鑰 (CMK) 用於控制資料加密金鑰的存取權,這些金鑰可以加密和解密資料。您隨時可以建立新的主金鑰,並輕易控制誰可以存取那些金鑰,以及可以搭配使用哪些服務。您也可以將自己金鑰管理基礎建設中的金鑰匯入到 AWS KMS,或使用存放在 AWS CloudHSM 叢集的金鑰,並透過 AWS KMS 來管理。您可以透過 AWS 管理主控台,也可以使用 AWS SDK 或 AWS 命令列介面 (CLI),來管理主金鑰,並稽核金鑰的使用情況。

在 AWS KMS 中,無論是在 KMS、CloudHSM 叢集中建立的金鑰,還是匯入的金鑰,都會採用加密格式,存放在高度耐久的儲存空間中,方便隨需使用。您可選擇讓 AWS KMS 每年自動輪換一次在 KMS 中建立的主金鑰,而不需要再次加密已使用您的主金鑰加密的資料。您無須追蹤先前的主金鑰版本,因為 KMS 可隨時提供它們來解密先前加密的資料。

AWS 服務整合

AWS KMS 已與大部分的 AWS 服務無縫整合。這項整合表示您可輕鬆使用 KMS 主金鑰來控制加密存放在這些服務中的資料。當您決定加密服務中的資料時,可以選擇使用 AWS 代管主金鑰,由該服務自動為您在 KMS 中建立主金鑰。您可以追蹤金鑰的使用情況,但金鑰的管理會由該服務代勞。

如果您需要直接控制主金鑰的生命週期,或希望允許其他帳戶使用主金鑰,那麼您可以自行建立並管理 AWS 服務可以代替您使用的主金鑰。這些客戶代管主金鑰可讓您完全控制存取權限,決定誰可以使用金鑰,以及在哪些情況下使用。

與 KMS 整合的 AWS 服務
Alexa for Business* Amazon EMR Amazon S3
Amazon Athena Amazon FSx for Windows File Server Amazon SageMaker
Amazon Aurora Amazon Glacier Amazon Simple Email Service (SES)
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Relational Database Service (RDS)
Amazon Comprehend* Amazon Kinesis Firehose Amazon Simple Notification Service (SNS)
Amazon Connect Amazon Kinesis Video Streams Amazon Simple Queue Service (SQS)
Amazon DocumentDB Amazon Lex Amazon Translate
Amazon DynamoDB* Amazon Lightsail* Amazon WorkMail
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces
Amazon EBS Amazon MQ AWS Backup
Amazon EFS Amazon Neptune AWS Certificate Manager*
Amazon Elastic Transcoder Amazon Personalize AWS Cloud9*
Amazon Elasticsearch Service Amazon Redshift AWS CloudTrail
AWS CodeCommit* AWS Glue AWS Snowball Edge
AWS CodeDeploy AWS Lambda AWS Snowmobile
AWS CodePipeline AWS Secrets Manager AWS Storage Gateway
AWS CodeBuild AWS Systems Manager AWS X-Ray
AWS Database Migration Service AWS Snowball  

*僅支援 AWS 受管 KMS 金鑰。

** 如需與 KMS 整合且位於由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域的服務清單,請瀏覽在中國的 AWS KMS 服務整合 

上面未列出的 AWS 服務將使用個別服務擁有和管理的金鑰加密客戶資料。

稽核功能

如果為 AWS 帳戶啟用 AWS CloudTrail,每次向 AWS KMS 提出要求時,都會記錄於日誌檔中,而日誌檔會傳送至您啟用 AWS CloudTrail 時指定的 Amazon S3 儲存貯體。記錄的資訊包括使用者、時間、日期、API 動作和使用的金鑰等詳細資訊。

可擴展性、耐久性及高可用性

AWS KMS 是一項全代管服務。隨著您對加密功能的使用量增加,KMS 會自動調整以符合您的需求。AWS KMS 可讓您在帳戶中管理數千個主金鑰並隨需使用。AWS KMS 針對金鑰數量和要求率設有預設限制,但您可以視情況需要,要求提高這個限制值。

您在 AWS KMS 建立的主金鑰,或由其他 AWS 服務為您建立的主金鑰,都不能從提供的位置匯出。所以,KMS 會負責確保這些金鑰經久耐用。為確保您的金鑰和資料高度可用,AWS KMS 會在系統中儲存多個金鑰的加密版本複本,此設計可提供 99.999999999% 的耐久性。

如果您將金鑰匯入到 KMS,就可以擁有一份安全的主金鑰備份,當您需要使用金鑰時而無法取得時,就可以將這些金鑰重新匯入。如果您使用 KMS 的自訂金鑰存放區功能,在 AWS CloudHSM 叢集中建立主金鑰,那麼系統會自動備份金鑰的加密副本,您將取得復原程序的完整控制權。

AWS KMS 設計為與地區 API 端點搭配的高度可用服務。由於大多數 AWS 服務都依賴 AWS KMS 進行加密和解密,因此會設計為提供一定的可用性,以支援其餘的 AWS 且遵守 AWS KMS 服務水準協議

安全

AWS KMS 的設計可確保沒有任何人 (包含 AWS 員工) 可從服務擷取您的純文字金鑰。無論是請求 KMS 代您建立金鑰、還是自行在 AWS CloudHSM 叢集中建立金鑰或將金鑰匯入服務,該服務都會使用已通過 FIPS 140-2 驗證或正在接受驗證的硬體安全模組 (HSM),保護金鑰的機密性和完整性。純文字金鑰永遠不會寫入磁碟,只要在需要執行請求的加密操作時才會在 HSM 的揮發性記憶體中使用。由 KMS 所建立的金鑰絕不會傳輸到建立金鑰所在的 AWS 區域之外,並且只能在建立金鑰的區域中使用。KMS HSM 韌體的更新會由多方存取控制進行控管,該存取控制是由 Amazon 內部獨立的小組以及符合 FIPS 140-2 標準的 NIST 認證實驗室進行稽核和審查。

若要進一步了解 AWS KMS 的架構方式及其保護金鑰所用的加密技術,請閱讀 AWS Key Management Service 加密詳細資訊白皮書

* 在由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域,硬體安全模組是經由中國政府核准 (非 FIPS 140-2 驗證),而上述的加密詳細資訊白皮書不適用。 

自訂金鑰存放區

AWS KMS 提供使用由您控制之 HSM 自行建立金鑰存放區的選擇。每個自訂金鑰存放區AWS CloudHSM 叢集提供支援。當您在自訂金鑰存放區中建立 KMS 自訂主金鑰 (CMK),KMS 會針對 CMK 產生無法擷取的金鑰材料,然後存放到 AWS CloudHSM 叢集,而您將擁有並管理這個叢集。當您使用自訂金鑰存放區中的 CMK 時,就會在 CloudHSM 叢集對該金鑰執行加密作業。

儲存在自訂金鑰存放區 (而非預設 KMS 金鑰存放區) 中的主金鑰,其管理方式與 KMS 中的其他主金鑰相同,任何支援客戶代管 CMK 的 AWS 服務都可以使用這些主金鑰。

使用金鑰存放區,需另外支付 CloudHSM 叢集的費用,該叢集中的金鑰材料是否可用,一概由您負責。如需自訂金鑰存放區是否適合您需求的指引,可以參考這個部落格

* 由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域不提供自訂金鑰存放區功能。

合規

AWS KMS 中的安全和品質控制已通過下列合規機制驗證和認證。

  • AWS 服務組織控制 (SOC 1、SOC 2 及 SOC 3) 報告。您可以在 AWS Artifact 下載這些報告的副本。
  • PCI DSS 第 1 級。有關 AWS 中 PCI DSS 合規服務的更多詳細資訊,可以閱讀 PCI DSS 常見問答集
  • ISO 27001。有關 AWS 中的 ISO 27001 合規服務的更多詳細資訊,請參閱 ISO 27001 常見問答集
  • ISO 27017。有關 AWS 中的 ISO 27017 合規服務的更多詳細資訊,請參閱 ISO 27017 常見問答集
  • ISO 27018。有關 AWS 中的 ISO 27018 合規服務的更多詳細資訊,請參閱 ISO-27018 常見問答集
  • ISO 9001。有關 AWS 中的 ISO 9001 合規服務的更多詳細資訊,請參閱 ISO 9001 常見問答集
  • FIPS 140-2。執行韌體 1.4.4 版的 AWS KMS 加密模組整體通過 FIPS 140-2 第 2 級驗證,多個其他類別則通過第 3 級驗證,包含實體安全。如需詳細資訊,請參閱 AWS KMS HSM 的 FIPS 140-2 憑證,以及相關的安全政策
  • FedRAMP。您可以在 FedRAMP 合規取得更多 AWS FedRAMP 合規詳細資訊。
  • HIPAA。如需更多詳細資訊,請參閱 HIPAA 合規頁面
 
* FIPS 140-2 不適用於中國區域內的 KMS。中國區域的硬體安全模組由中國政府核准後使用。
Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解產品定價

檢視定價範例和計算您的成本。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

使用 AWS Key Management Service 開始在 AWS 主控台進行建置

登入