概觀

AWS Key Management Service 可讓您集中控管用來保護資料的加密金鑰。您可以建立、匯入、輪換、停用和刪除用來加密資料的加密金鑰,以及定義其使用政策和稽核使用情況。AWS Key Management Service 已經與其他大多數 AWS 服務整合,可讓您輕鬆地使用您控管的加密金鑰加密存放在這些服務中的資料。AWS KMS 已經與 AWS CloudTrail 整合,您可以稽核誰使用哪些金鑰、用於哪些資源以及使用的時間。AWS KMS 還能讓開發人員輕鬆加密資料,可以透過 AWS 管理主控台中的 1-Click 方式加密,或者使用 AWS 開發套件輕鬆地在應用程式程式碼中加密。

集中化的金鑰管理

AWS Key Management Service 為您提供加密金鑰的集中化控制。您可以從 AWS 管理主控台或使用 AWS 開發套件或 CLI,輕鬆地建立、匯入和輪換金鑰,也可以定義使用政策及稽核用量。KMS 中的主金鑰,無論是您匯入或 KMS 替您建立的,都以加密格式存放在高耐用性的儲存體中,以協助確保需要時即可擷取金鑰。您可選擇讓 KMS 每年自動輪換一次在 KMS 中建立的主金鑰,而不需要重新加密已使用您的主金鑰加密的資料。您無須追蹤先前的主金鑰版本,因為 KMS 可隨時提供它們來解密先前加密的資料。您隨時可以建立新的主金鑰,並控制誰可以存取那些金鑰,以及可以搭配哪些服務使用。您也可以從自己的金鑰管理基礎設施匯入金鑰,並在 KMS 中使用。

AWS 服務整合

AWS Key Management Service 已經與其他大多數 AWS 服務無縫整合。這項整合表示您可輕鬆使用 AWS KMS 主金鑰來加密存放在這些服務中的資料。您可使用自動為您建立且只限在整合的服務中使用的預設主金鑰,也可選取在 KMS 中建立或從自己的金鑰管理基礎設施匯入並具有使用許可的自訂主金鑰。

與 KMS 整合的 AWS 服務
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Systems Manager
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowball

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowmobile
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Snowball Edge
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS Storage Gateway
Amazon Connect Amazon Lightsail* AWS CodeBuild AWS X-Ray
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Glue  
Amazon Elasticsearch Service Amazon SageMaker AWS Lambda  
Amazon EMR Amazon S3 AWS Secrets Manager
AWS X-Ray

*僅支援 AWS 受管 KMS 金鑰。

AWS KMS 也已整合到 AWS 開發套件、AWS 命令列界面 (CLI),並且提供 RESTful API。當您使用這些界面來加密或解密資料時,加密或解密操作會自動進行,您只需選取要使用的 KMS 主金鑰。此外,KMS 已經與 AWS CloudFormation 整合,可讓您使用適用於 KMS 的 CloudFormation 範本在 KMS 中快速建立金鑰。

稽核功能

如果為 AWS 帳戶啟用 AWS CloudTrail,每次使用存放在 KMS 中的金鑰時,都會記錄於傳送至 Amazon S3 儲存貯體 (在您啟用 AWS CloudTrail 時指定) 的日誌檔中。記錄的資訊包含使用者、時間、日期和使用的金鑰等詳細資訊。

可擴展性、耐用性及高可用性

AWS Key Management Service 是一種受管服務。隨著使用 AWS KMS 加密金鑰的次數增加,您不需要再購買其他金鑰管理基礎設施。AWS KMS 可自動調整以符合您的加密金鑰需求。

AWS KMS 代您建立的主金鑰或您自己匯入的主金鑰都不能從服務匯出。AWS KMS 會在系統中儲存許多加密的金鑰版本的複本,此設計可提供 99.999999999% 的耐用性,有助於確保需要時隨時可以存取您的金鑰。如果您將金鑰匯入 KMS,則必須安全地維護一份金鑰,如此才能隨時重新匯入它們。

AWS KMS 會部署在一個 AWS 區域內的多個可用區域,為您的加密金鑰提供高可用性。

安全

AWS KMS 的設計確保沒有任何人 (包含 AWS 員工) 可從服務擷取您的純文字金鑰。無論是請求 KMS 代您建立金鑰或自行將金鑰匯入服務,該服務都會使用 FIPS 140-2 驗證硬體安全模組 (HSM) 保護金鑰的機密性和完整性。純文字金鑰永遠不會寫入磁碟,只要在需要執行請求的加密操作時才會在 HSM 的揮發性記憶體中使用。KMS 金鑰絕不會傳輸到其建立時所處的 AWS 區域之外。KMS HSM 韌體更新由多方存取控制進行控管,該控制由 Amazon 內部獨立群組進行稽核及審查。

進一步了解 AWS KMS 如何運作,請參閱 AWS Key Management Service 白皮書

合規

AWS KMS 中的安全和品質控制已通過下列合規機制驗證和認證。

  • AWS 服務組織控制 (SOC 1、SOC 2 及 SOC 3) 報告。您可以在 AWS Artifact 下載這些報告的副本。
  • PCI DSS 第 1 級。有關 AWS 中 PCI DSS 合規服務的更多詳細資訊,可以閱讀 PCI DSS 常見問答集
  • ISO 27001。有關 AWS 中的 ISO 27001 合規服務的更多詳細資訊,請參閱 ISO-27001 常見問答集
  • ISO 27017。有關 AWS 中的 ISO 27017 合規服務的更多詳細資訊,請參閱 ISO-27017 常見問答集
  • ISO 27018。有關 AWS 中的 ISO 27018 合規服務的更多詳細資訊,請參閱 ISO-27018 常見問答集
  • ISO 9001。有關 AWS 中的 ISO 9001 合規服務的更多詳細資訊,請參閱 ISO-9001 常見問答集
  • 執行 1.4.3 韌體版本的加密模組整體通過 FIPS 140-2 第 2 級驗證,多個其他類別則通過第 3 級驗證,包含實體安全。如需詳細資訊,請參閱 AWS KMS HSM 的 FIPS 140-2 憑證,以及相關的安全政策
  • FedRAMP。您可以在 FedRAMP 合規取得更多 AWS FedRAMP 合規詳細資訊。
  • HIPAA 合格服務。如需詳細資訊,請參閱 HIPAA 合規頁面。
Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解產品定價

檢視定價範例和計算您的成本。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

使用 AWS Key Management Service 開始在 AWS 主控台進行建置

登入