概觀

AWS Key Management Service (KMS) 可讓您集中控管用來保護資料的加密金鑰。 這項服務整合了其他 AWS 服務,讓您可以輕鬆加密存放在這些服務中的資料,並控制解密金鑰的存取權。AWS KMS 還可與 AWS CloudTrail 整合,讓您能夠稽核誰使用哪些金鑰、用於哪些資源以及使用的時間。AWS KMS 可讓開發人員透過直接或使用 AWS 開發套件的方式,更輕鬆地為其應用程式的程式碼新增加密或數位簽章功能。對於必須在本機加密/解密應用程式資料的開發人員來說,AWS Encryption SDK 支援 AWS KMS 做為根金鑰提供者。

集中化的金鑰管理

AWS KMS 為您提供金鑰生命週期和許可的集中化控制。您隨時可以建立新的主金鑰,並控制誰可以管理金鑰,以及誰可以使用金鑰。您也可以匯入自己金鑰管理基礎設施中的金鑰,或使用存放在 AWS CloudHSM 叢集的金鑰,來取代使用 AWS KMS 產生的金鑰。您可選擇每年自動輪換一次在 AWS KMS 中產生的根金鑰,而不需要再次加密先前加密的資料。這項服務會自動保留可用於加密先前加密資料的根金鑰舊版本。您可以透過 AWS 管理主控台,也可以使用 AWS SDK 或 AWS 命令列界面 (CLI),來管理根金鑰,並稽核金鑰的使用情況。

* 匯入金鑰的選項不適用於非對稱金鑰。

AWS 服務整合

AWS KMS 與 AWS 服務整合以加密靜態資料,或使用 AWS KMS 金鑰協助簽名和驗證。為了保護靜態資料,整合的 AWS 服務使用信封加密,其中資料金鑰用於加密資料,且其本身透過存放在 AWS KMS 中的 KMS 金鑰進行加密。為了進行簽名和驗證,整合的 AWS 服務使用 AWS KMS 中的非對稱 KMS 金鑰對。如需有關整合的服務如何使用 AWS KMS 的更多詳細資訊,請參閱您的 AWS 服務相關文件。

可在您的 AWS 帳戶中建立兩種類型的 KMS 金鑰資源:(i) 可在需要時自動建立的 AWS 受管 KMS 金鑰。您可以列出或清點 AWS 受管 KMS 金鑰,並在 AWS CloudTrail 中接收其使用記錄,但該資源的許可由建立它以供使用的 AWS 服務進行管理。(ii) 客戶受管 KMS 金鑰讓您能夠最大程度地控制金鑰的許可和生命週期。

與 AWS KMS 整合的 AWS 服務
Alexa for Business* Amazon Fraud Detector Amazon Personalize AWS Cloud9*
Amazon AppFlow Amazon FSx for Windows File Server Amazon QLDB AWS CloudHSM
Amazon Athena Amazon GuardDuty Amazon Redshift AWS CloudTrail
Amazon Aurora Amazon HealthLake Amazon Rekognition AWS CodeArtifact
Amazon CloudWatch Logs Amazon Kendra Amazon Relational Database Service (RDS) AWS CodeBuild
Amazon CodeGuru  Amazon Keyspaces (適用於 Apache Cassandra) Amazon Route 53 AWS CodeCommit*
Amazon Comprehend Amazon Kinesis Data Streams Amazon S3 AWS CodePipeline
Amazon Connect Amazon Kinesis Firehose Amazon SageMaker AWS Control Tower
Amazon Connect Customer Profiles Amazon Kinesis Video Streams Amazon Simple Email Service (SES) AWS Database Migration Service
Amazon DocumentDB Amazon Lex Amazon Simple Notification Service (SNS) AWS Glue
Amazon DynamoDB Amazon Lightsail* Amazon Simple Queue Service (SQS) AWS Glue DataBrew
Amazon DynamoDB Accelerator (DAX)* Amazon Location Service Amazon Textract AWS IoT SiteWise
Amazon EBS Amazon Lookout for Equipment Amazon Timestream AWS Lambda
Amazon EC2 Image Builder Amazon Lookout for Metrics Amazon Transcribe AWS License Manager
Amazon EFS Amazon Lookout for Vision Amazon Translate AWS Proton
Amazon Elastic Container Registry (ECR) Amazon Macie Amazon WorkMail AWS Secrets Manager
Amazon Elastic Kubernetes Service (EKS) Amazon Managed Blockchain Amazon WorkSpaces AWS Snowball
Amazon Elastic Transcoder Amazon Managed Streaming for Kafka (MSK) AWS Audit Manager AWS Snowball Edge
Amazon ElastiCache Amazon Managed Workflows for Apache Airflow (MWAA) AWS Application Cost Profiler AWS Snowcone
Amazon Elasticsearch Amazon Monitron AWS Application Migration Service AWS Snowmobile
Amazon EMR Amazon MQ AWS App Runner AWS Storage Gateway
Amazon FinSpace Amazon Neptune AWS Backup AWS Systems Manager
Amazon Forecast Amazon Nimble Studio AWS Certificate Manager* AWS X-Ray

*僅支援 AWS 代管 AWS KMS 金鑰。

** 如需與 AWS KMS 整合且位於由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域的服務清單,請瀏覽在中國的 AWS KMS 服務整合

上面未列出的 AWS 服務將使用個別服務擁有和管理的金鑰加密客戶資料。

稽核功能

如果為 AWS 帳戶啟用 AWS CloudTrail,每次向 AWS KMS 提出要求時,都會記錄於日誌檔中,而日誌檔會傳送至您啟用 AWS CloudTrail 時指定的 Amazon S3 儲存貯體。記錄的資訊包括使用者、時間、日期、API 動作和使用的金鑰等詳細資訊。

可擴展性、耐久性及高可用性

AWS KMS 是一項全代管服務。隨著您對加密功能的使用量增加,這項服務會自動擴展以符合您的需求。AWS KMS 可讓您在帳戶中管理數千個 KMS 金鑰並隨需使用。雖然針對金鑰數量和要求率設有預設限制,但您可以視情況需要,要求提高這個限制值。

您建立的 KMS 金鑰,或由其他 AWS 服務為您建立的 KMS 金鑰,都不能從提供的位置匯出。所以,AWS KMS 會負責確保這些金鑰經久耐用。為確保您的金鑰和資料高度可用,這項服務會在系統中存放多個金鑰的加密版本複本,此設計可提供 99.999999999% 的耐久性。

如果您將金鑰匯入到這項服務,就可以擁有一份安全的 KMS 金鑰備份,當您需要使用金鑰時而無法取得時,就可以將這些金鑰重新匯入。如果您使用自訂金鑰存放區功能,在 AWS CloudHSM 叢集中建立 KMS 金鑰,那麼系統會自動備份金鑰的加密複本,您將取得復原程序的完整控制權。

對於跨區域移動的加密資料或數位簽章工作流程 (災難復原、多區域高可用性架構、DynamoDB 全域資料表和全球分散式一致數位簽章),您可以建立 KMS 多區域金鑰,即一組可與可以複寫到多個區域的相同金鑰材料和金鑰 ID。

AWS KMS 設計為與地區 API 端點搭配的高度可用服務。由於大多數 AWS 服務都依賴這項服務進行加密和解密,因此會設計為提供一定的可用性,以支援其餘的 AWS 且遵守 AWS KMS 服務水準協議

安全

AWS KMS 的設計可確保沒有任何人 (包含 AWS 員工) 可從服務擷取您的純文字金鑰。這項服務採用已通過 FIPS 140-2 驗證或正在驗證中的硬體安全模組 (HSM),來保護金鑰的機密性和完整性。純文字金鑰永遠不會寫入磁碟,只要在需要執行請求的加密操作時才會在 HSM 的揮發性記憶體中使用。無論是請求 AWS KMS 代您建立金鑰、將金鑰匯入服務,還是使用自訂金鑰存放功能在 AWS CloudHSM 叢集中建立金鑰,都是如此。由 KMS 服務所建立的金鑰絕不會傳輸到建立金鑰所在的 AWS 區域之外,並且只能在建立金鑰的區域中使用。AWS KMS HSM 韌體的更新會由多方存取控制進行控管,該存取控制是由 Amazon 內部獨立的小組以及符合 FIPS 140-2 標準的 NIST 認證實驗室進行稽核和審查。

若要進一步了解 AWS KMS 的架構方式及其保護金鑰所用的加密技術,請閱讀更多有關 AWS Key Management Service 加密的詳細資訊

* 在由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域,硬體安全模組是經由中國政府核准 (非 FIPS 140-2 驗證),而上述的加密詳細資訊白皮書不適用。 

自訂金鑰存放區

AWS KMS 提供使用由您控制之 HSM 自行建立金鑰存放區的選擇。每個自訂金鑰存放區AWS CloudHSM 叢集提供支援。當您在自訂金鑰存放區中建立 KMS 金鑰,這項服務會針對 KMS 金鑰產生金鑰材料,然後存放到 AWS CloudHSM 叢集,而您將擁有並管理這個叢集。當您使用自訂金鑰存放區中的 KMS 金鑰時,就會在 AWS CloudHSM 叢集對該金鑰執行加密作業。

存放在自訂金鑰存放區的 KMS 金鑰跟任何其他 KMS 金鑰一樣,由您自行管理,並且可與整合了 AWS KMS 的任何 AWS 服務搭配使用。

使用金鑰存放區,需另外支付 AWS CloudHSM 叢集的費用,該叢集中的金鑰材料是否可用,一概由您負責。如需自訂金鑰存放區是否適合您需求的指引,可以參考這個部落格

* 由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域不提供自訂金鑰存放區功能。

**「自訂金鑰存放區」選項不適用於非對稱 KMS 金鑰。

非對稱金鑰

AWS KMS 為您提供建立及使用非對稱 KMS 金鑰和資料金鑰對的功能。您可指定 KMS 金鑰用做簽署金鑰對或加密金鑰對。使用 KMS 金鑰進行金鑰對產生和非對稱加密操作,會在 HSM 內部執行。您可以請求將非對稱 KMS 金鑰的公開部分用於您的本機應用程式中,而私有部分永遠不離開這項服務。

您也可以請求這項服務產生非對稱資料金鑰對。此操作會傳回公開金鑰和私有金鑰的純文字複本,以及以指定非對稱 KMS 金鑰加密的私有金鑰複本。您可以在本機應用程式中使用純文字的公開或私有金鑰,並存放私有金鑰的加密複本供日後使用。

* 由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域無法使用非對稱金鑰。

** 不支援將非對稱金鑰與「自訂金鑰存放區」選項搭配使用。

合規

AWS KMS 中的安全和品質控制已通過下列合規管轄範圍的驗證和認證:

  • AWS 服務組織控制 (SOC 1、SOC 2 及 SOC 3) 報告。您可以在 AWS Artifact 下載這些報告的副本。
  • PCI DSS 第 1 級。有關 AWS 中 PCI DSS 合規服務的更多詳細資訊,可以閱讀 PCI DSS 常見問答集
  • FIPS 140-2。AWS KMS 加密模組整體已通過 FIPS 140-2 第 2 級驗證或正在進行驗證,多個其他類別則通過第 3 級驗證,包含實體安全。如需詳細資訊,請參閱 AWS KMS HSM 的 FIPS 140-2 憑證,以及相關的安全政策
  • FedRAMP。您可以在 FedRAMP 合規取得更多 AWS FedRAMP 合規詳細資訊。
  • HIPAA。如需更多詳細資訊,請參閱 HIPAA 合規頁面
 
以下列出可使用 AWS KMS 且通過相關驗證的其他 合規管轄範圍
 
* FIPS 140-2 不適用於中國區域內的 AWS KMS。中國區域的硬體安全模組由中國政府核准後使用。
Standard Product Icons (Features) Squid Ink
進一步了解產品定價

檢視定價範例和計算您的成本。

進一步了解 
Sign up for a free account
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Standard Product Icons (Start Building) Squid Ink
開始在主控台進行建置

使用 AWS Key Management Service 開始在 AWS 主控台進行建置

登入