概觀

AWS Key Management Service (KMS) 可讓您集中控管用來保護資料的加密金鑰。 這項服務整合了其他 AWS 服務,讓您可以輕鬆加密存放在這些服務中的資料,並控制解密金鑰的存取權。AWS KMS 已經與 AWS CloudTrail 整合,您可以稽核誰使用哪些金鑰、用於哪些資源以及使用的時間。AWS KMS 可讓開發人員透過直接或使用 AWS 開發套件的方式,更輕鬆地為其應用程式的程式碼新增加密或數位簽章功能。對於必須在本機加密/解密應用程式資料的開發人員來說,AWS Encryption SDK 支援 AWS KMS 做為主金鑰提供者。

集中化的金鑰管理

AWS KMS 為您提供金鑰生命週期和許可的集中化控制。您隨時可以建立新的主金鑰,並控制誰可以管理金鑰,以及誰可以使用金鑰。您也可以匯入自己金鑰管理基礎建設中的金鑰,或使用存放在 AWS CloudHSM 叢集的金鑰,來取代使用 AWS KMS 產生的金鑰。您可選擇每年自動輪換一次在 AWS KMS 中產生的主金鑰,而不需要再次加密先前加密的資料。這項服務會自動保留可用於加密先前加密資料的主金鑰舊版本。您可以透過 AWS 管理主控台,也可以使用 AWS SDK 或 AWS 命令列介面 (CLI),來管理主金鑰,並稽核金鑰的使用情況。

* 匯入金鑰的選項不適用於非對稱金鑰。

AWS 服務整合

AWS KMS 已與大部分的 AWS 服務無縫整合。這些整合使用信封加密,AWS 服務用於加密資料的資料加密金鑰會在存放於 AWS KMS 的客戶主金鑰 (CMK) 之下受到保護。CMK 有兩種類型:(i) AWS 代管 CMK - 在 AWS 服務中首次建立加密資源服務時,會自動建立這種金鑰。您可以追蹤 AWS 代管 CMK 的使用情況,但金鑰的生命週期和許可管理會由該服務代勞。(ii) 客戶代管 CMK - 只有您可以建立這類金鑰。客戶代管 CMK 可讓您完全控制生命週期和許可,決定誰可以使用金鑰,以及在哪些情況下使用。

與 AWS KMS 整合的 AWS 服務
Alexa for Business* Amazon EMR Amazon Relational Database Service (RDS) AWS CodeBuild
Amazon Athena Amazon Forecast Amazon S3 AWS CodeCommit*
Amazon Aurora Amazon FSx for Windows File Server Amazon SageMaker AWS CodeDeploy
Amazon CloudWatch Logs Amazon Glacier Amazon Simple Email Service (SES) AWS CodePipeline
Amazon Comprehend* Amazon Kinesis Data Streams Amazon Simple Notification Service (SNS) AWS Database Migration Service
Amazon Connect Amazon Kinesis Firehose Amazon Simple Queue Service (SQS) AWS Glue
Amazon DocumentDB Amazon Kinesis Video Streams Amazon Transcribe AWS Lambda
Amazon DynamoDB Accelerator (DAX)* Amazon Lex Amazon Translate AWS Secrets Manager
Amazon DynamoDB* Amazon Lightsail* Amazon WorkMail AWS Snowball
Amazon EBS Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces AWS Snowball Edge
Amazon EFS Amazon MQ AWS Backup AWS Snowmobile
Amazon Elastic Transcoder Amazon Neptune AWS Certificate Manager* AWS Storage Gateway
Amazon ElastiCache Amazon Personalize AWS Cloud9* AWS Systems Manager
Amazon Elasticsearch Service Amazon Redshift AWS CloudTrail AWS X-Ray

*僅支援 AWS 代管 AWS KMS 金鑰。

** 如需與 AWS KMS 整合且位於由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域的服務清單,請瀏覽在中國的 AWS KMS 服務整合

上面未列出的 AWS 服務將使用個別服務擁有和管理的金鑰加密客戶資料。

稽核功能

如果為 AWS 帳戶啟用 AWS CloudTrail,每次向 AWS KMS 提出要求時,都會記錄於日誌檔中,而日誌檔會傳送至您啟用 AWS CloudTrail 時指定的 Amazon S3 儲存貯體。記錄的資訊包括使用者、時間、日期、API 動作和使用的金鑰等詳細資訊。

可擴展性、耐久性及高可用性

AWS KMS 是一項全代管服務。隨著您對加密功能的使用量增加,這項服務會自動調整以符合您的需求。AWS KMS 可讓您在帳戶中管理數千個 CMK 並隨需使用。雖然針對金鑰數量和要求率設有預設限制,但您可以視情況需要,要求提高這個限制值。

您建立的 CMK,或由其他 AWS 服務為您建立的 CMK,都不能從提供的位置匯出。所以,AWS KMS 會負責確保這些金鑰經久耐用。為確保您的金鑰和資料高度可用,這項服務會在系統中儲存多個金鑰的加密版本複本,此設計可提供 99.999999999% 的耐久性。

如果您將金鑰匯入到這項服務,就可以擁有一份安全的 CMK 備份,當您需要使用金鑰時而無法取得時,就可以將這些金鑰重新匯入。如果您使用自訂金鑰存放區功能,在 AWS CloudHSM 叢集中建立 CMK,那麼系統會自動備份金鑰的加密副本,您將取得復原程序的完整控制權。

AWS KMS 設計為與地區 API 端點搭配的高度可用服務。由於大多數 AWS 服務都依賴這項服務進行加密和解密,因此會設計為提供一定的可用性,以支援其餘的 AWS 且遵守 AWS KMS 服務水準協議

安全

AWS KMS 的設計可確保沒有任何人 (包含 AWS 員工) 可從服務擷取您的純文字金鑰。這項服務採用已通過 FIPS 140-2 驗證或正在驗證中的硬體安全模組 (HSM),來保護金鑰的機密性和完整性。無論是請求 AWS KMS 代您建立金鑰、自行在 AWS CloudHSM 叢集中建立金鑰,或將金鑰匯入服務,都是如此。純文字金鑰永遠不會寫入磁碟,只要在需要執行請求的加密操作時才會在 HSM 的揮發性記憶體中使用。由 KMS 服務所建立的金鑰絕不會傳輸到建立金鑰所在的 AWS 區域之外,並且只能在建立金鑰的區域中使用。AWS KMS HSM 韌體的更新會由多方存取控制進行控管,該存取控制是由 Amazon 內部獨立的小組以及符合 FIPS 140-2 標準的 NIST 認證實驗室進行稽核和審查。

若要進一步了解 AWS KMS 的架構方式及其保護金鑰所用的加密技術,請閱讀 AWS Key Management Service 加密詳細資訊白皮書

* 在由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域,硬體安全模組是經由中國政府核准 (非 FIPS 140-2 驗證),而上述的加密詳細資訊白皮書不適用。 

自訂金鑰存放區

AWS KMS 提供使用由您控制之 HSM 自行建立金鑰存放區的選擇。每個自訂金鑰存放區AWS CloudHSM 叢集提供支援。當您在自訂金鑰存放區中建立 CMK,這項服務會針對 CMK 產生金鑰材料,然後存放到 AWS CloudHSM 叢集,而您將擁有並管理這個叢集。當您使用自訂金鑰存放區中的 CMK 時,就會在 AWS CloudHSM 叢集對該金鑰執行加密作業。

存放在自訂金鑰存放區的 CMK 跟任何其他 CMK 一樣,由您自行管理,並且可與整合了 AWS KMS 的任何 AWS 服務搭配使用。

使用金鑰存放區,需另外支付 AWS CloudHSM 叢集的費用,該叢集中的金鑰材料是否可用,一概由您負責。如需自訂金鑰存放區是否適合您需求的指引,可以參考這個部落格

* 由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域不提供自訂金鑰存放區功能。

**「自訂金鑰存放區」選項不適用於非對稱 CMK。

非對稱金鑰

AWS KMS 為您提供建立及使用非對稱 CMK 和資料金鑰對的功能。您可指定 CMK 用做簽署金鑰對或加密金鑰對。使用 CMK 進行金鑰對產生和非對稱加密操作,會在 HSM 內部執行。您可以請求將非對稱 CMK 的公開部分用於您的本機應用程式中,而私有部分永遠不離開這項服務。

您也可以請求這項服務產生非對稱資料金鑰對。此操作會傳回公開金鑰和私有金鑰的純文字副本,以及以指定非對稱 CMK 加密的私有金鑰副本。您可以在本機應用程式中使用純文字的公開或私有金鑰,並保存私有金鑰的加密副本供日後使用。

* 由 Sinnet 營運的 AWS 中國 (北京) 區域和由 NWCD 營運的 AWS 中國 (寧夏) 區域無法使用非對稱金鑰。

** 不支援將非對稱金鑰與「自訂金鑰存放區」選項搭配使用。

合規

AWS KMS 中的安全和品質控制已通過下列合規管轄範圍的驗證和認證:

  • AWS 服務組織控制 (SOC 1、SOC 2 及 SOC 3) 報告。您可以在 AWS Artifact 下載這些報告的副本。
  • PCI DSS 第 1 級。有關 AWS 中 PCI DSS 合規服務的更多詳細資訊,可以閱讀 PCI DSS 常見問答集
  • FIPS 140-2。AWS KMS 加密模組整體已通過 FIPS 140-2 第 2 級驗證或正在進行驗證,多個其他類別則通過第 3 級驗證,包含實體安全。如需詳細資訊,請參閱 AWS KMS HSM 的 FIPS 140-2 憑證,以及相關的安全政策
  • FedRAMP。您可以在 FedRAMP 合規取得更多 AWS FedRAMP 合規詳細資訊。
  • HIPAA。如需更多詳細資訊,請參閱 HIPAA 合規頁面
 
以下列出可使用 AWS KMS 且通過相關驗證的其他 合規管轄範圍
 
* FIPS 140-2 不適用於中國區域內的 AWS KMS。中國區域的硬體安全模組由中國政府核准後使用。
Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解產品定價

檢視定價範例和計算您的成本。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

使用 AWS Key Management Service 開始在 AWS 主控台進行建置

登入