AWS-Key-Management-Service-Features

Übersicht

Mit AWS Key Management Service (KMS) können Sie die zum Schutz Ihrer Daten verwendeten kryptografischen Schlüssel steuern. Mit AWS KMS können Sie den Lebenszyklus und die Berechtigungen Ihrer Schlüssel zentral steuern. Sie können jederzeit neue Schlüssel erstellen und steuern, wer Schlüssel verwalten kann, unabhängig davon, wer sie verwenden kann. Der Service ist in andere AWS-Services integriert, was es einfacher macht, Daten, die Sie in diesen Services speichern, zu verschlüsseln und den Zugriff auf die Schlüssel zu kontrollieren, mit denen sie entschlüsselt werden. AWS KMS ist auch in AWS CloudTrail integriert, mit dem Sie überprüfen können, wer welche Schlüssel wann auf welchen Ressourcen verwendet hat. AWS KMS hilft Entwicklern ihrem Anwendungscode auf einfachere Weise Funktionen zur Verschlüsselung oder digitalen Signatur hinzuzufügen, entweder direkt oder mithilfe des AWS-SDK. Das AWS-Verschlüsselungs-SDK unterstützt AWS KMS als Schlüsselanbieter für Entwickler, die Daten in ihren Anwendungen lokal verschlüsseln/entschlüsseln müssen.

Page Topics

Wichtigste Funktionen

Wichtigste Funktionen

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage, die Sie an AWS KMS stellen, in einer Protokolldatei aufgezeichnet. Diese Protokolldatei wird an den Amazon-Simple-Storage-Service-Bucket (Amazon S3) geliefert, den Sie bei der Aktivierung von AWS CloudTrail angegeben haben. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.

AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird der Service automatisch an Ihre Anforderungen skaliert. Er hilft Ihnen, zehntausende KMS-Schlüssel in Ihrem Konto zu verwalten und sie jederzeit zu verwenden. Es werden Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit definiert. Sie können aber bei Bedarf höhere Grenzwerte anfordern.

Die von Ihnen (oder von anderen AWS-Services in Ihrem Auftrag) erstellten KMS-Schlüssel können nicht aus dem Service exportiert werden. Daher übernimmt AWS KMS die Verantwortung für ihre Beständigkeit. Um sicherzustellen, dass Ihre Schlüssel und Ihre Daten hochverfügbar sind, speichert AWS KMS mehrere Kopien der verschlüsselten Versionen Ihrer Schlüssel in Systemen, die für eine Haltbarkeit von 99,999999999 % ausgelegt sind.

Für verschlüsselte Daten oder digitale Signatur-Workflows, die sich über Regionen hinweg bewegen (Notfallwiederherstellung, Multi-Region-Hochverfügbarkeitsarchitekturen, globale DynamoDB-Tabellen und global verteilte konsistente digitale Signaturen), können Sie KMS-Multi-Region-Schlüssel erstellen. KMS-Multiregionsschlüssel sind ein Satz interoperabler Schlüssel mit demselben Schlüsselmaterial und denselben Schlüssel-IDs, die in mehrere Regionen repliziert werden können.

AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS-Services für die Ver- und Entschlüsselung auf AWS KMS angewiesen sind, ist AWS KMS so konzipiert, dass es ein gewisses Maß an Verfügbarkeit bietet. Diese Verfügbarkeit unterstützt den Rest von AWS und ist durch das AWS KMS Service Level Agreement (SLA) abgesichert.

AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet Hardware-Sicherheitsmodule (HSMs), die kontinuierlich im Rahmen des US Das Federal Information Processing Standards (FIPS) 140-2 Validierungsprogramm für kryptografische Module des National Institute of Standards and Technology (NIST) schützt die Vertraulichkeit und Integrität Ihrer Schlüssel. AWS-KMS-HSMs sind die kryptografische Vertrauensbasis für den Schutz von KMS-Schlüsseln. Sie bilden eine sichere hardwareschützte Grenze für alle kryptografischen Operationen, die in KMS stattfinden. Das gesamte Schlüsselmaterial für KMS-Schlüssel, das in AWS-KMS-HSMs generiert wird, und alle Vorgänge, die entschlüsseltes KMS-Schlüsselmaterial erfordern, erfolgen ausschließlich innerhalb der FIPS-140-2-Sicherheitsstufe 3 dieser HSMs. Aktualisierungen der HSM-Firmware von AWS KMS werden durch eine Zugriffskontrolle mit mehreren Parteien gesteuert, die von einer unabhängigen Gruppe innerhalb von Amazon geprüft und überprüft wird. Gemäß den FIPS-140-Anforderungen werden alle Firmware-Änderungen an KMS-HSMs zur Validierung gemäß FIPS-140-2 Sicherheitsstufe 3 an ein vom NIST akkreditiertes Labor übermittelt.

Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. Dies gilt unabhängig davon, ob Sie AWS KMS auffordern, in Ihrem Namen Schlüssel zu erstellen, sie in den Service zu importieren oder sie mit dem Feature zum Speichern benutzerdefinierter Schlüssel in einem AWS-CloudHSM-Cluster zu erstellen. Sie wählen, ob Sie Schlüssel für einzelne Regionen oder Schlüssel für mehrere Regionen erstellen möchten. Schlüssel, die von KMS erstellt werden, werden niemals außerhalb der AWS-Region verwendet, in der sie erstellt wurden, und sie können auch nur in der Region verwendet werden, in der sie erstellt wurden.
 

Weitere Informationen zur Architektur von AWS KMS und der zum Sichern Ihrer Schlüssel verwendeten Kryptografie finden Sie im Whitepaper der kryptografischen Details zu AWS KMS.

* Die HSMs sind in der von der Beijing Sinnet Technology Co., Ltd. („Sinnet“) Sinnet betriebenen Region AWS China (Peking), und in der von Ningxia Western Cloud Data Technology Co., Ltd. (NWCD) betriebenen Region AWS China (Ningxia) verfügbar. Sie sind von der chinesischen Regierung genehmigt (nicht FIPS 140-2-validiert), und das oben genannte Whitepaper zu den kryptografischen Details ist hier nicht gültig.  

Mit AWS KMS können Sie asymmetrische KMS-Schlüssel und Datenschlüsselpaare erstellen und verwenden. Sie können einen KMS-Schlüssel für die Verwendung als Signierschlüsselpaar, als Verschlüsselungsschlüsselpaar oder als Schlüsselvereinbarungsschlüsselpaar zuweisen. Die Schlüsselpaargenerierung und asymmetrische kryptografische Operationen unter Verwendung dieser KMS-Schlüssel werden innerhalb von HSMs durchgeführt. Sie können den öffentlichen Teil des asymmetrischen KMS-Schlüssels zur Verwendung in Ihren lokalen Anwendungen anfordern, während der private Teil den Service nie verlässt. Sie können den privaten Teil eines asymmetrischen Schlüssels aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.

Sie können den Service auch auffordern, ein asymmetrisches Datenschlüsselpaar zu generieren. Diese Operation gibt eine Klartextkopie des öffentlichen Schlüssels, des privaten Schlüssels und eine Kopie des privaten Schlüssels zurück, die unter einem von Ihnen angegebenen symmetrischen KMS-Schlüssel verschlüsselt ist. Sie können den öffentlichen oder privaten Klartextschlüssel in Ihrer lokalen Anwendung verwenden und die verschlüsselte Kopie des privaten Schlüssels für die zukünftige Verwendung speichern.

** Asymmetrische Schlüssel werden mit den benutzerdefinierten Schlüsselspeichern nicht unterstützt.

Sie können Hash-basierte Nachrichtenauthentifizierungscodes (HMACs) in den HSMs-140-2-validierten von AWS KMS erzeugen und verifizieren. HMACs sind kryptografische Bausteine, die geheimes Schlüsselmaterial in eine Hash-Funktion einbeziehen, um einen eindeutigen verschlüsselten Nachrichtenauthentifizierungscode zu entwickeln. HMAC-KMS-Schlüssel bieten einen Vorteil gegenüber HMAC-Schlüsseln aus Anwendungssoftware, weil das Schlüsselmaterial vollständig innerhalb von AWS KMS erzeugt und verwendet wird. Sie unterliegen auch den Zugriffskontrollen, die Sie für den Schlüssel festgelegt haben. Die HMAC-KMS-Schlüssel und die HMAC-Algorithmen, die AWS KMS verwendet, entsprechen den in RFC 2104 definierten Industriestandards. HMAC-KMS-Schlüssel werden in AWS-KMS-Hardware-Sicherheitsmodulen generiert, die nach dem FIPS 140-2 Cryptographic Module Validation Program zertifiziert sind und AWS KMS niemals unverschlüsselt verlassen. Sie können auch Ihren eigenen HMAC-Schlüssel aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.

*AWS-KMS-HMAC-Schlüssel werden in benutzerdefinierten Schlüsselspeichern nicht unterstützt.
* FIPS 140-2 gilt nicht für AWS KMS in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia). Die HSMs in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Systeme validiert und zertifiziert:

  • AWS-Berichte für System- und Organisationskontrollen (SOC) (SOC 1, SOC 2 und SOC 3). Eine Kopie der Berichte können Sie unter AWS Artifact herunterladen.
  • Katalog für Cloud-Computing-Compliance-Kontrollen (C5). Erfahren Sie mehr über das von der deutschen Bundesregierung unterstützte Bescheinigungssystem C5.
  • Payment Card Industry Data Security Standard (PCI DSS) Level 1. Erfahren Sie mehr über PCI-DSS-konforme Services in AWS unter Häufig gestellte Fragen zu PCI DSS.
  • Federal Information Processing Standards (FIPS) 140-2. Das kryptografische Modul von AWS KMS wurde von den USA nach FIPS-140-2-Sicherheitsstufe 3 validiert. National Institute of Standards and Technology (NIST). Erfahren Sie mehr, indem Sie sich das FIPS-140-2-Zertifikat für AWS KMS HSM und die zugehörige Sicherheitsrichtlinie ansehen.
  • Federal Risk and Authorization Management Program (FedRAMP). Weitere Informationen zur AWS-FedRAMP-Compliance finden Sie unter FedRAMP-Compliance.
  • Health Insurance Portability and Accountability Act (HIPAA). Weitere Informationen finden Sie auf der HIPAA-Compliance-Webseite.

AWS KMS ist für andere hier aufgeführte Konformitätsregelungen validiert und zertifiziert.

* FIPS 140-2 gilt nicht für AWS KMS in der Region AWS China (Peking), die von Sinnet betrieben wird, sowie in der Region AWS China (Ningxia), die von NWCD betrieben wird. Die HSMs in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.

Benutzerdefinierte Schlüsselspeicher kombinieren die bequeme und umfassende Schlüsselverwaltungsschnittstelle von AWS KMS mit der Möglichkeit, das/die Gerät(e) zu besitzen und zu kontrollieren, auf dem/denen Schlüsselmaterial und kryptografische Operationen stattfinden. Infolgedessen übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit der kryptografischen Schlüssel und für den Betrieb der HSMs. AWS KMS bietet zwei Arten von benutzerdefinierten Schlüsselspeichern:

CloudHSM-gesicherter Schlüsselspeicher

Sie können einen KMS-Schlüssel in einem benutzerdefinierten AWS-CloudHSM-Schlüsselspeicher erstellen, indem alle Schlüssel erzeugt und in einem AWS-CloudHSM-Cluster gespeichert werden, die Sie besitzen und verwalten. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge unter diesem Schlüssel ausschließlich in Ihrem AWS-CloudHSM-Cluster ausgeführt.

Die Verwendung eines benutzerdefinierten Schlüsselspeichers ist mit zusätzlichen Kosten für den AWS-CloudHSM-Cluster verbunden und Sie übernehmen die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.

Externer Schlüsselspeicher

Wenn Sie aus rechtlichen Gründen Ihre Verschlüsselungsschlüssel vor Ort oder außerhalb der AWS Cloud speichern und verwenden müssen, können Sie einen KMS-Schlüssel in einem externen AWS-KMS-Schlüsselspeicher (XKS) erstellen, bei dem alle Schlüssel in einem externen Schlüsselmanager außerhalb von AWS erzeugt und gespeichert werden, den Sie besitzen und verwalten. Wenn Sie ein XKS verwenden, verlässt Ihr Schlüsselmaterial niemals Ihr HSM.

Im Gegensatz zu Standard-KMS-Schlüsseln oder einem Schlüssel in einem benutzerdefinierten CloudHSM-Schlüsselspeicher sind Sie bei der Verwendung eines externen Schlüsselspeichers für die Haltbarkeit, Verfügbarkeit, Latenz, Leistung und Sicherheit des Schlüsselmaterials und die kryptografischen Vorgänge für externe Schlüssel verantwortlich. Die Leistung und Verfügbarkeit des KMS-Betriebs kann durch die Hardware-, Software- oder Netzwerkkomponenten der von Ihnen verwendeten XKS-Infrastruktur beeinträchtigt werden. Um mehr über XKS zu erfahren, lesen Sie diesen Blog zu AWS-Neuigkeiten.

* Benutzerdefinierte Schlüsselspeicher sind in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia) nicht verfügbar.
**Benutzerdefinierte Schlüsselspeicher sind für asymmetrische KMS-Schlüssel nicht verfügbar.
*** CodeArtifact unterstützt keine KMS-Schlüssel in einem XKS.

Sie können AWS KMS mit clientseitigen Verschlüsselungsbibliotheken verwenden, um Daten direkt in Ihrer Anwendung auf AWS oder in Hybrid- und Multicloud-Umgebungen zu schützen. Sie können diese Bibliotheken verwenden, um Daten zu verschlüsseln, bevor Sie sie in AWS-Services oder anderen Speichermedien und Services von Drittanbietern speichern. Diese Bibliotheken wurden entwickelt, um Ihnen bei der Ver- und Entschlüsselung von Daten mithilfe von Branchenstandards und bewährten Methode. Mithilfe der Verschlüsselungsbibliotheken können Sie sich auf die Kernfunktionalität Ihrer Anwendung konzentrieren und müssen sich nicht mit der Ver- und Entschlüsselung Ihrer Daten befassen.

  • Das AWS-Verschlüsselungs-SDK ist ein allgemeines Verschlüsselungs-Portfolio zur Implementierung von Verschlüsselungs- und Entschlüsselungsvorgängen für alle Datentypen.
  • Das AWS-Datenbankverschlüsselungs-SDK ist ein Verschlüsselungs-Portfolio, die Sie bei der Sicherung vertraulicher Daten in Ihrer Datenbank unterstützt und zusätzliche Funktionen für die Suche und Abfrage verschlüsselter Daten bereitstellt.
  • Der Amazon-S3-Verschlüsselungs-Client ist ein Verschlüsselungs-Portfolio zum Verschlüsseln und Entschlüsseln von Objekten, die in Ihrem S3-Bucket gespeichert sind.

Weitere Informationen finden Sie in der Dokumentation zu AWS Crypto Tools.

AWS-Service-Integration

AWS KMS integriert sich in AWS-Services, um Data-at-Rest zu verschlüsseln oder um die Signierung und Verifizierung mit einem AWS-KMS-Schlüssel zu erleichtern. Zum Schutz der Data-at-Rest verwenden die integrierten AWS-Services die Umschlagverschlüsselung, bei der ein Datenschlüssel zur Verschlüsselung der Daten verwendet wird, der selbst unter einem im AWS KMS gespeicherten KMS-Schlüssel verschlüsselt ist. Zum Signieren und Verifizieren verwenden die integrierten AWS-Services asymmetrische RSA- oder ECC-KMS-Schlüssel in AWS KMS. Weitere Details darüber, wie ein integrierter Service AWS KMS verwendet, finden Sie in der Dokumentation für Ihren AWS-Service.

Alexa for Business[1] Amazon FSx Amazon Rekognition AWS CodePipeline
Amazon AppFlow Amazon GuardDuty Amazon Relational Database Service (RDS) AWS Control Tower
Amazon Athena Amazon HealthLake Amazon Route 53 AWS Data Exchange
Amazon Aurora Amazon Inspector Amazon Simple Storage Service (Amazon S3)[3] AWS Database Migration Service
Amazon Chime SDK Amazon Kendra Amazon SageMaker AWS DeepRacer
Amazon CloudWatch Logs Amazon Keyspaces (für Apache Cassandra) Amazon Simple Email Service (SES)
AWS Elastic Disaster Recovery
Amazon CloudWatch Synthetics Amazon Kinesis Data Streams Amazon Simple Notification Service (SNS) AWS Elemental MediaTailor
Amazon CodeGuru Amazon Kinesis Firehose Amazon Simple Queue Service (SQS) AWS Entity Resolution
Amazon CodeWhisperer Amazon Kinesis Video Streams Amazon Textract AWS GameLift
Amazon Comprehend Amazon Lex Amazon Timestream AWS Glue
Amazon Connect Amazon Lightsail[1] Amazon Transcribe AWS Glue DataBrew
Amazon Connect Customer Profiles Amazon Location Service Amazon Translate AWS Ground Station
Amazon Connect Voice ID Amazon Lookout für Equipment Amazon WorkMail AWS IoT SiteWise
Amazon Connect Wisdom Amazon Lookout für Metrics Amazon WorkSpaces AWS Lambda
Amazon DocumentDB Amazon Lookout für Vision Amazon WorkSpaces Thin Client AWS License Manager
Amazon DynamoDB Amazon Macie Amazon WorkSpaces Web AWS Mainframe Modernization
Amazon DynamoDB Accelerator (DAX)[1]
Amazon Managed Blockchain AWS AppConfig AWS Network Firewall
Amazon EBS Amazon Managed Service für
Prometheus
AWS AppFabric AWS Proton
Amazon EC2 Image Builder Amazon Managed Streaming für Kafka (MSK) AWS Application Cost Profiler AWS Secrets Manager
Amazon EFS Amazon Managed Workflows für Apache Airflow (MWAA) AWS Application Migration Service AWS Snowball 
Amazon Elastic Container Registry (ECR) Amazon MemoryDB AWS App Runner AWS Snowball Edge
Amazon Elastic Kubernetes Service (EKS) Amazon Monitron AWS Audit Manager AWS Snowcone
Amazon Elastic Transcoder Amazon MQ AWS Backup AWS Storage Gateway
Amazon ElastiCache Amazon Neptune AWS Certificate Manager[1] AWS Systems Manager
Amazon EMR Amazon Nimble Studio AWS Cloud9[1] AWS Supply Chain
Amazon EMR Serverless Amazon OpenSearch AWS CloudHSM[2] AWS Verified Access
Amazon EventBridge Scheduler Amazon Omics AWS CloudTrail AWS X-Ray
Amazon FinSpace Amazon Personalize AWS CodeArtifact  
Amazon Forecast Amazon QLDB AWS CodeBuild  
Amazon Fraud Detector Amazon Redshift AWS CodeCommit[1]  

[1] Unterstützt ausschließlich von AWS verwaltete Schlüssel.

[2] AWS KMS unterstützt benutzerdefinierte Schlüsselspeicher, die vom AWS-CloudHSM-Cluster gesichert werden.

[3] S3 Express One Zone ist nicht in AWS KMS integriert, unterstützt aber serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3). Weitere Informationen zur Objektverschlüsselung in S3 Express One Zone finden Sie unter S3-Express-One-Zone-Datensicherung und -Verschlüsselung.

[4] Eine Liste der in AWS KMS integrierten Services in der AWS-Region China (Peking), betrieben von Sinnet, sowie in der AWS-Region China (Ningxia), betrieben von NWCD, finden Sie unter AWS KMS Service-Integration in China.

Oben nicht aufgeführte AWS-Services verschlüsseln Kundendaten automatisch über die Verwendung von Schlüsseln, die im Eigentum des Services sind und durch diesen verwaltet werden.