Übersicht

Mit AWS Key Management Service (KMS) können Sie die zum Schutz Ihrer Daten verwendeten kryptografischen Schlüssel steuern. Mit AWS KMS können Sie den Lebenszyklus und die Berechtigungen Ihrer Schlüssel zentral steuern. Sie können jederzeit neue Schlüssel erstellen und steuern, wer Schlüssel verwalten kann, unabhängig davon, wer sie verwenden kann. Der Service ist in andere AWS-Services integriert, was es einfacher macht, Daten, die Sie in diesen Services speichern, zu verschlüsseln und den Zugriff auf die Schlüssel zu kontrollieren, mit denen sie entschlüsselt werden. AWS KMS ist auch in AWS CloudTrail integriert, mit dem Sie überprüfen können, wer welche Schlüssel wann auf welchen Ressourcen verwendet hat. AWS KMS hilft Entwicklern ihrem Anwendungscode auf einfachere Weise Funktionen zur Verschlüsselung oder digitalen Signatur hinzuzufügen, entweder direkt oder mithilfe des AWS-SDK. Das AWS-Verschlüsselungs-SDK unterstützt AWS KMS als Schlüsselanbieter für Entwickler, die Daten in ihren Anwendungen lokal verschlüsseln/entschlüsseln müssen.

Page Topics

Wichtigste Funktionen

Wichtigste Funktionen

Open all

Wenn Sie AWS CloudTrail für Ihr AWS-Konto aktiviert haben, wird jede Anfrage, die Sie an AWS KMS stellen, in einer Protokolldatei aufgezeichnet. Diese Protokolldatei wird an den HAQM-Simple-Storage-Service-Bucket (HAQM S3) geliefert, den Sie bei der Aktivierung von AWS CloudTrail angegeben haben. Die aufgezeichneten Informationen enthalten Details zu Benutzer, Zeit, Datum, API-Aktion, und, falls zutreffend, zum verwendetem Schlüssel.

AWS KMS ist ein vollständig verwalteter Service. Mit zunehmender Verwendung der Verschlüsselung wird der Service automatisch an Ihre Anforderungen skaliert. Er hilft Ihnen, zehntausende KMS-Schlüssel in Ihrem Konto zu verwalten und sie jederzeit zu verwenden. Es werden Standardgrenzwerte für die Schlüsselanzahl und die Anfragehäufigkeit definiert. Sie können aber bei Bedarf höhere Grenzwerte anfordern.

Die von Ihnen (oder von anderen AWS-Services in Ihrem Auftrag) erstellten KMS-Schlüssel können nicht aus dem Service exportiert werden. Daher übernimmt AWS KMS die Verantwortung für ihre Beständigkeit. Um sicherzustellen, dass Ihre Schlüssel und Ihre Daten hochverfügbar sind, speichert AWS KMS mehrere Kopien der verschlüsselten Versionen Ihrer Schlüssel in Systemen, die für eine Haltbarkeit von 99,999999999 % ausgelegt sind.

Für verschlüsselte Daten oder digitale Signatur-Workflows, die sich über Regionen hinweg bewegen (Notfallwiederherstellung, Multi-Region-Hochverfügbarkeitsarchitekturen, globale DynamoDB-Tabellen und global verteilte konsistente digitale Signaturen), können Sie KMS-Multi-Region-Schlüssel erstellen. KMS-Multiregionsschlüssel sind ein Satz interoperabler Schlüssel mit demselben Schlüsselmaterial und denselben Schlüssel-IDs, die in mehrere Regionen repliziert werden können.

AWS KMS wurde als Hochverfügbarkeitsservice mit einem regionalen API-Endpunkt konzipiert. Da die meisten AWS-Services für die Ver- und Entschlüsselung auf AWS KMS angewiesen sind, ist AWS KMS so konzipiert, dass es ein gewisses Maß an Verfügbarkeit bietet. Diese Verfügbarkeit unterstützt den Rest von AWS und ist durch das AWS KMS Service Level Agreement (SLA) abgesichert.

AWS KMS ist so aufgebaut, dass niemand, auch keine Angestellten von AWS, Ihre Schlüssel im Klartext aus dem Service abrufen kann. Der Service verwendet Hardware-Sicherheitsmodule (HSMs), die kontinuierlich im Rahmen des US Das Federal Information Processing Standards (FIPS) 140-3 Validierungsprogramm für kryptografische Module des National Institute of Standards and Technology (NIST) schützt die Vertraulichkeit und Integrität Ihrer Schlüssel. AWS-KMS-HSMs sind die kryptografische Vertrauensbasis für den Schutz von KMS-Schlüsseln. Sie bilden eine sichere hardwareschützte Grenze für alle kryptografischen Operationen, die in KMS stattfinden. Das gesamte Schlüsselmaterial für KMS-Schlüssel, das in AWS-KMS-HSMs generiert wird, und alle Vorgänge, die entschlüsseltes KMS-Schlüsselmaterial erfordern, erfolgen ausschließlich innerhalb der FIPS-140-3-Sicherheitsstufe 3 dieser HSMs. Aktualisierungen der HSM-Firmware von AWS KMS werden durch eine Zugriffskontrolle mit mehreren Parteien gesteuert, die von einer unabhängigen Gruppe innerhalb von HAQM geprüft und überprüft wird. Gemäß den FIPS-140-Anforderungen werden alle Firmware-Änderungen an KMS-HSMs zur Validierung gemäß FIPS-140-3 Sicherheitsstufe 3 an ein vom NIST akkreditiertes Labor übermittelt.

Ihre Klartext-Schlüssel werden zu keiner Zeit auf die Platte geschrieben, sondern lediglich für die Dauer der von Ihnen angeforderten kryptografischen Operation im flüchtigen Speicher der HSMs verwendet. Dies gilt unabhängig davon, ob Sie AWS KMS auffordern, in Ihrem Namen Schlüssel zu erstellen, sie in den Service zu importieren oder sie mit dem Feature zum Speichern benutzerdefinierter Schlüssel in einem AWS-CloudHSM-Cluster zu erstellen. Sie wählen, ob Sie Schlüssel für einzelne Regionen oder Schlüssel für mehrere Regionen erstellen möchten. Schlüssel, die von KMS erstellt werden, werden niemals außerhalb der AWS-Region verwendet, in der sie erstellt wurden, und sie können auch nur in der Region verwendet werden, in der sie erstellt wurden.
 

Weitere Informationen zur Architektur von AWS KMS und der zum Sichern Ihrer Schlüssel verwendeten Kryptografie finden Sie im Whitepaper der kryptografischen Details zu AWS KMS.

* Die HSMs sind in der von der Beijing Sinnet Technology Co., Ltd. („Sinnet“) Sinnet betriebenen Region AWS China (Peking), und in der von Ningxia Western Cloud Data Technology Co., Ltd. (NWCD) betriebenen Region AWS China (Ningxia) verfügbar. Sie sind von der chinesischen Regierung genehmigt (nicht FIPS 140-3-validiert), und das oben genannte Whitepaper zu den kryptografischen Details ist hier nicht gültig.  

Mit AWS KMS können Sie asymmetrische KMS-Schlüssel und Datenschlüsselpaare erstellen und verwenden. Sie können einen KMS-Schlüssel für die Verwendung als Signierschlüsselpaar, als Verschlüsselungsschlüsselpaar oder als Schlüsselvereinbarungsschlüsselpaar zuweisen. Die Schlüsselpaargenerierung und asymmetrische kryptografische Operationen unter Verwendung dieser KMS-Schlüssel werden innerhalb von HSMs durchgeführt. Sie können den öffentlichen Teil des asymmetrischen KMS-Schlüssels zur Verwendung in Ihren lokalen Anwendungen anfordern, während der private Teil den Service nie verlässt. Sie können den privaten Teil eines asymmetrischen Schlüssels aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.

Sie können den Service auch auffordern, ein asymmetrisches Datenschlüsselpaar zu generieren. Diese Operation gibt eine Klartextkopie des öffentlichen Schlüssels, des privaten Schlüssels und eine Kopie des privaten Schlüssels zurück, die unter einem von Ihnen angegebenen symmetrischen KMS-Schlüssel verschlüsselt ist. Sie können den öffentlichen oder privaten Klartextschlüssel in Ihrer lokalen Anwendung verwenden und die verschlüsselte Kopie des privaten Schlüssels für die zukünftige Verwendung speichern.

** Asymmetrische Schlüssel werden mit den benutzerdefinierten Schlüsselspeichern nicht unterstützt.

Sie können Hash-basierte Nachrichtenauthentifizierungscodes (HMACs) in den HSMs-140-3-validierten von AWS KMS erzeugen und verifizieren. HMACs sind kryptografische Bausteine, die geheimes Schlüsselmaterial in eine Hash-Funktion einbeziehen, um einen eindeutigen verschlüsselten Nachrichtenauthentifizierungscode zu entwickeln. HMAC-KMS-Schlüssel bieten einen Vorteil gegenüber HMAC-Schlüsseln aus Anwendungssoftware, weil das Schlüsselmaterial vollständig innerhalb von AWS KMS erzeugt und verwendet wird. Sie unterliegen auch den Zugriffskontrollen, die Sie für den Schlüssel festgelegt haben. Die HMAC-KMS-Schlüssel und die HMAC-Algorithmen, die AWS KMS verwendet, entsprechen den in RFC 2104 definierten Industriestandards. HMAC-KMS-Schlüssel werden in AWS-KMS-Hardware-Sicherheitsmodulen generiert, die nach dem FIPS 140-3 Cryptographic Module Validation Program zertifiziert sind und AWS KMS niemals unverschlüsselt verlassen. Sie können auch Ihren eigenen HMAC-Schlüssel aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren.

*AWS-KMS-HMAC-Schlüssel werden in benutzerdefinierten Schlüsselspeichern nicht unterstützt.
* FIPS 140-3 gilt nicht für AWS KMS in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia). Die HSMs in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.

Die Sicherheits- und Qualitätskontrollen in AWS KMS wurden gemäß der folgenden Compliance-Systeme validiert und zertifiziert:

  • AWS-Berichte für System- und Organisationskontrollen (SOC) (SOC 1, SOC 2 und SOC 3). Eine Kopie der Berichte können Sie unter AWS Artifact herunterladen.
  • Katalog für Cloud-Computing-Compliance-Kontrollen (C5). Erfahren Sie mehr über das von der deutschen Bundesregierung unterstützte Bescheinigungssystem C5.
  • Payment Card Industry Data Security Standard (PCI DSS) Level 1. Erfahren Sie mehr über PCI-DSS-konforme Services in AWS unter Häufig gestellte Fragen zu PCI DSS.
  • Federal Information Processing Standards (FIPS) 140-3. Das kryptografische Modul von AWS KMS wurde von den USA nach FIPS-140-3-Sicherheitsstufe 3 validiert. National Institute of Standards and Technology (NIST). Erfahren Sie mehr, indem Sie sich das FIPS-140-3-Zertifikat für AWS KMS HSM und die zugehörige Sicherheitsrichtlinie ansehen.
  • Federal Risk and Authorization Management Program (FedRAMP). Weitere Informationen zur AWS-FedRAMP-Compliance finden Sie unter FedRAMP-Compliance.
  • Health Insurance Portability and Accountability Act (HIPAA) gilt. Weitere Informationen finden Sie auf der HIPAA-Compliance-Webseite.

AWS KMS ist für andere hier aufgeführte Konformitätsregelungen validiert und zertifiziert.

* FIPS 140-3 gilt nicht für AWS KMS in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia). Die HSMs in den chinesischen Regionen sind stattdessen von der chinesischen Regierung genehmigt.

Benutzerdefinierte Schlüsselspeicher kombinieren die bequeme und umfassende Schlüsselverwaltungsschnittstelle von AWS KMS mit der Möglichkeit, das/die Gerät(e) zu besitzen und zu kontrollieren, auf dem/denen Schlüsselmaterial und kryptografische Operationen stattfinden. Infolgedessen übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit der kryptografischen Schlüssel und für den Betrieb der HSMs. AWS KMS bietet zwei Arten von benutzerdefinierten Schlüsselspeichern:

CloudHSM-gesicherter Schlüsselspeicher

Sie können einen KMS-Schlüssel in einem benutzerdefinierten AWS-CloudHSM-Schlüsselspeicher erstellen, indem alle Schlüssel erzeugt und in einem AWS-CloudHSM-Cluster gespeichert werden, die Sie besitzen und verwalten. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptographischen Vorgänge unter diesem Schlüssel ausschließlich in Ihrem AWS-CloudHSM-Cluster ausgeführt.

Die Verwendung eines benutzerdefinierten Schlüsselspeichers ist mit zusätzlichen Kosten für den AWS-CloudHSM-Cluster verbunden und Sie übernehmen die Verantwortung für die Verfügbarkeit des Schlüsselmaterials in diesem Cluster. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.

Externer Schlüsselspeicher

Wenn Sie aus rechtlichen Gründen Ihre Verschlüsselungsschlüssel vor Ort oder außerhalb der AWS Cloud speichern und verwenden müssen, können Sie einen KMS-Schlüssel in einem externen AWS-KMS-Schlüsselspeicher (XKS) erstellen, bei dem alle Schlüssel in einem externen Schlüsselmanager außerhalb von AWS erzeugt und gespeichert werden, den Sie besitzen und verwalten. Wenn Sie ein XKS verwenden, verlässt Ihr Schlüsselmaterial niemals Ihr HSM.

Im Gegensatz zu Standard-KMS-Schlüsseln oder einem Schlüssel in einem benutzerdefinierten CloudHSM-Schlüsselspeicher sind Sie bei der Verwendung eines externen Schlüsselspeichers für die Haltbarkeit, Verfügbarkeit, Latenz, Leistung und Sicherheit des Schlüsselmaterials und die kryptografischen Vorgänge für externe Schlüssel verantwortlich. Die Leistung und Verfügbarkeit des KMS-Betriebs kann durch die Hardware-, Software- oder Netzwerkkomponenten der von Ihnen verwendeten XKS-Infrastruktur beeinträchtigt werden. Um mehr über XKS zu erfahren, lesen Sie diesen Blog zu AWS-Neuigkeiten.

* Benutzerdefinierte Schlüsselspeicher sind in der von Sinnet betriebenen AWS-Region China (Peking) und der von NWCD betriebenen AWS-Region China (Ningxia) nicht verfügbar.
**Benutzerdefinierte Schlüsselspeicher sind für asymmetrische KMS-Schlüssel nicht verfügbar.
*** CodeArtifact unterstützt keine KMS-Schlüssel in einem XKS.

Sie können AWS KMS mit clientseitigen Verschlüsselungsbibliotheken verwenden, um Daten direkt in Ihrer Anwendung auf AWS oder in Hybrid- und Multicloud-Umgebungen zu schützen. Sie können diese Bibliotheken verwenden, um Daten zu verschlüsseln, bevor Sie sie in AWS-Services oder anderen Speichermedien und Services von Drittanbietern speichern. Diese Bibliotheken wurden entwickelt, um Ihnen bei der Ver- und Entschlüsselung von Daten mithilfe von Branchenstandards und bewährten Methode. Mithilfe der Verschlüsselungsbibliotheken können Sie sich auf die Kernfunktionalität Ihrer Anwendung konzentrieren und müssen sich nicht mit der Ver- und Entschlüsselung Ihrer Daten befassen.

  • Das AWS-Verschlüsselungs-SDK ist ein allgemeines Verschlüsselungs-Portfolio zur Implementierung von Verschlüsselungs- und Entschlüsselungsvorgängen für alle Datentypen.
  • Das AWS-Datenbankverschlüsselungs-SDK ist ein Verschlüsselungs-Portfolio, die Sie bei der Sicherung vertraulicher Daten in Ihrer Datenbank unterstützt und zusätzliche Funktionen für die Suche und Abfrage verschlüsselter Daten bereitstellt.
  • Der HAQM-S3-Verschlüsselungs-Client ist ein Verschlüsselungs-Portfolio zum Verschlüsseln und Entschlüsseln von Objekten, die in Ihrem S3-Bucket gespeichert sind.

Weitere Informationen finden Sie in der Dokumentation zu AWS Crypto Tools.

AWS-Service-Integration

AWS KMS integriert sich in AWS-Services, um Data-at-Rest zu verschlüsseln oder um die Signierung und Verifizierung mit einem AWS-KMS-Schlüssel zu erleichtern. Zum Schutz der Data-at-Rest verwenden die integrierten AWS-Services die Umschlagverschlüsselung, bei der ein Datenschlüssel zur Verschlüsselung der Daten verwendet wird, der selbst unter einem im AWS KMS gespeicherten KMS-Schlüssel verschlüsselt ist. Zum Signieren und Verifizieren verwenden die integrierten AWS-Services asymmetrische RSA- oder ECC-KMS-Schlüssel in AWS KMS. Weitere Details darüber, wie ein integrierter Service AWS KMS verwendet, finden Sie in der Dokumentation für Ihren AWS-Service.

Alexa for Business[1]

HAQM Forecast

HAQM QLDB

AWS CodeBuild

HAQM AppFlow

HAQM Fraud Detector

HAQM Redshift

AWS CodeCommit[1]

HAQM Athena

HAQM FSx

HAQM Rekognition

AWS CodePipeline

HAQM Aurora

HAQM GuardDuty

HAQM Relational Database Service (RDS)

AWS Control Tower

HAQM-Bedrock-Feinabstimmung

HAQM HealthLake

HAQM Route 53

AWS Data Exchange

HAQM Bedrock Model Copy

HAQM Inspector

HAQM Simple Storage Service (HAQM S3)[3]

AWS Database Migration Service

HAQM Chime SDK

HAQM Kendra

HAQM SageMaker

AWS DeepRacer

HAQM CloudWatch Logs

HAQM Keyspaces (für Apache Cassandra)

HAQM Simple Email Service (SES)

AWS Elastic Disaster Recovery

HAQM CloudWatch Synthetics

HAQM Kinesis Data Streams

HAQM Simple Notification Service (SNS)

AWS Elemental MediaTailor

HAQM CodeGuru

HAQM Kinesis Firehose

HAQM Simple Queue Service (SQS)

AWS Entity Resolution

HAQM CodeWhisperer

HAQM Kinesis Video Streams

HAQM Textract

AWS GameLift

HAQM Comprehend

HAQM Lex

HAQM Timestream

AWS Glue

HAQM Connect

HAQM Lightsail[1]

HAQM Transcribe

AWS Glue DataBrew

HAQM Connect Customer Profiles

HAQM Location Service

HAQM Translate

AWS Ground Station

HAQM Connect Voice ID

HAQM Lookout für Equipment

HAQM WorkMail

AWS IoT SiteWise

HAQM Connect Wisdom

HAQM Lookout für Metrics

HAQM WorkSpaces

AWS Lambda

HAQM DocumentDB

HAQM Lookout für Vision

HAQM WorkSpaces Thin Client

AWS License Manager

HAQM DynamoDB

HAQM Macie

HAQM WorkSpaces Secure Browser

AWS Mainframe Modernization

HAQM DynamoDB Accelerator (DAX) [1]

HAQM Managed Blockchain

AWS AppConfig

AWS Network Firewall

HAQM EBS

HAQM Managed Service für
Prometheus

AWS AppFabric

AWS Proton

HAQM EC2 Image Builder

HAQM Managed Streaming für Kafka (MSK)

AWS Application Cost Profiler

AWS Secrets Manager

HAQM EFS

HAQM Managed Workflows für Apache Airflow (MWAA)

AWS Application Migration Service

AWS Snowball 

HAQM Elastic Container Registry (ECR)

HAQM MemoryDB

AWS App Runner

AWS Snowball Edge

HAQM Elastic Kubernetes Service (EKS)

HAQM Monitron

AWS Audit Manager

AWS Snowcone

HAQM Elastic Transcoder

HAQM MQ

AWS Backup

AWS Storage Gateway

HAQM ElastiCache

HAQM Neptune

AWS Certificate Manager[1]

AWS Systems Manager

HAQM EMR

HAQM Nimble Studio

AWS Cloud9[1]

AWS Supply Chain

HAQM EMR Serverless

HAQM OpenSearch

AWS CloudHSM[2]

AWS Verified Access

HAQM EventBridge Scheduler

HAQM Omics

AWS CloudTrail

AWS X-Ray

HAQM FinSpace

HAQM Personalize

AWS CodeArtifact

 

[1] Unterstützt ausschließlich von AWS verwaltete Schlüssel.

[2] AWS KMS unterstützt benutzerdefinierte Schlüsselspeicher, die vom AWS CloudHSM Cluster gesichert wird.

[3] Eine Liste der in AWS KMS integrierten Services in der AWS-Region China (Peking), betrieben von Sinnet, sowie in der AWS-Region China (Ningxia), betrieben von NWCD, finden Sie unter AWS KMS Service-Integration in China.

Oben nicht aufgeführte AWS-Services verschlüsseln Kundendaten automatisch über die Verwendung von Schlüsseln, die im Eigentum des Services sind und durch diesen verwaltet werden.