Datenschutz in AWS Key Management Service - AWS Key Management Service
Schutz von SchlüsselmaterialDatenverschlüsselungDatenschutz zwischen Netzwerken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AWS Key Management Service

AWS Key Management Service speichert und schützt Ihre Verschlüsselungsschlüssel, um sie hochverfügbar zu machen und gleichzeitig eine starke und flexible Zugriffssteuerung zu bieten.

Schutz von Schlüsselmaterial

Standardmäßig generiert und schützt AWS KMS das kryptografische Schlüsselmaterial für KMS-Schlüssel. Darüber hinaus bietet AWS KMS Optionen für Schlüsselmaterial, das außerhalb von AWS KMS erstellt und geschützt wird. Weitere technische Informationen zur KMS-Schlüsseln und Schlüsselmaterial finden Sie unter AWS Key Management Service – Kryptografische Details

Schutz von Schlüsselmaterial, das in AWS KMS generiert wurde

Beim Erstellen eines KMS-Schlüssels generiert und schützt AWS KMS standardmäßig das kryptografische Material für den KMS-Schlüssel.

Um das Schlüsselmaterial für KMS-Schlüssel zu schützen, verlässt AWS KMS sich auf eine verteilte Flotte von Level-3-validierten FIPS-140-2-Hardware-Sicherheitsmodulen (HSMs). Jedes AWS KMS-HSM ist ein dediziertes, eigenständiges Hardware-Gerät, das speziell für die Bereitstellung dedizierter kryptografischer Funktionen zur Erfüllung der Sicherheits- und Skalierbarkeits-Anforderungen von AWS KMS entwickelt wurde. (Die HSMs, die AWS KMS in den chinesischen Regionen einsetzt, sind von OSCCA zertifiziert und entsprechen allen einschlägigen chinesischen Vorschriften, sind aber nicht im Rahmen des FIPS-140-2-Validierungsprogramm für kryptografische Module validiert).

Das Schlüsselmaterial für einen KMS-Schlüssel wird standardmäßig verschlüsselt, wenn er im HSM generiert wird. Das Schlüsselmaterial wird nur innerhalb des flüchtigen HSM-Speichers und nur für die wenigen Millisekunden entschlüsselt, die für die Verwendung in einer kryptografischen Operation benötigt werden. Wenn das Schlüsselmaterial nicht aktiv verwendet wird, wird es innerhalb des HSM verschlüsselt und in einen äußerst dauerhaften (99,999999999 %) persistenten Speicher mit niedriger Latenz übertragen, wo es getrennt und von den HSMs isoliert bleibt. Das Klartext-Schlüsselmaterial verlässt dieHSM-Sicherheitsgrenze nie; es wird nie auf die Festplatte geschrieben oder in einem Speichermedium gespeichert. (Die einzige Ausnahme ist der öffentliche Schlüssel eines asymmetrischen Schlüsselpaares, der nicht geheim ist).

AWS behauptet als grundlegendes Sicherheitsprinzip, dass es keine menschliche Interaktion mit kryptographischem Schlüsselmaterial im Klartext gibt, egal welcher Art in jedem AWS-Service. Es gibt keinen Mechanismus, mit dem irgendjemand, einschließlich AWS-Service-Betreiber, Schlüsselmaterial im Klartext einsehen, darauf zugreifen oder es exportieren könnte. Dieses Prinzip gilt auch bei katastrophalen Ausfällen und Notfallwiederherstellungsereignissen. Klartext-Kundenschlüsselmaterial in AWS KMS wird für kryptografische Operationen innerhalb von AWS KMS FIPS-validierten HSMs nur als Antwort auf autorisierte Anfragen des Kunden oder seines Beauftragten an den Dienst verwendet.

Bei kundenverwalteten Schlüsseln ist der AWS-Konto, der den Schlüssel erstellt, der alleinige und nicht übertragbare Eigentümer des Schlüssels. Das Eigentümerkonto hat die vollständige und ausschließliche Kontrolle über die Autorisierungsrichtlinien, die den Zugriff auf den Schlüssel regeln. Für Von AWS verwaltete Schlüssel hat das AWS-Konto die vollständige Kontrolle über die IAM-Richtlinien, die Anfragen an das AWS-Service genehmigen.

Schutz von außerhalb von AWS KMS generiertem Schlüsselmaterial

AWS KMS bietet Alternativen zu Schlüsselmaterial, das in AWS KMS generiert wurde.

Mit benutzerdefinierten Schlüsselspeichern, einem optionalen AWS KMS-Feature, können Sie KMS-Schlüssel erstellen, die durch Schlüsselmaterial gesichert sind, das außerhalb von AWS KMS generiert und verwendet wird. KMS-Schlüssel in AWS CloudHSM-Schlüsselspeichern werden durch Schlüssel in AWS CloudHSM-Hardware-Sicherheitsmodulen gesichert, die Sie kontrollieren. Diese HSMs sind FIPS 140-2 Security Level 3 zertifiziert. KMS-Schlüssel in externen Schlüsselspeichern werden durch Schlüssel in einem externen Schlüsselmanager gesichert, den Sie außerhalb von AWS kontrollieren und verwalten, z. B. ein physisches HSM in Ihrem privaten Rechenzentrum.

Ein weiteres optionales Feature ermöglicht das Importieren des Schlüsselmaterials für einen KMS-Schlüssel. Um importiertes Schlüsselmaterial auf dem Weg zu AWS KMS zu schützen, verschlüsseln Sie das Schlüsselmaterial mit einem öffentlichen Schlüssel aus einem RSA-Schlüsselpaar, das in einem AWS KMS-HSM erzeugt wurde. Das importierte Schlüsselmaterial wird in einem AWS KMS-HSM entschlüsselt und mit einem symmetrischen Schlüssel im HSM neu verschlüsselt. Wie jedes AWS KMS-Schlüsselmaterial verlässt das Klartext-Schlüsselmaterial die HSMs niemals unverschlüsselt. Der Kunde, der das Schlüsselmaterial zur Verfügung gestellt hat, ist jedoch verantwortlich für die sichere Verwendung, Haltbarkeit und Wartung des Schlüsselmaterials außerhalb von AWS KMS.

Datenverschlüsselung

Die Daten in AWS KMS bestehen aus AWS KMS keys und dem Schlüsselmaterial des Verschlüsselungsschlüssels, das sie darstellen. Dieses Schlüsselmaterial existiert im Klartext nur innerhalb von AWS KMS-Hardware-Sicherheitsmodulen (HSMs) und nur bei Verwendung. Andernfalls wird das Schlüsselmaterial verschlüsselt und in dauerhaftem persistenten Speicher aufbewahrt.

Das Schlüsselmaterial, das AWS KMS für KMS-Schlüssel generiert, verlässt AWS KMS-HSMs nie unverschlüsselt. Es wird nicht exportiert oder in irgendeiner AWS KMS-API-Operation übertragen. Die Ausnahme ist für multiregionale Schlüssel, wobei AWS KMS einen regionenübergreifenden Replikationsmechanismus verwendet, um das Schlüsselmaterial eines multiregionalen Schlüssels von einem HSM in einer AWS-Region zu einem HSM in einer anderen AWS-Region zu kopieren. Details dazu finden Sie unter Replikationsprozess für Schlüssel mit mehreren Regionen in Kryptografische DetailsAWS Key Management Service.

Verschlüsselung im Ruhezustand

AWS KMS generiert Schlüsselmaterial für AWS KMS keys in FIPS 140-2 Security Level 3 konforme Hardware-Sicherheitsmodulen (HSMs). Die einzige Ausnahme sind die China-Regionen, in denen die HSMs, die AWS KMS zur Generierung von KMS-Schlüsseln verwendet, allen einschlägigen chinesischen Vorschriften entsprechen, jedoch nicht im Rahmen des FIPS-140-2-Validierungsprogramm für kryptografische Module validiert werden. Bei Nichtgebrauch wird Schlüsselmaterial durch einen HSM-Schlüssel verschlüsselt und in dauerhaftem persistenten Speicher geschrieben. Das Schlüsselmaterial für KMS-Schlüssel und die Verschlüsselungsschlüssel, die das Schlüsselmaterial schützen, verlassen die HSMs niemals in Klartext-Form.

Die Verschlüsselung und Verwaltung von Schlüsselmaterial für KMS-Schlüssel erfolgt vollständig durch AWS KMS.

Weitere Informationen finden Sie unter Arbeiten mit AWS KMS keys unter den kryptografischen Details für AWS Key Management Service.

Verschlüsselung während der Übertragung

Das Schlüsselmaterial, das AWS KMS für KMS-Schlüssel generiert, wird nie exportiert oder in AWS KMS-API-Operationen übertragen. AWS KMS nutzt Schlüsselbezeichner, um die KMS-Schlüssel in API-Operationen darzustellen. In ähnlicher Weise ist Schlüsselmaterial für KMS-Schlüssel in benutzerdefinierten AWS KMS-Schlüsselspeichern nicht exportierbar und wird nie in AWS KMS- oder AWS CloudHSM-API-Operationen übertragen.

Allerdings geben einige AWS KMS-API-Operationen Datenschlüssel zurück. Kunden können außerdem API-Operationen zum Importieren von Schlüsselmaterial für ausgewählte KMS-Schlüssel verwenden.

Alle AWS KMS-API-Aufrufe müssen signiert und mit Transport Layer Security (TLS) übertragen werden. AWS KMS erfordert TLS 1.2 und empfiehlt TLS 1.3 in allen Regionen. AWS KMS unterstützt auch hybrides Post-Quantum-TLS für AWS KMS-Service-Endpunkte in allen Regionen außer in China. AWS KMS unterstützt kein hybrides Post-Quantum-TLS für FIPS-Endpunkte in AWS GovCloud (US). Aufrufe an AWS KMS erfordern auch eine moderne Cipher-Suite, die Perfect Forward Secrecy unterstützt, was bedeutet, dass der Kompromiss eines Geheimnisses, wie z. B. eines privaten Schlüssels, nicht auch den Sitzungsschlüssel gefährdet.

Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Um die Standard-AWS KMS-Endpunkte oder AWS KMS-FIPS-Endpunkte zu verwenden, müssen Clients TLS 1.2 oder höher unterstützen. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-2. Eine Liste der AWS KMS-FIPS-Endpunkte finden Sie unter AWS Key Management Service-Endpunkte und -Kontingente im Allgemeine AWS-Referenz.

Die Kommunikation zwischen AWS KMS-Servicehosts und HSMs wird mit Elliptic Curve Cryptography (ECC) und Advanced Encryption Standard (AES) in einem authentifizierten Verschlüsselungsverfahren geschützt. Weitere Informationen finden Sie unter Interne Kommunikationssicherheit in den kryptografischen Details für AWS Key Management Service.

Richtlinie für den Datenverkehr zwischen Netzwerken

AWS KMS unterstützt eine AWS Management Console und einen Satz von API-Operationen, mit denen Sie AWS KMS keys erstellen, verwalten und in kryptografischen Operationen verwenden können.

AWS KMS unterstützt zwei Optionen für die Netzwerk-Konnektivität von Ihrem privaten Netzwerk zu AWS.

  • Eine IPsec-VPN-Verbindung über das Internet.

  • AWS Direct Connect verknüpft Ihr internes Netzwerk über ein standardmäßiges Ethernet-Glasfaserkabel mit einem AWS Direct Connect-Standort.

Alle AWS KMS-API-Aufrufe müssen signiert und mit Transport Layer Security (TLS) übertragen werden. Die Anrufe erfordern auch eine moderne Verschlüsselungssammlung, die Perfect Forward Secrecy unterstützt. Der Datenverkehr zu den Hardware-Sicherheitsmodulen (HSMs), die Schlüsselmaterial für KMS-Schlüssel speichern, ist nur von bekannten AWS KMS-API-Hosts über das AWS-interne Netzwerk erlaubt.

Um eine direkte Verbindung zu AWS KMS von Ihrer Virtual Private Cloud (VPC) aus herzustellen, ohne Datenverkehr über das öffentliche Internet zu senden, verwenden Sie VPC-Endpunkte, die AWS PrivateLink bereitstellt. Weitere Informationen finden Sie unter Verbindung zu AWS KMS über einen VPC-Endpunkt.

AWS KMS unterstützt auch eine hybride post-Quantum Schlüsselaustauschoption für das Transport Layer Security (TLS)-Netzwerk-Verschlüsselungsprotokoll. Sie können diese TLS-Option verwenden, wenn Sie eine Verbindung zu AWS KMS-API-Endpunkten herstellen.