AWS Key Management Service

AWS Key Management Service ist ein verwalteter Service, der Ihnen das Erstellen und Steuern der Verschlüsselungsschlüssel erleichtert, die zur Verschlüsselung Ihrer Daten verwendet werden, und nutzt Hardwaresicherheitsmodule (HSMs) zum Schutz der Sicherheit Ihrer Schlüssel. AWS KMS ist in mehreren anderen AWS-Services integriert, um Ihnen zu helfen, die Daten zu schützen, die Sie mit diesen Services speichern. AWS KMS ist auch in AWS CloudTrail integriert, um Ihnen Protokolle der gesamten Schlüsselverwendung für Ihre regulatorischen und Compliance-Anforderungen zur Verfügung zu stellen.

Sie können auf einfache Weise Schlüssel erstellen, importieren und rotieren sowie Verwendungsrichtlinien und Audit-Nutzung über die AWS Management Console oder mit dem AWS SDK oder der AWS CLI definieren.

Die CMKs in AWS KMS, die von Ihnen importiert oder von KMS für Sie erstellt wurden, werden in verschlüsselter Form in sehr robustem Speicher gespeichert, um sicherzustellen, dass sie bei Bedarf verwendet werden können. Sie können festlegen, dass KMS die in KMS erstellten CMKs einmal im Jahr automatisch rotiert. Sie müssen in diesem Fall bereits mit Ihrem Masterschlüssel verschlüsselte Daten nicht nochmals verschlüsseln. Sie müssen ältere Versionen Ihrer CMKs nicht im Auge behalten, da KMS sie für die automatische Entschlüsselung früher verschlüsselter Daten verfügbar hält.

Für jeden CMK in AWS KMS können Sie steuern, wer Zugriff auf diese Schlüssel hat und mit welchen Services sie über eine Reihe von Zugriffskontrollen, einschließlich Erteilungen und Schlüsselrichtlinienbedingungen innerhalb von Schlüsselrichtlinien oder IAM-Richtlinien, verwendet werden können. Sie können auch Schlüssel aus Ihrer eigenen Schlüsselverwaltungsinfrastruktur importieren und in KMS verwenden.

Die folgende Richtlinie verwendet beispielsweise die Bedingung kms:ViaService, um die Verwendung eines vom Kunden verwalteten CMK nur für die angegebenen Aktionen zuzulassen, wenn die Anforderung aus Amazon EC2 oder Amazon RDS in einer bestimmten Region (us-west-2) im Auftrag eines bestimmten Benutzers (ExampleUser) stammt.



        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Effect”: “Allow”,
                “Principal”: {
                    “AWS”: “arn:aws:iam::111122223333:user/ExampleUser”
                 }
                “Action”: [
                     “kms:Encrypt*”,
                     “kms:Decrypt”,
                     ”kms:ReEncrypt*”,
                     “kms:GenerateDataKey*”,
                     “kms:CreateGrant”,
                     “kms:ListGrants”,
                     “kms:DescribeKey”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “ForAnyValue:StringEquals”: {
                        “kms:ViaService”: [
                              “ec2.us-west-2.amazonaws.com”,
                              “rds.us-west-2.amazonaws.com”
                        ]
                     } 
               }      
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsselungstools

AWS Service Integration