AWS Key Management Service

AWS Key Management Service 為受管服務，可讓您輕鬆建立及控制加密資料時所用的加密金鑰，並能使用硬體安全模組 (HSM) 保護金鑰的安全。AWS KMS 與其他幾個 AWS 服務整合，可協助您保護儲存在這些服務上的資料。AWS KMS 也會與 AWS CloudTrail 整合，為您提供記錄依據法規與合規要求而使用之所有金鑰的日誌。

您可以輕鬆建立、匯入及輪換金鑰，也可以從 AWS Management Console 或使用 AWS 開發套件或 AWSAWS CLI，定義使用政策與稽核使用。

無論是自行匯入或由 KMS 代為建立，AWS KMS 中的 CMK 都會以加密格式儲存在高耐用性的儲存體中，以確保其能夠隨需使用。您可選擇讓 KMS 每年一次自動輪換在 KMS 中建立的 CMK，而不需要重新加密已使用主金鑰加密的資料。因為 KMS 可以隨時提供這些 CMK，自動為先前加密的資料解密，所以您無須追蹤先前的 CMK 版本。

對於 AWS KMS 中的任何 CMK，您都可以透過許多存取控制 (包括授予)，以及金鑰政策或 IAM 政策中的金鑰政策條件，控制誰可存取這些金鑰，以及這些人員能夠使用的服務。您也可以從自己的金鑰管理基礎結構中匯入金鑰在 KMS 中使用。

例如，下列政策使用 kms:ViaService 條件，允許客戶管理的 CMK，只能請求來自代表特定使用者 (ExampleUser) 之特定區域 (us-west-2) 的 Amazon EC2 或 Amazon RDS 時，才能用於指定的動作。

        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Effect”: “Allow”,
                “Principal”: {
                    “AWS”: “arn:aws:iam::111122223333:user/ExampleUser”
                 }
                “Action”: [
                     “kms:Encrypt*”,
                     “kms:Decrypt”,
                     ”kms:ReEncrypt*”,
                     “kms:GenerateDataKey*”,
                     “kms:CreateGrant”,
                     “kms:ListGrants”,
                     “kms:DescribeKey”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “ForAnyValue:StringEquals”: {
                        “kms:ViaService”: [
                              “ec2.us-west-2.amazonaws.com”,
                              “rds.us-west-2.amazonaws.com”
                        ]
                     } 
               }      
}