Definition

AWS Key Management Service (AWS KMS)

AWS Key Management Service (KMS) ist ein Amazon-Produkt, mit dem Administratoren kryptografische Schlüssel erstellen, löschen und steuern können, die in AWS-Datenbanken und -Produkten gespeicherte Daten verschlüsseln.

Auf AWS KMS kann man innerhalb von AWS Identity and Access Management (IAM), über die AWS KMS-Befehlszeilenschnittstelle oder das Software Development Kit (SDK) zugreifen. KMS bietet eine einzige Ansicht aller verwendeten AWS-Schlüssel, wodurch eine zentralisierte Verschlüsselungskontrolle geschaffen wird. Der Dienst ermöglicht es Administratoren, Schlüssel und Nutzungsrichtlinien zu erstellen. Sie können außerdem die Protokollierung aktivieren.

KMS verwendet eine Umschlagsverschlüsselung, die zwei verschiedene Schlüssel zum Schutz von Daten zur Verfügung stellt. Der von AWS generierte Datenschlüssel verschlüsselt alle Daten und Ressourcen. Die Daten und Ressourcen werden dann über einen in KMS definierten Kundenhauptschlüssel (Customer Master Key, CMK) verschlüsselt und in AWS gespeichert. Wenn ein Benutzer Daten entschlüsseln muss, wird der verschlüsselte Schlüssel an KMS gesendet und mit dem CMK entschlüsselt.

KMS-Anwender können Schlüssel rotieren lassen, ein Prozess, der einen neuen Sicherungsschlüssel erstellt, um Verschlüsselung, Entschlüsselung und andere kryptographische Operationen für den CMK durchzuführen. AWS kann so konfiguriert werden, dass die Schlüssel automatisch jährlich rotieren. Als vollständig verwalteter Dienst kümmert sich Amazon Web Services (AWS) automatisch um Verfügbarkeit, physische Sicherheit und Wartung der Infrastruktur. Sobald Schlüssel einmal erstellt wurden, können sie nicht mehr in eine andere AWS-Region übertragen werden.

Der Key Management Service lässt sich mit anderen AWS-Produkten integrieren, um die Verschlüsselung in der gesamten Public Cloud zu erleichtern. Viele Amazon-Dienste akzeptieren sowohl clientseitige (von Benutzern verwaltete Schlüssel) als auch serverseitige (Schlüssel, die von AWS verwaltet werden).

Einige haben jedoch Einschränkungen. Zum Beispiel unterstützt CodeCommit nur Schlüssel, die von AWS verwaltet werden; Amazon Elastic MapReduce unterstützt nur clientseitige Verschlüsselung, bei der Ein- und Ausgabe in Amazon Simple Storage Service (S3) gespeichert werden. Storage- und Content-Delivery-Services, Datenbanken, Management-Tools, Analyseprogramme, Anwendungsdienste und Geschäftsanwendungen gehören zu den AWS-Produkten, die sich in KMS integrieren lassen.

AWS CloudTrail lässt sich ebenfalls in KMS integrieren, um die Verwendung von Schlüsseln zu protokollieren und zu prüfen. Die Protokolle werden an einen bestimmten S3-Bucket geliefert.

AWS KMS verwendet verschiedene Härtungstechniken, einschließlich der Einschränkung des Zugriffs auf den Service, um Hauptschlüssel zu schützen. Darüber hinaus speichert der Dienst keine Schlüssel im Klartext auf der Festplatte. Software-Updates für den Service durchlaufen eine mehrstufige Genehmigung, die von einer unabhängigen Gruppe innerhalb von AWS geprüft wird.

AWS KMS wurde durch eine Vielzahl von Compliance-Standards validiert und zertifiziert, darunter:

  • AWS Service Organization Controls (SOC 1, 2 and 3),
  • PCI DSS Level 1,
  • ISO 27017, 27018 and 9001.
Diese Definition wurde zuletzt im April 2020 aktualisiert

Erfahren Sie mehr über Cloud Computing