本页面中描述的服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国区域的亚马逊云科技服务入门页面。中国区域的亚马逊云科技服务入门页面中,仅关于特定服务的“区域可用性”和“功能可用性和实现差异”的部分(但不包括其通过超链接援引的内容)构成您与光环新网或西云数据之间就您使用亚马逊云科技中国(北京)区域或亚马逊云科技中国(宁夏)区域服务达成的协议(“协议”)项下的“文档”的一部分,而该入门页面的其他内容不构成“协议”的任何部分。
Amazon Key Management Service 文档
概览
借助Amazon Key Management Service (KMS),您可以集中控制用于保护数据的加密密钥。该服务已与其他亚马逊云科技中国区域服务实现集成,这使得您能够轻松加密您在这些服务中存储的数据,并控制对用于解密此数据的密钥的访问权限。Amazon KMS也已与Amazon CloudTrail实现集成,这使得您能够审核谁何时在哪些资源上使用了哪些密钥。Amazon KMS让开发人员能够直接或通过使用Amazon SDK轻松在其应用程序代码中添加加密功能或数字签名功能。Amazon Encryption SDK支持使用Amazon KMS作为那些需要在其应用程序本地加密/解密数据的开发人员的根密钥提供者。
集中密钥管理
Amazon KMS为您提供对密钥的生命周期和权限的集中控制。您可以创建新密钥,并可以控制谁可以单独管理密钥,谁可以使用密钥。作为使用Amazon KMS生成的密钥的替代方案,您可以从自己的密钥管理基础结构导入密钥,或使用存储在Amazon CloudHSM集群中的密钥。您可以选择每年自动轮换Amazon KMS中生成的根密钥一次,而无需重新加密以前加密的数据。该服务保持旧版本的根密钥可用于解密先前加密的数据。您可以从Amazon管理控制台或使用Amazon SDK或Amazon Command Line Interface(CLI)管理根密钥并审核其使用情况。
*导入密钥的选项不适用于非对称密钥。
亚马逊云科技中国区域服务集成
Amazon KMS与亚马逊云科技中国区域服务集成以对静态数据进行加密,或者利用Amazon KMS密钥进行签名和验证。为了保护静态数据,集成的服务利用信封加密(其中数据密钥用于加密数据),而其本身通过存储在Amazon KMS中的KMS 密钥进行加密。对于签名和验证,集成的服务利用Amazon KMS中非对称KMS密钥的密钥对。有关集成的服务如何利用Amazon KMS的更多详细信息,请参阅您的服务的相关文档。
在您的亚马逊云科技账户中可以创建两种类型的KMS密钥资源:(i) 在需要时可以自动创建亚马逊云科技云托管的KMS密钥。您可以列示或清点亚马逊云科技云托管的KMS密钥,并在Amazon CloudTrail中接收其使用记录,但资源的权限由创建以供其使用的服务托管。(ii)客户托管的KMS密钥使您可以最大程度地控制密钥的权限和生命周期。
审计功能
如果您为亚马逊云科技账户启用了Amazon CloudTrail,则您向Amazon KMS发出的每个请求都会记录在日志文件中,该文件会被传送到您在启用Amazon CloudTrail时指定的Amazon S3存储桶。
可扩展性、持久性和高可用性
Amazon KMS是完全托管的服务。随着加密使用量的增长,该服务会自动扩展以满足您的需求。借助它,您能够管理账户中数千个KMS密钥,并能够随时使用它们。它规定密钥数量和请求速率的默认限制,但是您可以在需要时请求提高这些限制。
不论是您创建的KMS密钥,还是其他亚马逊云科技中国区域服务为您创建的KMS密钥,都无法从服务中导出。为了帮助您确保密钥和数据具有高可用性,Amazon KMS将存储密钥的多个加密版副本。
如果您将密钥导入该服务,则可以保留安全版本的KMS密钥,这样一来,如果它们不可用,您可以在需要使用时重新导入它们。
对于跨中国区域移动的加密数据或数字签名工作流,您可以创建KMS多区域密钥,这是一组可互操作的密钥,使用相同的密钥材料,密钥ID可复制到多个中国区域中。
Amazon KMS旨在作为一项带有区域API 终端节点的高可用性服务。大多数亚马逊云科技中国区域服务都依靠它进行加密和解密,它的设计可提供一定级别的可用性,用于支持其他服务,而且由Amazon KMS 服务水平协议提供支持。
安全
Amazon KMS旨在确保包括亚马逊云科技员工在内的任何人都无法从该服务中检索您的纯文本密钥。该服务使用已经通过FIPS 140-2验证或正在进行验证的硬件安全模块(HSM)来保护密钥的机密性和完整性。您的纯文本密钥不会被写入磁盘中,只会在执行您请求的加密操作期间在HSM的易失性内存中使用它。无论您是请求Amazon KMS代表您创建密钥、将其导入服务,还是在Amazon CloudHSM集群中创建密钥,都是如此。Amazon KMS服务创建的密钥不会在创建密钥的亚马逊云科技区域以外传输,并且只能在创建密钥的区域内使用。Amazon KMS HSM固件的更新由内部独立小组以及NIST认证的实验审计和审核的多方访问控件控制。
* 在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域,该硬件安全模块已经中国政府批准(未通过FIPS 140-2认证)。
合规性
Amazon KMS中的安全性和质量控制已经过以下合规性机制验证并获得了认证:
Amazon Service Organization Controls(SOC 1、SOC 2 及 SOC 3)报告。
PCI DSS第1级。
FIPS 140-2。Amazon KMS加密模块已经过FIPS 140-2 2级整体验证和3级的若干其他类别(其中包括物理安全性)验证,或正在进行此验证。
FedRAMP。
HIPAA。
* FIPS 140-2不适用于中国区域的Amazon KMS。中国区域的硬件安全模块经中国政府批准可以投入使用。
其他信息
有关服务控制、安全特性及功能的其他信息,包括有关存储、检索、修改、限制和删除数据的信息,请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技(北京区域)的客户协议或西云数据关于亚马逊云科技(宁夏区域)的客户协议的“文档”的一部分,也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。