概览
Amazon Key Management Service (KMS) 可以让您集中控制用于保护数据的加密密钥。主密钥是在您自己的帐户中作为资源创建的,用于控制对数据加密密钥(用于加密和解密数据)的访问。您可以创建新的主密钥,并轻松控制谁可以使用或管理它们。Amazon KMS 与其他 亚马逊云科技服务集成,可以让您轻松加密存储在这些服务中的数据,并控制对用来解密数据的密钥的访问。
您可以通过 亚马逊云科技管理控制台或使用 Amazon SDK 或 亚马逊云科技命令行界面 (CLI) 管理主密钥。Amazon KMS 与 Amazon CloudTrail 集成,使您能够审核谁使用了哪些密钥、哪些资源以及何时使用。借助 Amazon KMS,开发人员还能直接通过加密和解密 API 或与 亚马逊云科技加密软件开发工具包的集成,将加密功能轻松添加到他们的应用程序代码中。
政府批准的硬件保护密钥
Amazon KMS 的设计使得任何人(包括服务运营商)都无法从服务中检索主密钥明文。该服务使用密码主管部门认证的加密机,保护密钥的机密性和完整性。您的 KMS 主密钥从不会在创建它们的 亚马逊云科技区域之外传输,并且只能在该区域内使用。
持久性
为了确保您的密钥永不丢失,并且您的数据始终可以检索,KMS 会将密钥的多个加密副本存储在其设计持久性达 99.999999999% 的系统中。
高可用性
Amazon KMS 的设计使用了可在每个区域中跨多个可用区的冗余架构,从而成为高可用性服务。由于大多数 亚马逊云科技服务依赖 Amazon KMS 加密和解密客户数据,因此 KMS 的架构旨在提供必要的可用性级别来支持 亚马逊云科技的其余部分,并由 Amazon KMS 服务等级协议提供支持。
按需可扩展性
从一个主密钥开始,并根据需要添加更多。使用 Amazon KMS,您可以根据需要创建和管理任意数量的主密钥,还可以请求不限数量的数据密钥以在本地应用程序中使用。我们支持低延迟的高请求率,以满足 亚马逊云科技内外的工作负载需求。
密钥自动轮换
您可以选择让 Amazon KMS 每年自动轮换一次主密钥,而无须对已加密的数据重新加密。轮换密钥后,KMS 会自动保存旧版本的密钥材料,方便您解密以前加密的数据。
亚马逊云科技服务集成
下列 亚马逊云科技 服务已集成 Amazon KMS。这些服务使用您账户中的 Amazon KMS 客户主密钥 (CMK) 来保护服务为您接收、存储或管理的数据。每个服务都允许您选择由您创建和管理的 CMK,或者由该服务代表您创建和管理的 CMK。
| Amazon Athena | Amazon Neptune | Amazon CloudTrail |
| Amazon Aurora | Amazon Redshift | Amazon CodeBuild |
| Amazon DynamoDB | Amazon Relational Database Service (RDS) | Amazon CodeCommit |
| Amazon DynamoDB Accelerator (DAX) | Amazon S3 | Amazon Database Migration Service |
| Amazon EBS | Amazon SageMaker | Amazon Glue |
| Amazon EC2 Image Builder | Amazon Simple Notification Service (SNS) | Amazon Lambda |
| Amazon EFS | Amazon Simple Queue Service (SQS) | Amazon Secrets Manager |
| Amazon ElastiCache | Amazon Transcribe | Amazon Storage Gateway |
| Amazon OpenSearch | Amazon Workspaces | Amazon Systems Manager |
| Amazon Elastic Kubernetes Service (EKS) | Amazon Backup | Amazon X-Ray |
| Amazon EMR | Amazon Certificate Manager | Amazon Kinesis Data Streams |
| Amazon Managed Streaming for Kafka (MSK) | Amazon Cloud9 | Amazon Kinesis Data Firehose |
| Amazon Kinesis Data Analytics |
全面审计
如果您为您的 亚马逊云科技账户启用了 Amazon CloudTrail,则您向 Amazon KMS 发出的每个请求都会记录在一个日志文件中,该文件会传送到您在启用 Amazon CloudTrail 时指定的 Amazon S3 存储桶。记录的信息包括用户的详细信息、时间、日期、API 操作以及所用密钥(如果相关)。
非对称密钥
Amazon KMS 可以为您提供创建和使用非对称 CMK 和数据密钥对的功能。您可以指定用作签名密钥对或加密密钥对的 CMK。使用这些 CMK 的密钥对生成和非对称加密操作将在 HSM 内执行。您可以请求将非对称 CMK 的公有部分用于您的本地应用程序,而私有部分则永远不离开该服务。
您还可以请求该服务生成非对称数据密钥对。此操作将会返回公有密钥和私有密钥的纯文本副本以及在您指定的对称 CMK 下加密的私有密钥副本。您可以在您的本地应用程序中使用纯文本公有或私有密钥,并存储加密的私有密钥副本,以供将来使用。
