Вернуться наверх

Обзор

Важно

Сервис предоставляется на стадии готовности Preview.

Key Management Service (KMS) — это сервис, в котором можно создавать ключи шифрования данных, управлять ими, контролировать доступ к ключам и их версиям.

Ключевые возможности

  • Генерация и хранение ключей

    Сервис позволяет создавать ключи шифрования с учетом выбранного алгоритма шифрования и обеспечивает их хранение и защиту от несанкционированного доступа.

  • Управление ключами

    В KMS можно создавать, активировать, деактивировать, ротировать и удалять ключи шифрования.

  • Шифрование и защита данных

    Ключи для шифрования данных недоступны в открытом виде и удаляются из оперативной памяти сразу после выполнения криптографической операции.

  • Отслеживание использования ключей

    KMS позволяет отследить, в каком сервисе используются ключ и версии ключа и когда они использовались в последний раз.

  • Отложенное удаление

    Удаляемый ключ сначала деактивируется на заданный срок и фактически уничтожается по окончании этого срока.

  • Envelope encryption

    С использованием KMS можно реализовать метод двухуровневого шифрования данных envelope encryption. Этот метод можно применять для шифрования большого объема данных с высоким уровнем безопасности.

Как работает сервис

Для шифрования данных в KMS применяется метод симметричного шифрования. Поддерживаются следующие алгоритмы симметричного шифрования Advanced Encryption Standard в режиме GCM (Galois/Counter Mode) — AES-GCM:

  • AES-128-GCM — алгоритм AES с 128-битными ключами;
  • AES-192-GCM — алгоритм AES с 192-битными ключами;
  • AES-256-GCM — алгоритм AES с 256-битными ключами.

Алгоритмы шифрования в режиме GCM обеспечивают и шифрование данных, и автоматическую проверку целостности данных с помощью генерируемого криптографического тега.

Для минимизации рисков, связанных с длительным использованием одних и тех же ключей, в сервисе используется регулярный выпуск обновленного криптографического материала с помощью ротации ключа.

Доступ к управлению ключами и шифрованию данных регулируется сервисными ролями.

Интеграции

Key Management Service интегрирован с сервисом Object Storage.

Активация

Чтобы начать пользоваться сервисом Key Management Service, его нужно активировать. Для этого достаточно, имея роль admin на уровне проекта, нажать кнопку Активировать на странице сервиса.

Тарификация

На стадии Preview сервис не тарифицируется.