Вернуться наверх

Обзор

Key Management Service (KMS) — это сервис, в котором можно создавать ключи шифрования данных, управлять ими, контролировать доступ к ключам и их версиям.

Ключевые возможности

  • Генерация и хранение ключей

    Сервис позволяет создавать ключи шифрования с учетом выбранного алгоритма шифрования и обеспечивает их хранение и защиту от несанкционированного доступа.

  • Управление ключами

    В KMS можно создавать, активировать, деактивировать, ротировать и удалять ключи шифрования.

  • Шифрование и защита данных

    Ключи для шифрования данных недоступны в открытом виде и удаляются из оперативной памяти сразу после выполнения криптографической операции.

  • Отслеживание использования ключей

    KMS позволяет отследить, в каком сервисе используются ключ и версии ключа и когда они использовались в последний раз.

  • Отложенное удаление

    Удаляемый ключ сначала деактивируется на заданный срок и фактически уничтожается по окончании этого срока.

  • Envelope encryption

    С использованием KMS можно реализовать метод двухуровневого шифрования данных envelope encryption. Этот метод можно применять для шифрования большого объема данных с высоким уровнем безопасности.

Как работает сервис

Для шифрования данных в KMS применяется метод симметричного шифрования. Поддерживаются следующие алгоритмы симметричного шифрования Advanced Encryption Standard в режиме GCM (Galois/Counter Mode) — AES-GCM:

  • AES-128-GCM — алгоритм AES с 128-битными ключами;
  • AES-192-GCM — алгоритм AES с 192-битными ключами;
  • AES-256-GCM — алгоритм AES с 256-битными ключами.

Алгоритмы шифрования в режиме GCM обеспечивают и шифрование данных, и автоматическую проверку целостности данных с помощью генерируемого криптографического тега.

Для минимизации рисков, связанных с длительным использованием одних и тех же ключей, в сервисе используется регулярный выпуск обновленного криптографического материала с помощью ротации ключа.

Доступ к управлению ключами и шифрованию данных регулируется сервисными ролями.

Интеграции

Key Management Service интегрирован с сервисом Object Storage.

Активация

Чтобы начать пользоваться сервисом Key Management Service, его нужно активировать. Для этого достаточно, имея роль admin на уровне проекта, нажать кнопку Активировать на странице сервиса.