Hoe veilig zijn Key Management Services van Amazon (AWS KMS)?

AWS Biedt vele diensten aan, waaronder databases, opslag, netwerken en nog veel meer. AWS Key Management Service (KMS) is een van de populairste diensten die AWS aanbiedt. Het is een nuttige service die helpt bij het omgaan met gevoelige gegevens en het beheren van cryptografische sleutels.

Wat is AWS Key Management Service (KMS)?

AWS KMS is een service die kan worden geïntegreerd met diverse andere AWS-services. Het kan worden gebruikt om cryptografische sleutels te maken, op te slaan en te beheren om gegevens in uw applicatie te versleutelen. Met behulp van de AWS KMS-service kan een gebruiker de toegang tot de versleutelde gegevens beheren. AWS KMS biedt bijna 100 procent van de duurzaamheid van cryptografische sleutels.

Sleutels worden opgeslagen in meerdere beschikbaarheidszones (AZ's) die een hoge beschikbaarheid garanderen. AWS KMS is geïntegreerd met CloudTrail, waardoor gebruikers kunnen controleren waarvoor de sleutel wordt gebruikt, wanneer deze is gebruikt en door wie de sleutel is gebruikt.

Enkele belangrijke punten over AWS KMS

• De sleutels die in een regio zijn gegenereerd, kunnen niet buiten die regio worden verzonden.
• KMS maakt gebruik van een AWS Hardware Security Module (HSM), die FIPS 140-2 compliant, om sleutels op te slaan.
• Met AWS KMS kunt u de toegang tot hoofdsleutels.
• Gebruikers kunnen gegevens die zijn opgeslagen in Amazon EBS, Amazon S3 en Amazon Redshift versleutelen, omdat AWS KMS met deze services is geïntegreerd.

Hoe werkt AWS KMS?

Om de interne werking van AWS KMS te begrijpen, moeten we eerst de termen en concepten leren die in AWS KMS worden gebruikt.

Er zijn twee soorten sleutels in AWS KMS:

1. Klant Hoofdsleutels
2. Gegevenssleutels

Klanthoofdsleutels (CMK's)

Een CMK is een logische weergave van de hoofdsleutel. De CMK bevat metadata zoals sleutel-ID, aanmaakdatum, sleutelstatus en een beschrijving van de sleutel en het gebruikte sleutelmateriaal. encryptie en decryptie.

Standaard wordt sleutelmateriaal aangemaakt door AWS KMS. Niemand kan het sleutelmateriaal wijzigen, beheren, bekijken of extraheren. Sleutelmateriaal kan ook niet worden verwijderd. Als een gebruiker sleutelmateriaal wil verwijderen, moet hij de CMK verwijderen. Gebruikers kunnen hun sleutelmateriaal importeren in een CMK of sleutelmateriaal aanmaken voor CMK's in een AWS CloudHSM-cluster.

AWS CMK biedt zowel symmetrische als asymmetrische CMK's. Symmetrische CMK's gebruiken een 256-bits sleutel voor encryptie en decryptie. Asymmetrische CMK's daarentegen gebruiken RSA Sleutelparen voor encryptie en decryptie of ondertekening en verificatie. Een asymmetrisch aangemaakte sleutel, een zogenaamde ECC-sleutel, kan alleen worden gebruikt voor ondertekening en verificatie. CMK's worden aangemaakt in AWS KMS. CMK's kunnen worden beheerd via de AWS Management Console of de AWS KMS API. Alle symmetrische sleutels en asymmetrische privésleutels verlaten AWS KMS nooit ongecodeerd. Om cryptografische bewerkingen met CMK's uit te voeren, moet de gebruiker de AWS KMS API gebruiken.

AWS KMS ondersteunt drie typen CMK's:

1. Klantbeheerde CMK: Door de klant beheerde CMK's zijn CMK's in het gebruikersaccount die de gebruiker kan aanmaken, bezitten en beheren. Gebruikers hebben volledige controle over door de klant beheerde sleutels, waardoor ze hun sleutelbeleid, IAM-beleid, toekenningen, rotatie van cryptografisch materiaal, enz. kunnen instellen en beheren.
2. AWS beheerde CMK: De CMK's in het gebruikersaccount die door AWS namens de gebruiker zijn aangemaakt en beheerd, worden AWS Managed CMK's genoemd. Door AWS beheerde CMK's kunnen niet rechtstreeks worden gebruikt voor cryptografische bewerkingen. Gebruikers kunnen het sleutelbeleid van door AWS beheerde CMK's niet beheren, roteren of wijzigen. Gebruikers kunnen het sleutelbeleid echter wel bekijken en het gebruik ervan controleren in AWS CloudTrail (geïntegreerd met AWS KMS) in hun AWS-account.
3. AWS-eigendom CMK: De verzameling CMK's die eigendom zijn van en beheerd worden door AWS voor gebruik in meerdere clouds, staat bekend als een AWS-CMK. CMK's die eigendom zijn van AWS beschermen de resources in het gebruikersaccount. Deze CMK's bevinden zich niet in het account van de gebruiker. Met CMK's die eigendom zijn van AWS hoeven gebruikers geen CMK's aan te maken of te beheren. Gebruikers kunnen ze niet bekijken, gebruiken, volgen of controleren.

Gegevenssleutels

De sleutels die worden gebruikt om gegevens te versleutelen en andere gegevensversleutelingssleutels zijn datasleutels. Datasleutels worden gebruikt om grote hoeveelheden gegevens te versleutelen, aangezien klanthoofdsleutels (CMK's) geen gegevens groter dan 4 kB kunnen versleutelen. Datasleutels worden buiten AWS KMS gebruikt en beheerd. Datasleutels worden niet opgeslagen, beheerd of gevolgd door AWS KMS. AWS KMS voert geen cryptografische bewerkingen uit met datasleutels, maar gebruikers kunnen wel datasleutels genereren, versleutelen en ontsleutelen met behulp van AWS KMS-klanthoofdsleutels (CMK's). Datasleutels kunnen gegevens versleutelen en ontsleutelen in andere AWS-services zoals Amazon S3, EBS, EC2, enz.

• Gegevenssleutel maken
  AWS KMS gebruikt door de gebruiker gespecificeerde CMK's om een ​​datasleutel te genereren. Een datasleutel kan worden gegenereerd door de GenerateDataKey bewerking. Deze bewerking retourneert twee kopieën van de datasleutel, één in platte tekst en één gecodeerd onder de CMK. Een andere bewerking, GenereerDataKeyZonderPlattetekst, kan ook worden gebruikt, wat één kopie van de datasleutel retourneert die is gecodeerd onder CMK.
  Vraag AWS KMS om de gecodeerde gegevenssleutel te decoderen voordat u deze gebruikt.

• Gegevens versleutelen met een datasleutel
  Zoals eerder vermeld, gebruikt AWS KMS geen datasleutels om cryptografische bewerkingen uit te voeren. Om data te versleutelen met een datasleutel, gebruikt u een platte tekst datasleutel, versleutelt u de data buiten AWS KMS en verwijdert u deze uit het geheugen. Vervolgens slaat u de versleutelde datasleutel op.

• Gegevens decoderen met een datasleutel
  Om gegevens buiten AWS KMS te decoderen met een datasleutel, decoderen bewerking wordt gebruikt om de gecodeerde gegevenssleutel te ontsleutelen, wat een plattetekstkopie van de gegevenssleutel oplevert.
  Gegevens buiten AWS KMS kunnen nu worden ontsleuteld met een platte tekst-datasleutel. De gebruiker moet de platte tekst-datasleutel na gebruik uit het geheugen verwijderen.
  Het volgende diagram laat zien hoe de decoderen bewerking de gecodeerde gegevenssleutel ontsleutelen:

• Gegevenssleutelpaar
  Gebruikers kunnen een asymmetrisch datasleutelpaar aanmaken dat bestaat uit wiskundig gerelateerde privé- en publieke sleutels. Deze sleutelparen worden doorgaans gebruikt voor encryptie en decryptie aan de clientzijde of voor het ondertekenings- en verificatieproces buiten AWS KMS.
  De persoonlijke sleutel van elke gegevenssleutel wordt door AWS KMS beschermd met door de gebruiker opgegeven symmetrische CMK's. Gebruikers moeten het gegevenssleutelpaar echter buiten AWS KMS beheren en gebruiken, aangezien AWS KMS geen gegevenssleutelparen bijhoudt, beheert of gebruikt om cryptografische bewerkingen uit te voeren.
  Gebruikers kunnen de volgende sleutelparen in AWS KMS genereren:  
  • RSA-sleutelpaar van 2048 bits, 3076 bits en 4096 bits. Wordt over het algemeen gebruikt voor encryptie en decryptie.
  • Elliptical Curve-sleutelpaar: ECC_NIST_P256, ECC_NIST_P384, ECC_NIST_P512 en ECC_SECG_P256K1. Wordt over het algemeen gebruikt voor ondertekening en verificatie.
• Een datasleutelpaar maken
  Om een ​​datasleutelpaar te genereren, moet de gebruiker de GenerateDataKeyPair or GenerateDataKeyPairWithoutPlaintext werking volgens de vereisten en specificeer een symmetrische CMK die de privésleutel zal versleutelen.
  GenerateDataKeyPair bewerkingen genereren drie sleutels: een openbare sleutel in platte tekst, een privésleutel in platte tekst en een gecodeerde privésleutel. Daarentegen, GenerateDataKeyPairWithoutPlaintext genereert twee sleutels: een openbare sleutel in platte tekst en een gecodeerde privésleutel.

• Gegevens versleutelen met een datasleutelpaar
  De openbare sleutel van een gegevenspaar wordt gebruikt om de gegevens te versleutelen. De privésleutel van hetzelfde gegevenspaar wordt gebruikt om de gegevens te ontsleutelen.

• Gegevens decoderen met een datasleutelpaar
  De platte tekst privésleutel van hetzelfde datasleutelpaar waarvan de publieke sleutel werd gebruikt voor encryptie, wordt gebruikt om de data te decoderen. decoderen bewerking wordt gebruikt om de gecodeerde persoonlijke sleutel van een datasleutelpaar te ontsleutelen en de persoonlijke sleutel in platte tekst uit het geheugen te verwijderen na gebruik.

• Berichten ondertekenen met een datasleutelpaar
  De plattetekst-privésleutel van een datasleutelpaar wordt gebruikt om een ​​cryptografische handtekening voor een bericht te genereren. Iedereen die over de openbare sleutel van hetzelfde datasleutelpaar beschikt, kan deze gebruiken om de handtekening te verifiëren.
  Als de privésleutel is gecodeerd met de AWS CMK, decoderen Er wordt een bewerking gebruikt die de persoonlijke sleutel in platte tekst retourneert die wordt gebruikt voor ondertekeningsdoeleinden. Zoals altijd dient de gebruiker de platte tekst van de persoonlijke sleutel na gebruik uit het geheugen te verwijderen.

• Een bericht verifiëren met een datasleutelpaar
  De publieke sleutel van het datasleutelpaar wordt gebruikt voor verificatie. De publieke sleutel moet behoren tot hetzelfde datasleutelpaar als waarvan de privésleutel is gebruikt voor de ondertekening. Verificatie van de handtekening bevestigt dat een geautoriseerde gebruiker het bericht heeft ondertekend en dat het bericht niet is gewijzigd.

• Aliassen
  Gebruikers kunnen een CMK een beschrijvende naam geven, een zogenaamde alias. Bijvoorbeeld, als de CMK-naam 9897aswd-34dw-1234-89hg-asdkal212012 is, kan de gebruiker er een alias met sleutel-01 aan geven. Met behulp van een alias kunnen gebruikers een CMK gemakkelijk identificeren in AWS KMS-bewerkingen.
• Cryptografische bewerkingen
  De AWS SDK, AWS Tools for PowerShell of AWS Command Line Interface (AWS CLI) zijn vereist om cryptografische bewerkingen met CMK's uit te voeren, omdat CMK's binnen AWS KMS blijven. Gebruikers kunnen geen cryptografische bewerkingen uitvoeren met CMK's in de AWS KMS-console.

Hieronder vindt u een tabel met een samenvatting van de cryptografische bewerkingen van AWS KMS:

Werking	CMK-sleuteltype	CMK-sleutelgebruik
decoderen	Symmetrisch/Asymmetrisch	VERSLEUTELEN_VERSLEUTELEN
Versleutelen	Symmetrisch/Asymmetrisch	VERSLEUTELEN_VERSLEUTELEN
GenerateDataKey	Symmetrisch	VERSLEUTELEN_VERSLEUTELEN
GenereerDataKeyZonderPlattetekst	Symmetrisch	VERSLEUTELEN_VERSLEUTELEN
GenerateDataKeyPair	asymmetrisch	VERSLEUTELEN_VERSLEUTELEN
GenerateDataKeyPairWithoutPlaintext	asymmetrisch	VERSLEUTELEN_VERSLEUTELEN
Opnieuw versleutelen	Symmetrisch/Asymmetrisch	VERSLEUTELEN_VERSLEUTELEN
Ondertekenen	asymmetrisch	SIGN_VERIFY
Controleren	asymmetrisch	SIGN_VERIFY

Let op:  GenerateDataKeyPair en GenerateDataKeyPairWithoutPlaintext bewerkingen genereren een asymmetrisch gegevenssleutelpaar dat door symmetrische CMK's wordt beschermd.

• Envelope-encryptie
  Gebruikers kunnen hun platte tekstgegevens beschermen door deze te versleutelen met een sleutel, maar hoe beschermen ze de encryptiesleutel? Dit brengt het concept van envelopversleuteling met zich mee, waarbij de platte tekstgegevens worden versleuteld met de datasleutels, en de datasleutels worden versleuteld met de hoofdsleutel. AWS KMS is verantwoordelijk voor de beveiliging van de hoofdsleutel. Hoofdsleutels worden opgeslagen en beheerd door AWS KMS en laten de HSM nooit ongecodeerd achter.
  Voordelen van envelopversleuteling:
  • Gegevenssleutels beschermen: De datasleutels zijn inherent beschermd door ze te versleutelen met CMK's. De versleutelde datasleutels kunnen dus veilig samen met de versleutelde data worden opgeslagen.
  • Het versleutelen van de gegevenssleutel met de hoofdsleutel: Het herhaaldelijk versleutelen van grote hoeveelheden data met datasleutels kan een tijdrovend proces zijn. In plaats van het herhaaldelijk versleutelen van data, kan de encryptiesleutel daarom worden versleuteld met een hoofdsleutel.
  • De kracht van meerdere algoritmen combineren: Met envelopversleuteling kunt u de kracht van zowel symmetrische als asymmetrische algoritmen gebruiken.
• Sleutelbeleid
  Gebruikers kunnen de rechten voor CMK definiëren in een document dat een sleutelbeleid wordt genoemd. Gebruikers kunnen op elk moment rechten toevoegen, verwijderen of wijzigen voor door de klant beheerde sleutels, maar kunnen de door AWS beheerde CMK niet bewerken, aangezien AWS deze namens de gebruiker beheert.
• Grant
  Vergunningen zijn tijdelijke rechten die gebruikers kunnen maken, gebruiken en verwijderen zonder de sleutel of het IAM-beleid te wijzigen. Vergunningen worden ook meegenomen in het IAM-beleid en sleutelbeleid wanneer gebruikers toegang krijgen tot een CMK.
• Controle van CMK-gebruik
  AWK KMS is geïntegreerd met CloudTrail, dat kan worden gebruikt om sleutelgebruik te controleren. CloudTrail maakt logbestanden aan voor AWS API-aanroepen en gerelateerde gebeurtenissen in het account. Deze logbestanden bevatten alle AWS API-aanvragen van AWS SDK, AWS Management Console of AWS-opdrachtregeltools. Deze logbestanden kunnen worden gebruikt om belangrijke informatie te vinden, zoals wanneer de CMK is gebruikt, welke bewerking is aangevraagd, de identiteit van de aanvrager en het bron-IP-adres.

Het creëren van door de klant beheerde symmetrische CMK's

Een gebruiker moet de volgende stappen volgen om een ​​door de klant beheerde symmetrische CMK te maken met behulp van de AWS Management Console:

1. Meld u aan bij de AWS-beheerconsole en open de AWS KMS-console.
2. U kunt de AWS-regio wijzigen in de rechterbovenhoek van de pagina.
3. Selecteer 'Klant beheert sleutels' in het navigatievenster.
4. Kies 'sleutel maken'.
5. Selecteer bij Sleuteltype het type CMK, bijvoorbeeld Symmetrisch.
6. Klik op Volgende.
7. Maak een alias voor de CMK.
8. Typ de beschrijving voor de CMK. (Optioneel)
9. Klik op Volgende.
10. Typ een tagsleutel en tagwaarde. (Optioneel)
11. Klik op Volgende.
12. Selecteer IAM-gebruikers en rollen die de CMK kunnen beheren.
13. Schakel het selectievakje 'Sta sleutelbeheerders toe deze sleutel te verwijderen' uit als u IAM-gebruikers en -rollen niet wilt toestaan ​​deze sleutel te verwijderen. (Optioneel)
14. Klik op Volgende.
15. Selecteer IAM-gebruikers en rollen die de CMK kunnen gebruiken om cryptografische bewerkingen uit te voeren.
16. Klik in het gedeelte Andere AWS-accounts op Nog een AWS-account toevoegen en typ het AWS-account-ID zodat deze CMK kan worden gebruikt voor cryptografische bewerkingen. (Optioneel)
17. Klik op Volgende.
18. Controleer de sleutelconfiguratie die u hebt uitgevoerd.
19. Klik op Voltooien om de CMK te maken.

Het creëren van door de klant beheerde asymmetrische CMK's

Een gebruiker moet de volgende stappen volgen om een ​​door de klant beheerde symmetrische CMK te maken met behulp van de AWS Management Console:

1. Meld u aan bij de AWS-beheerconsole en open de AWS KMS-console.
2. U kunt de AWS-regio wijzigen in de rechterbovenhoek van de pagina.
3. Selecteer 'Klant beheert sleutels' in het navigatievenster.
4. Kies 'sleutel maken'.
5. Selecteer bij Sleuteltype het type CMK, bijvoorbeeld Asymmetrisch.
6. Selecteer bij Sleutelgebruik het doel waarvoor de sleutel wordt aangemaakt, bijvoorbeeld Coderen en decoderen of Ondertekenen en verifiëren.
7. Selecteer de specificatie van uw asymmetrische CMK.
8. Klik op Volgende.
9. Maak een alias voor de CMK.
10. Typ de beschrijving voor de CMK. (Optioneel)
11. Typ een tagsleutel en tagwaarde. (Optioneel)
12. Klik op Volgende.
13. Selecteer IAM-gebruikers en rollen die de CMK kunnen beheren.
14. Schakel het selectievakje 'Sta sleutelbeheerders toe deze sleutel te verwijderen' uit als u IAM-gebruikers en -rollen niet wilt toestaan ​​deze sleutel te verwijderen. (Optioneel)
15. Klik op Volgende.
16. Selecteer IAM-gebruikers en rollen die de CMK kunnen gebruiken om cryptografische bewerkingen uit te voeren.
17. Klik in het gedeelte Andere AWS-accounts op Nog een AWS-account toevoegen en typ het AWS-account-ID zodat deze CMK kan worden gebruikt voor cryptografische bewerkingen. (Optioneel)
18. Klik op Volgende.
19. Controleer de sleutelconfiguratie die u hebt uitgevoerd.
20. Klik op Voltooien om de CMK te maken.

Voordelen van AWS KMS

1. Volledig beheerd: AWS KMS biedt volledige controle over de toegang tot versleutelde gegevens door de door de gebruiker gedefinieerde machtigingen voor het gebruik van sleutels af te dwingen.
2. Gecentraliseerd sleutelbeheer: AWS KMS biedt één centraal punt voor het beheren en definiëren van sleutelbeleid. Gebruikers kunnen sleutels aanmaken, importeren, beheren, verwijderen of roteren via de AWS-sleutelbeheerconsole of via de AWS CLI of SDK.
3. Gegevens digitaal ondertekenen: De gebruiker kan een asymmetrische sleutel genereren in AWS KMS en digitale ondertekeningsbewerkingen uitvoeren om de integriteit van de gegevens te behouden.
4. Veilig: In AWS KMS worden sleutels gegenereerd en beschermd in Hardware-beveiligingsmodules (HSM's) Gevalideerd onder FIPS 140-2. Om veiligheidsredenen worden sleutels alleen binnen HSM's gebruikt en kunnen ze nooit worden gedeeld buiten de AWS-regio waarin ze zijn gemaakt.
5. Ingebouwde auditing: AWS KMS is geïntegreerd met CloudTrail en helpt bij het monitoren van sleutelgebruik om te voldoen aan de regelgeving en nalevingsvereisten.

Hieronder vindt u de tabel met een overzicht van de crypto-eigenschappen van de AWS Key Management Service:

Bearing	Meerdere huurders
Standaard	FIPS 140-2 niveau 2
Hoofdsleutels	– Hoofdsleutel in eigendom van de klant – AWS beheerde hoofdsleutel – AWS-eigendom hoofdsleutel
Crypto-sleutels	– Symmetrisch – Asymmetrisch – AES alleen in XTS-modus
Crypto-API	AWS SDK/API voor KMS
Toegangsauthenticatie/beleid	AWS IAM-beleid
Belangrijkste toegankelijkheid	Toegankelijk in meerdere regio's (sleutels buiten de regio waarin ze zijn gemaakt, kunnen niet worden gebruikt)
Hoge beschikbaarheid	AWS beheerde service
Auditcapaciteit	– CloudTrail – Cloud Watch

AWS CloudHSM

AWS CloudHSM is een AWS-hardwarebeveiligingsmodule die eigendom is van en beheerd wordt door de klant. AWS CloudHSM fungeert als een single-tenant op de hardware, waardoor deze niet gedeeld kan worden met andere klanten en applicaties. Organisaties kunnen AWS CloudHSM gebruiken voor het beheren en beheren van HSM's met encryptiesleutels, maar hoeven zich geen zorgen te maken over het beheer van HSM-hardware in een datacenter.
Met AWS CloudHSM kunnen FIPS 140-2 Level 3-gevalideerde single-tenant HSM-clusters in uw Amazon Virtual Private Cloud (VPC) uw sleutels opslaan en gebruiken. Gebruikers van wie de sleutels worden gebruikt via een authenticatiemechanisme dat losstaat van AWS, krijgen volledige controle.

AWS CloudHSM ondersteunt meerdere use cases, waaronder de volgende: beheer van openbare/privé-sleutelparen voor Publieke Sleutel Infrastructuur (PKI), Code- en documentondertekening, of het opslaan van privésleutels voor diverse services zoals databases, opslag en webapplicaties, het opslaan van sleutels voor DRM-oplossingen. AWS CloudHSM stelt uw organisatie in staat om te voldoen aan de vereisten van sleutelbeheer vereisten met behulp van Hardware Security Modules die worden beheerd door AWS en die de mogelijkheid bieden om meerdere platformen te integreren om sleutels op te slaan.

Hieronder vindt u de tabel met een samenvatting van de AWS Cloud HSM Crypto-eigenschappen

Bearing	Meerdere huurders
Standaard	FIPS 140-2 niveau 2
Hoofdsleutels	– Hoofdsleutel in eigendom van de klant – AWS beheerde hoofdsleutel – AWS-eigendom hoofdsleutel
Crypto-sleutels	– Symmetrisch – Asymmetrisch – AES alleen in XTS-modus
Crypto-API	AWS SDK/API voor KMS
Toegangsauthenticatie/beleid	AWS IAM-beleid
Belangrijkste toegankelijkheid	Toegankelijk in meerdere regio's (sleutels buiten de regio waarin ze zijn gemaakt, kunnen niet worden gebruikt)
Hoge beschikbaarheid	AWS beheerde service
Auditcapaciteit	– CloudTrail – Cloud Watch

Aangepaste sleutelopslag

Met de Custom Key Store-functie van AWS KMS kunt u AWS CloudHSM-clusters eenvoudig integreren met AWS KMS.

Gebruikers kunnen hun CloudHSM-cluster configureren om sleutels op te slaan in plaats van de standaard KMS-sleutelopslag.

Gebruikers kunnen ook sleutelmateriaal genereren binnen het CloudHSM-cluster. De hoofdsleutels die in de sleutelopslag van de klant worden gegenereerd, verlaten de AWS Hardware Security Module in het CloudHSM-cluster nooit in platte tekst, en alle cryptografische bewerkingen die KMS nodig heeft, worden binnen de HSM's uitgevoerd.

Conclusie

AWS CloudHSM biedt sleutelopslag voor één tenant, waardoor organisaties voldoen aan FIPS 140-2 Level 3. CloudHSM biedt volledige controle over uw sleutels, waaronder symmetrisch (AES), asymmetrisch (RSA), SHA-256, SHA 512, hash-based of digitale handtekeningen (RSA). AWS Key Management Service daarentegen is een multi-tenant sleutelopslag die eigendom is van en beheerd wordt door AWS. AWS KMS staat Customer Master Keys toe voor symmetrische sleutelversleuteling (AES-256-XTS) en asymmetrische sleutels (RSA of elliptische curve (ECC)). Stel dat de sleutelbeheerstrategie van uw organisatie voor encryptie nu en in de nabije toekomst uit één cloudprovider bestaat. In dat geval biedt AWS KMS de eenvoudigste omgeving om de sleutels te beheren. Stel echter dat u van plan bent om te profiteren van meerdere cloudproviders, maar de HSM's niet wilt onderhouden. In dat geval is AWS CloudHSM mogelijk de oplossing voor uw organisatie. Hiermee kunt u encryptiesleutels scheiden van de gegevens op de andere gebruikte platforms.