Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einführung in die kryptografischen Details von AWS KMS
<a name="intro"></a>

AWS Key Management Service (AWS KMS) stellt eine Weboberfläche zur Generierung und Verwaltung kryptografischer Schlüssel bereit und fungiert als Anbieter für kryptografische Dienste zum Schutz von Daten. AWS KMS bietet traditionelle Schlüsselverwaltungsdienste, die in Dienste integriert sind, um einen konsistenten Überblick über die Schlüssel der Kunden zu bieten AWS, und zwar mit zentraler Verwaltung und Prüfung. AWS Dieses Whitepaper enthält eine detaillierte Beschreibung der kryptografischen Operationen von, AWS KMS um Sie bei der Bewertung der vom Service angebotenen Funktionen zu unterstützen.

AWS KMS [umfasst eine Weboberfläche über den AWS-Managementkonsole, eine Befehlszeilenschnittstelle und RESTful API-Operationen zur Anforderung kryptografischer Operationen einer verteilten Flotte von FIPS 140-3-validierten Hardware-Sicherheitsmodulen () [1]. HSMs](kms-bibliography.md#fips-hsms) Das AWS KMS HSM ist eine eigenständige Hardware-Kryptografie-Appliance mit mehreren Chips, die spezielle kryptografische Funktionen bereitstellt, um die Sicherheits- und Skalierbarkeitsanforderungen von zu erfüllen. AWS KMS Sie können Ihre eigene HSM-basierte kryptografische Hierarchie unter Schlüsseln einrichten, die Sie als AWS KMS keys verwaltet werden. Diese Schlüssel werden nur auf dem HSMs und nur für den Zeitraum im Speicher zur Verfügung gestellt, der für die Bearbeitung Ihrer kryptografischen Anfrage erforderlich ist. Sie können mehrere KMS-Schlüssel erstellen, die jeweils durch seine Schlüssel-ID dargestellt werden. Nur im Rahmen von AWS IAM-Rollen und -Konten, die von jedem Kunden verwaltet werden, können Kunden-KMS-Schlüssel erstellt, gelöscht oder zum Verschlüsseln, Entschlüsseln, Signieren oder Überprüfen von Daten verwendet werden. Sie können Zugriffskontrollen dafür definieren, wer die and/or Nutzung von KMS-Schlüsseln verwalten kann, indem Sie eine Richtlinie erstellen, die an den Schlüssel angehängt ist. Mithilfe dieser Richtlinien können Sie anwendungsspezifische Verwendungen für Ihre Schlüssel für jeden API-Vorgang definieren.

Darüber hinaus unterstützen die meisten AWS Dienste die Verschlüsselung ruhender Daten mithilfe von KMS-Schlüsseln. Mit dieser Funktion können Kunden steuern, wie und wann AWS Dienste auf verschlüsselte Daten zugreifen können, indem sie steuern, wie und wann auf KMS-Schlüssel zugegriffen werden kann. 

![\[AWS KMS Architektur.\]](http://docs.aws.amazon.com/de_de/kms/latest/cryptographic-details/images/KMS-Architecture.png)


AWS KMS ist ein mehrstufiger Dienst, der aus mit dem Internet verbundenen AWS KMS Hosts und einer Stufe von besteht. HSMs Die Gruppierung dieser mehrstufigen Hosts bildet den Stack. AWS KMS Alle Anfragen an AWS KMS müssen über das Transport Layer Security-Protokoll (TLS) gestellt und auf einem AWS KMS Host beendet werden. AWS KMS Hosts erlauben TLS nur mit einer Ciphersuite, die Perfect [Forward](http://dx.doi.org/10.6028/NIST.SP.800-52r2) Secrecy bietet. AWS KMS authentifiziert und autorisiert Ihre Anfragen mit denselben Anmelde- und Richtlinienmechanismen von AWS Identity and Access Management (IAM), die für alle anderen API-Operationen verfügbar sind. AWS 

# Grundkonzepte
<a name="basic-concepts"></a>

Wenn Sie einige grundlegende Begriffe und Konzepte erlernen, können Sie das Beste daraus machen AWS Key Management Service. 

**AWS KMS key**  
AWS KMS ersetzt den Begriff *Customer Master Key (CMK)* durch *AWS KMS key*einen *KMS-Schlüssel*. Das Konzept hat sich nicht geändert. Um bahnbrechende Änderungen zu verhindern, AWS KMS werden einige Varianten dieses Begriffs beibehalten.
Ein logischer Schlüssel, der den oberen Teil Ihrer Schlüsselhierarchie darstellt. Einem KMS-Schlüssel wird ein Amazon-Ressourcenname (ARN) zugewiesen, der eine eindeutige Schlüsselkennung oder Schlüssel-ID enthält. AWS KMS keys haben drei Typen:  
+ **Vom Kunden verwalteter Schlüssel** – Kunden erstellen und steuern den Lebenszyklus und die wichtigsten Richtlinien von vom Kunden verwalteten Schlüsseln. Alle Anfragen an diese Schlüssel werden als CloudTrail Ereignisse protokolliert.
+ **Von AWS verwaltete Schlüssel**— AWS erstellt und steuert den Lebenszyklus und die wichtigsten Richtlinien für Ressourcen eines Kunden AWS-Konto. Von AWS verwaltete Schlüssel Kunden können die Zugriffsrichtlinien und CloudTrail Ereignisse für diese Schlüssel einsehen Von AWS verwaltete Schlüssel, aber keinen Aspekt dieser Schlüssel verwalten. Alle Anfragen, die sich auf diese Schlüssel beziehen, werden als CloudTrail Ereignisse protokolliert.
+ **AWS-eigene Schlüssel**— Diese Schlüssel werden von verschiedenen AWS Diensten erstellt und ausschließlich AWS für interne Verschlüsselungsvorgänge verwendet. Kunden haben keinen Einblick in die wichtigsten Richtlinien oder deren AWS-eigener Schlüssel Verwendung in CloudTrail.

**Alias**  
Ein benutzerfreundlicher Name, der einem KMS-Schlüssel zugeordnet ist. Der Alias kann in vielen AWS KMS API-Vorgängen synonym mit der Schlüssel-ID verwendet werden.

**Berechtigungen**  
Eine Richtlinie, die einem KMS-Schlüssel zugeordnet ist, die Berechtigungen für den Schlüssel definiert. Die Standardrichtlinie erlaubt allen Prinzipalen, die Sie definieren, sowie das Hinzufügen von IAM-Richtlinien AWS-Konto , die auf den Schlüssel verweisen.

**Gewährungen**  
Die delegierte Berechtigung zur Verwendung eines KMS-Schlüssels, wenn die beabsichtigten IAM-Prinzipale oder die Nutzungsdauer zu Beginn nicht bekannt sind und daher nicht zu einem Schlüssel oder einer IAM-Richtlinie hinzugefügt werden können. Grants werden unter anderem verwendet, um abgegrenzte Berechtigungen dafür zu definieren, wie ein Dienst einen AWS KMS-Schlüssel verwenden kann. Der Service muss möglicherweise Ihren Schlüssel verwenden, um in Ihrem Namen asynchrone Arbeiten an verschlüsselten Daten durchzuführen, wenn kein direkt signierter API-Aufruf von Ihnen vorliegt.

**Datenschlüssel**  
Kryptografische Schlüssel, die am generiert und durch einen KMS-Schlüssel geschützt HSMs sind. AWS KMS ermöglicht autorisierten Entitäten den Zugriff auf Datenschlüssel, die durch einen KMS-Schlüssel geschützt sind. Sie können sowohl als Klartext-Datenschlüssel (unverschlüsselt) als auch als verschlüsselte Datenschlüssel zurückgegeben werden. Datenschlüssel können symmetrisch oder asymmetrisch sein (wobei sowohl der öffentliche als auch der private Teil zurückgegeben wird).

**Verschlüsselungstexte**  
Die verschlüsselte Ausgabe von AWS KMS, manchmal auch als Kundenchiffretext bezeichnet, um Verwechslungen zu vermeiden. Verschlüsselungstext enthält verschlüsselte Daten mit zusätzlichen Informationen, die den KMS-Schlüssel identifizieren, der im Entschlüsselungsprozess verwendet werden soll. Verschlüsselte Datenschlüssel sind ein gängiges Beispiel für Verschlüsselungstext, der bei Verwendung eines KMS-Schlüssels erzeugt wird. Alle Daten mit einer Größe von 4 KB können jedoch unter einem KMS-Schlüssel verschlüsselt werden, um einen Verschlüsselungstext zu erzeugen.

**Verschlüsselungskontext**  
Eine Zuordnung von Schlüssel-Wert-Paaren mit zusätzlichen Informationen, die mit geschützten Informationen verknüpft sind. AWS KMS AWS KMS verwendet authentifizierte Verschlüsselung, um Datenschlüssel zu schützen. Der Verschlüsselungskontext ist in das AAD der authentifizierten Verschlüsselung in AWS KMS verschlüsselten Chiffretexten integriert. Diese Kontextinformation ist optional und wird nicht zurückgegeben, wenn Sie einen Schlüssel (oder einen Verschlüsselungsvorgang) anfordern. Dieser Kontextwert ist jedoch erforderlich, um einen Entschlüsselungsvorgang erfolgreich abzuschließen. Eine beabsichtigte Verwendung des Verschlüsselungskontexts besteht darin, zusätzliche authentifizierte Informationen bereitzustellen. Diese Informationen können Ihnen bei der Durchsetzung von Richtlinien helfen und werden in die Protokolle aufgenommen. AWS CloudTrail Sie können beispielsweise ein Schlüssel-Wert-Paar von \$1"key name":"satellite uplink key"\$1 verwenden, um den Datenschlüssel zu benennen. Bei der späteren Verwendung des Schlüssels wird ein AWS CloudTrail Eintrag erstellt, der „Schlüsselname“: „Satelliten-Uplink-Schlüssel“ enthält. Diese zusätzlichen Informationen können einen nützlichen Kontext liefern, um zu verstehen, warum ein bestimmter KMS-Schlüssel verwendet wurde.

**Öffentlicher Schlüssel**  
Wenn asymmetrische Verschlüsselungen (RSA oder elliptische Kurve) verwendet werden, ist der öffentliche Schlüssel die „öffentliche Komponente“ eines öffentlich-privaten Schlüsselpaars. Der öffentliche Schlüssel kann freigegeben und an Entitäten verteilt werden, die Daten für den Besitzer des öffentlich-privaten Schlüsselpaars verschlüsseln müssen. Bei digitalen Signaturvorgängen wird der öffentliche Schlüssel verwendet, um die Signatur zu überprüfen.

**Privater Schlüssel**  
Bei der Verwendung asymmetrischer Verschlüsselungen (RSA oder elliptische Kurve) ist der private Schlüssel die „private Komponente“ eines öffentlich-privaten Schlüsselpaares. Mit dem privaten Schlüssel werden dann Daten entschlüsselt oder digitale Signaturen erstellt. Ähnlich wie bei symmetrischen KMS-Schlüsseln werden private Schlüssel verschlüsselt. HSMs Sie werden nur in das Kurzzeitgedächtnis des HSM und nur für die Zeit entschlüsselt, die für die Bearbeitung Ihrer kryptografischen Anfrage benötigt wird.

# AWS KMS Ziele des Entwurfs
<a name="design-goals"></a>

AWS KMS wurde entwickelt, um die folgenden Anforderungen zu erfüllen.

**Haltbarkeit**  
Die Haltbarkeit kryptografischer Schlüssel ist so konzipiert, dass sie der Lebensdauer von Diensten mit der höchsten Haltbarkeit entspricht. AWS Ein einzelner kryptografischer Schlüssel kann große Datenmengen verschlüsseln, die sich über eine lange Zeit angesammelt haben. 

**Vertrauenswürdig**  
Die Verwendung von Schlüsseln ist durch Zugriffssteuerungsrichtlinien geschützt, die Sie definieren und verwalten. Es gibt keinen Mechanismus, um Klartext-KMS-Schlüssel zu exportieren. Die Vertraulichkeit Ihrer kryptografischen Schlüssel ist von entscheidender Bedeutung. Für die Durchführung administrativer Aktionen am sind mehrere Amazon-Mitarbeiter mit rollenspezifischem Zugriff auf quorumbasierte Zugriffskontrollen erforderlich. HSMs 

**Niedrige Latenz und hoher Durchsatz**  
AWS KMS bietet kryptografische Operationen mit Latenz- und Durchsatzniveaus, die für die Verwendung durch andere Dienste in geeignet sind. AWS

**Unabhängige Regionen**  
AWS bietet unabhängige Regionen für Kunden, die den Datenzugriff in verschiedenen Regionen einschränken müssen. Die Schlüsselverwendung kann innerhalb eines AWS-Region isoliert werden.

**Sichere Quelle von Zufallszahlen**  
Da starke Kryptographie von einer wirklich unvorhersehbaren Zufallszahlengenerierung abhängt, bietet AWS KMS eine qualitativ hochwertige und validierte Quelle für Zufallszahlen. 

**Audit**  
AWS KMS zeichnet die Verwendung und Verwaltung kryptografischer Schlüssel in AWS CloudTrail Protokollen auf. Mithilfe von AWS CloudTrail Protokollen können Sie die Verwendung Ihrer kryptografischen Schlüssel überprüfen, einschließlich der Verwendung von Schlüsseln durch AWS Dienste in Ihrem Namen.

Um diese Ziele zu erreichen, umfasst das AWS KMS System eine Reihe von AWS KMS Operatoren und Service-Host-Betreibern (zusammen „Betreiber“), die „Domains“ verwalten. Eine Domain ist eine regional definierte Gruppe von AWS KMS Servern und HSMs Operatoren. Jeder AWS KMS Operator verfügt über ein Hardware-Token, das ein privates und ein öffentliches key pair enthält, das zur Authentifizierung seiner Aktionen verwendet wird. HSMsSie verfügen über ein zusätzliches privates und öffentliches key pair, um Verschlüsselungsschlüssel einzurichten, die die HSM-Statussynchronisierung schützen.

In diesem paper wird veranschaulicht, wie Ihre Schlüssel und andere Daten, die Sie verschlüsseln möchten, AWS KMS geschützt werden. In diesem Dokument werden Verschlüsselungsschlüssel oder Daten, die Sie verschlüsseln möchten, als „Geheimnisse“ oder „Geheimmaterial“ bezeichnet.