Zum Hauptinhalt springen
DE / EN
Cloud / AWS / Produkte / AWS KMS

AWS KMS

AWS KMS ist ein AWS-Service für Data encryption und Digital signing. DSGVO-konform in EU-Regionen verfügbar.

Security, Identity & Compliance
Beratung anfragen Dokumentation
Preismodell Pay per key and API request
Verfügbarkeit All regions
Datensouveränität EU regions available
Zuverlässigkeit 99.99% availability SLA

Was ist AWS KMS?

AWS KMS (Key Management Service) ist ein managed Service zur zentralen Verwaltung kryptografischer Schlüssel. KMS ermöglicht die Erstellung, Rotation und Kontrolle von Encryption Keys, die zum Schutz Ihrer Daten in AWS Services und eigenen Anwendungen genutzt werden.

Der Service nutzt Hardware Security Modules (HSMs) mit FIPS 140-2 Level 2 Zertifizierung (CloudHSM bietet Level 3). Private Keys verlassen nie die HSMs im Klartext. KMS integriert sich nahtlos mit über 100 AWS Services: S3, EBS, RDS, DynamoDB, Lambda, Secrets Manager und viele mehr.

AWS KMS ist in allen AWS Regionen verfügbar, inklusive EU-Regionen für DSGVO-Compliance. Der Service bietet 99,99% Verfügbarkeit SLA und ermöglicht Multi-Region Keys für globale Verschlüsselung ohne Performance-Einbußen.

Wie funktioniert AWS KMS?

KMS basiert auf Envelope Encryption: Statt Daten direkt mit dem Master Key zu verschlüsseln (API-Limit 4 KB), generiert KMS Data Encryption Keys (DEKs), die Ihre Daten verschlüsseln. Der DEK selbst wird mit dem KMS Master Key verschlüsselt.

Encryption Workflow

Verschlüsselung:

  1. Anwendung ruft GenerateDataKey API auf
  2. KMS generiert Klartext-DEK und verschlüsselten DEK
  3. Anwendung verschlüsselt Daten mit Klartext-DEK (lokal)
  4. Anwendung speichert verschlüsselte Daten + verschlüsselten DEK
  5. Klartext-DEK wird aus Memory gelöscht

Entschlüsselung:

  1. Anwendung ruft Decrypt API mit verschlüsseltem DEK auf
  2. KMS prüft Key Policy und IAM Permissions
  3. KMS entschlüsselt DEK mit Master Key, gibt Klartext-DEK zurück
  4. Anwendung entschlüsselt Daten mit Klartext-DEK (lokal)
  5. Klartext-DEK wird aus Memory gelöscht

Vorteil: Unbegrenzte Datenmengen verschlüsselbar, Performance-Optimierung durch lokale Encryption, KMS sieht niemals Ihre Daten.

Key Types

Symmetric Keys (AES-256): Standard für Daten-Encryption, höchste Performance, unterstützt Encrypt/Decrypt/GenerateDataKey. 99% aller KMS Keys sind symmetric.

Asymmetric Keys (RSA, ECC): Public/Private Key Pairs für Sign/Verify oder Encrypt/Decrypt. Public Key exportierbar, Private Key bleibt in KMS HSM. Anwendung: digitale Signaturen, PKI-Integration, Cross-Platform Encryption.

HMAC Keys: Für Hash-based Message Authentication Codes (GenerateMac, VerifyMac). Use Case: API Request Signing, Token Generation.

Key Policies und Permissions

Jeder KMS Key hat eine Key Policy (Resource-based Policy), die definiert, wer den Key nutzen darf. Key Policy ist obligatorisch, IAM Policies sind optional zusätzlich. Effective Permissions sind Union beider.

Best Practice: Verwenden Sie Key Policy Conditions für Fine-grained Access Control:

  • kms:ViaService (nur via S3, RDS)
  • kms:EncryptionContext (Encryption Context muss matchen)
  • aws:SourceVpc (nur aus spezifischem VPC)
  • aws:MultiFactorAuthPresent (nur mit MFA)

Grants sind temporäre, delegierbare Permissions für Service-to-Service-Zugriffe. AWS Services wie EBS, RDS erstellen automatisch Grants beim Attach von encrypted Volumes.

Typische Anwendungsfälle für AWS KMS

Encryption at Rest für AWS Services

KMS ist der Standard-Mechanismus für Encryption at Rest in AWS. Über 100 Services integrieren KMS:

S3: Bucket- oder Objekt-basierte Encryption mit SSE-KMS, Encryption Context für Audit
EBS: Verschlüsselte Volumes für EC2 Instances, Performance-Impact <5%
RDS/Aurora: Transparente Database Encryption (TDE), Backups automatisch verschlüsselt
DynamoDB: Table Encryption mit KMS, keine Latency-Erhöhung
Lambda: Environment Variables, Code-Signing
Secrets Manager: Secret-Encryption, automatische Rotation

Vorteil: Zentrale Key-Verwaltung, einheitliche Audit-Trails, Compliance-Nachweise (HIPAA, PCI DSS, DSGVO).

Client-Side Encryption in Anwendungen

Verschlüsseln Sie Daten bereits in Ihrer Anwendung, bevor Sie sie an AWS Services senden:

S3 Client-Side Encryption: AWS Encryption SDK nutzt KMS für Data Key Management
Datenbank-Feldverschlüsselung: Sensitive Spalten (PII) verschlüsselt speichern
File Encryption: Verschlüsselte Backups, verschlüsselter Datenaustausch

KMS Envelope Encryption ermöglicht Verschlüsselung unbegrenzter Datenmengen. AWS Encryption SDK übernimmt Key-Caching, reduziert KMS API-Calls um bis zu 99%.

Compliance und Regulatory Requirements

KMS erfüllt strenge Compliance-Anforderungen:

DSGVO: EU-Region Keys (Frankfurt, Ireland) für Datensouveränität
HIPAA: BAA verfügbar, FIPS 140-2 zertifizierte HSMs
PCI DSS: Schlüsselverwaltung nach Level 1 Requirements
ISO 27001, SOC 1/2/3: AWS-Zertifizierungen decken KMS ab

CloudTrail loggt alle Key-Zugriffe mit Principal, Zeitstempel, Encryption Context. Audit-Logs für Compliance-Nachweise. Custom Key Stores mit CloudHSM für höchste Isolation.

Cross-Account Encryption

KMS Keys können cross-account geteilt werden für zentrale Key-Verwaltung:

Zentrales Security Account: Erstellt und verwaltet KMS Keys
Workload Accounts: Nutzen Keys via Cross-Account Key Policy
AWS Organizations Integration: Service Control Policies erzwingen KMS-Nutzung

Beispiel: Security-Team verwaltet Production Encryption Keys, Entwickler-Teams haben ReadOnly-Zugriff für Debugging. Separation of Duties nach NIST Guidelines.

Digital Signatures und PKI

Asymmetrische KMS Keys (RSA, ECC) unterstützen Sign/Verify-Operationen ohne Private Key Export:

Code Signing: Signieren von Lambda Deployment-Paketen, Container Images
Dokument-Signaturen: PDF-Signing, digitale Verträge
API Authentication: JWT Token Signing mit RS256, ES256
Blockchain: ECDSA-Signaturen für Ethereum (secp256k1 Curve)

Vorteil: Private Key bleibt in FIPS-zertifizierter Hardware, nie exportierbar. Public Key downloadbar für Verifikation. CloudTrail Audit für alle Signing-Operationen.

Multi-Region Disaster Recovery

Multi-Region Keys ermöglichen globale Verschlüsselung/Entschlüsselung mit identischen Key IDs:

Globale Replikation: S3 Cross-Region Replication mit Multi-Region Key
Disaster Recovery: Failover zu anderer Region ohne Re-Encryption
Low Latency: Lokale Decrypt-Calls, keine Cross-Region API-Latency

Ein Primary Key in primärer Region, Replica Keys in DR-Regionen. Key Material synchronisiert automatisch. Bei Ausfall der Primary-Region: Promote Replica zu Primary.

Best Practices für AWS KMS

1. Nutzen Sie Customer Managed Keys für Produktionsdaten

AWS Managed Keys (aws/s3, aws/rds) sind einfach, aber bieten keine Kontrolle. Für Produktionsdaten: Customer Managed Keys mit Custom Key Policy, Rotation, CloudTrail Logging.

Key Policy mit Least Privilege: Separate Permissions für Key Administration (CreateKey, ScheduleKeyDeletion) und Key Usage (Encrypt, Decrypt). Different IAM Principals für Admin vs. Usage.

2. Aktivieren Sie automatische Key Rotation

Customer Managed Keys unterstützen automatische jährliche Rotation. KMS erstellt neues Key Material, behält alte Versionen für Entschlüsselung. Rotation transparent für Anwendungen.

CloudTrail loggt RotateKey Events. AWS Config überwacht Rotation-Status. Alarm bei deaktivierter Rotation für Compliance.

3. Verwenden Sie Encryption Context für Audit

Encryption Context ist Additional Authenticated Data (AAD) für AES-GCM. Key-Value Pairs, die bei Encrypt/Decrypt matchen müssen:

{
  "department": "finance",
  "document": "invoice-12345"
}

Encryption Context erscheint im CloudTrail Log (unverschlüsselt). Ermöglicht feingranulare Audit-Trails: Welcher Principal hat welches Dokument entschlüsselt? Key Policy Conditions können Encryption Context erzwingen.

4. Implementieren Sie Key Policy Conditions

Granulare Zugriffskontrolle durch Key Policy Conditions:

kms:ViaService: Nur Decrypt via RDS, nicht direkt
aws:SourceVpc/aws:SourceVpce: Nur aus spezifischem VPC/VPC Endpoint
aws:RequestedRegion: Nur in EU-Regionen
kms:EncryptionContext: Encryption Context muss spezifische Keys enthalten

Verhindert Missbrauch: Selbst mit IAM Permission kann Key nicht außerhalb erlaubter Services/Regionen genutzt werden.

5. Nutzen Sie separate Keys für verschiedene Zwecke

Key Separation nach Data Classification, Service, Environment:

Production vs. Development: Separate Keys, verschiedene Key Policies
Service-spezifisch: S3-Key, RDS-Key, Lambda-Key (Blast Radius Reduction)
Data Classification: PII-Key, Financial-Data-Key, Public-Data-Key

Bei Key Compromise ist nur Subset der Daten betroffen. Einfachere Compliance-Audits (nur Financial-Data-Key für PCI DSS Audit relevant).

6. Überwachen Sie Key-Nutzung kontinuierlich

CloudWatch Metrics für KMS API-Calls, Latency, Throttling. CloudTrail für Audit (wer, was, wann). AWS Config für Configuration Changes (Key Policy Updates, Rotation Status).

Alarme für ungewöhnliche Aktivität:

  • DeleteKey, DisableKey, CancelKeyDeletion
  • ScheduleKeyDeletion ohne Approval
  • UnusedKeys (keine API-Calls in 90 Tagen)
  • Excessive Decrypt Failures (potentielle Attacke)

GuardDuty identifiziert KMS-bezogene Threats (Anonymous API Calls, Unusual Key Access Patterns).

7. Nutzen Sie AWS Encryption SDK für Client-Side Encryption

AWS Encryption SDK übernimmt KMS-Integration, Envelope Encryption, Key Caching. Unterstützte Sprachen: Java, Python, JavaScript, C, CLI.

Key Caching reduziert KMS API-Calls um bis zu 99% durch Reuse von Data Keys. Konfigurierbare Max Age, Max Messages per Data Key. Encryption Context automatisch in Ciphertext embedded.

8. Implementieren Sie Key Deletion Safeguards

KMS Key Deletion ist irreversibel. Safeguards:

Waiting Period: 7-30 Tage zwischen ScheduleKeyDeletion und tatsächlicher Deletion
CloudTrail Alert: Alarm bei ScheduleKeyDeletion Event
Approval Workflow: SNS Notification + Manual Approval vor CancelKeyDeletion
Deny Key Deletion: Key Policy verbietet ScheduleKeyDeletion für bestimmte Principals

Für ungenutzte Keys: Disable statt Delete (jederzeit reversibel). AWS Config Rule: Alarm bei Disabled Keys >90 Tage.

AWS KMS vs. Alternativen

Beim Vergleich von Key Management-Lösungen verschiedener Cloud-Provider zeigen sich unterschiedliche Stärken:

AWS KMS vs. Google Cloud KMS

Google Cloud KMS bietet ähnliche Features wie AWS KMS: Symmetric/Asymmetric Keys, automatische Rotation, HSM-backed. Google nutzt Single Global Keyring, AWS Region-spezifische Keys (außer Multi-Region).

AWS-Vorteile: Größere Service-Integration (über 100 Services), reiferes Tooling, bessere BYOK-Support, External Key Store (on-premises HSM).

Google-Vorteile: Einfacheres Key-Versioning, granulareres IAM (keine separaten Key Policies), günstigere API-Preise bei hohem Volumen.

AWS KMS vs. Azure Key Vault

Azure Key Vault kombiniert Key Management, Secret Storage, Certificate Management. AWS trennt KMS (Keys), Secrets Manager (Secrets), ACM (Certificates).

AWS-Vorteile: Klarere Separation of Concerns, umfangreichere Encryption Context Features, bessere Multi-Region Keys.

Azure-Vorteile: All-in-One Secret Management, Managed HSM für dedizierte Pools, BYOK mit nShield HSMs.

Wann KMS vs. CloudHSM?

KMS wählen bei: Standard-Compliance (HIPAA, PCI DSS, DSGVO), Multi-Tenant-HSM akzeptabel, einfaches Management, Integration mit AWS Services.

CloudHSM wählen bei: FIPS 140-2 Level 3 erforderlich, Single-Tenant-HSM-Anforderung, benutzerdefinierte Crypto-Operationen, volle Kontrolle über Key Lifecycle.

CloudHSM kostet ca. 1.500 USD/Monat pro HSM (mindestens 2 für HA), KMS Customer Managed Keys kosten 1 USD/Monat.

Als Multi-Cloud-Experten beraten wir Sie herstellerneutral zur optimalen Lösung für Ihre Anforderungen.

AWS KMS Integration mit innFactory

Als AWS Reseller unterstützt innFactory Sie bei:

Architektur-Design: Wir konzipieren sichere Key-Management-Architekturen mit KMS. Key Hierarchies, Encryption Context Strategies, Multi-Region Key Design. Integration mit IAM, CloudTrail, AWS Config für Compliance.

Migration: Sichere Migration bestehender Encryption-Lösungen zu KMS. Re-Encryption von Daten, Import eigener Keys (BYOK), CloudHSM-Migration. Zero-Downtime-Migrationen für produktive Systeme.

Security & Compliance: DSGVO-konforme KMS-Implementierung in EU-Regionen. Key Policy Design nach Least-Privilege, Encryption-at-Rest für alle sensiblen Daten, Audit-Trails mit CloudTrail. Compliance-Nachweise für HIPAA, PCI DSS, ISO 27001.

Performance-Optimierung: AWS Encryption SDK Integration mit Key Caching zur Reduktion von KMS API-Calls. Batch-Encryption-Workflows, Async-Decrypt-Patterns. Monitoring mit CloudWatch für Throttling-Vermeidung.

Kostenoptimierung: Analyse Ihrer KMS-Nutzung zur Identifikation ungenutzter Keys, Optimierung von API-Call-Patterns, Data Key Caching. Typische Einsparung: 20-40% bei API-Kosten.

Schulung & Workshops: KMS Best Practices, Envelope Encryption, Key Policy Development, CloudHSM Integration. Hands-on Workshops zu Client-Side Encryption mit AWS Encryption SDK.

24/7 Support: Monitoring kritischer KMS-Events (ScheduleKeyDeletion, DisableKey). Incident Response bei Key-Kompromittierung. Proaktive Rotation-Reminders und Compliance-Checks.

Kontaktieren Sie uns für eine unverbindliche Beratung zu AWS KMS und Encryption-Architekturen auf AWS.

Verfügbare Varianten & Optionen

AWS Managed Keys

Stärken
  • Automatisch erstellt und verwaltet
  • Keine Kosten für Key Storage
  • Integration mit AWS Services
Einschränkungen
  • Keine Key Policy Kontrolle
  • Keine Cross-Account Nutzung
Empfohlen

Customer Managed Keys

Stärken
  • Volle Kontrolle über Key Policies
  • Cross-Account Zugriff möglich
  • Automatische Rotation optional
  • CloudTrail Audit Logs
Einschränkungen
  • 1 USD/Monat pro Key

CloudHSM

Stärken
  • Dedizierte HSM Hardware (FIPS 140-2 Level 3)
  • Volle Kontrolle über Keys
  • Compliance für höchste Anforderungen
Einschränkungen
  • Deutlich teurer (ca. 1.500 USD/Monat)
  • Komplexeres Management

Typische Anwendungsfälle

Data encryption
Digital signing
Compliance
Key management

Technische Spezifikationen

API rate limits 5,500-30,000 requests/second (shared)
Compliance FIPS 140-2 Level 2/3, PCI DSS, HIPAA
Key origin AWS_KMS (default), EXTERNAL (bring your own), AWS_CLOUDHSM
Key spec asymmetric RSA_2048, RSA_3072, RSA_4096, ECC_NIST_P256, ECC_NIST_P384, ECC_NIST_P521, ECC_SECG_P256K1
Key spec symmetric SYMMETRIC_DEFAULT (AES-256-GCM)
Key types Symmetric (AES-256), Asymmetric (RSA, ECC)
Max data size 4 KB (direct encryption), unlimited (data keys)
Rotation Automatic yearly rotation (customer managed keys)

Häufig gestellte Fragen

Was ist AWS KMS?

AWS KMS (Key Management Service) ist ein verwalteter Service zur Erstellung und Kontrolle kryptografischer Schlüssel. KMS integriert sich nahtlos mit über 100 AWS Services (S3, EBS, RDS, Lambda) für Encryption at Rest. Der Service nutzt Hardware Security Modules (HSMs) mit FIPS 140-2 Level 2/3 Zertifizierung. KMS ermöglicht zentrale Key-Verwaltung, Audit-Trails und granulare Zugriffskontrolle.

Was kostet AWS KMS?

Customer Managed Keys kosten 1 USD pro Monat und Key. API-Requests kosten 0,03 USD pro 10.000 Requests (erste 20.000/Monat kostenlos). AWS Managed Keys sind kostenlos. Asymmetrische Keys und Multi-Region Keys kosten ebenfalls 1 USD/Monat. CloudHSM kostet ca. 1.500 USD/Monat pro HSM plus 1 USD/Stunde Nutzung. Typische monatliche Kosten: 10-100 USD für Standard-Setups.

Wie funktioniert Envelope Encryption?

Envelope Encryption ist das KMS-Grundprinzip: KMS generiert Data Encryption Keys (DEKs), die Ihre Daten verschlüsseln. Der DEK selbst wird mit dem KMS Master Key verschlüsselt und neben den Daten gespeichert. Bei Entschlüsselung ruft KMS den verschlüsselten DEK ab, entschlüsselt ihn mit dem Master Key und gibt den Klartext-DEK zurück. Vorteil: Unbegrenzte Datenmengen verschlüsselbar (KMS API-Limit 4 KB).

Was ist der Unterschied zwischen AWS Managed und Customer Managed Keys?

AWS Managed Keys (aws/s3, aws/rds) werden automatisch erstellt, wenn Sie Encryption aktivieren. Sie sind kostenlos, aber Sie haben keine Kontrolle über Key Policies oder Rotation. Customer Managed Keys geben Ihnen volle Kontrolle: Key Policies, Cross-Account Access, manuelle Rotation, CloudTrail Logs. Best Practice: Customer Managed Keys für Produktionsdaten.

Wie implementiere ich automatische Key Rotation?

Customer Managed Keys unterstützen automatische jährliche Rotation (aktivieren in Key Settings). KMS erstellt neues Key Material, behält alte Versionen für Entschlüsselung bestehender Daten. Rotation ist transparent: Keine Code-Änderungen nötig. AWS Managed Keys rotieren automatisch alle 3 Jahre (nicht konfigurierbar). Imported Keys müssen manuell rotiert werden.

Kann ich eigene Keys importieren (BYOK)?

Ja, über Import Key Material können Sie eigene Keys in KMS importieren. Voraussetzungen: Keys müssen AES-256 symmetric sein, mit KMS Public Wrapping Key verschlüsselt importiert werden. Sie kontrollieren Key Lifecycle (Ablaufdatum setzen). Nachteil: Keine automatische Rotation, Sie müssen Keys extern verwalten. Use Case: Compliance-Anforderungen für on-premises generierte Keys.

Was sind Multi-Region Keys?

Multi-Region Keys sind replizierte Keys in mehreren AWS Regionen mit identischer Key ID und Key Material. Anwendungsfall: Globale Verschlüsselung/Entschlüsselung ohne Cross-Region API-Calls, Disaster Recovery, globale Datenreplikation. Ein Primary Key in einer Region, Replica Keys in anderen Regionen. Kosten: 1 USD/Monat pro Region. Rotation synchronisiert automatisch über alle Regionen.

Wie nutze ich KMS für digitale Signaturen?

Asymmetrische KMS Keys (RSA oder ECC) unterstützen Sign/Verify-Operationen. Anwendungen: Code Signing, Dokument-Signaturen, JWT Tokens. KMS hält Private Key in HSM (nie exportierbar), Public Key ist downloadbar. Unterstützte Algorithmen: RSASSA_PSS, RSASSA_PKCS1, ECDSA. Vorteil: Private Key bleibt in FIPS-zertifizierter Hardware.

Was sind Grant Permissions in KMS?

Grants sind temporäre, delegierbare Permissions neben Key Policies. Anwendungsfall: AWS Services benötigen Zugriff auf Ihren KMS Key (z.B. EBS verschlüsseltes Volume). Grants können programmatisch erstellt/widerrufen werden, unterstützen Delegation (GrantTokens), ideal für Service-to-Service-Auth. Key Policies sind permanent, Grants sind temporär.

Wie überwache ich KMS Key-Nutzung?

CloudTrail loggt alle KMS API-Calls (Encrypt, Decrypt, GenerateDataKey) mit Principal, Zeitstempel, Encryption Context. CloudWatch Alarms für ungewöhnliche Aktivität (z.B. DeleteKey, DisableKey). AWS Config überwacht Key-Konfiguration (Rotation enabled, Key Policy changes). KMS Key Policies können Condition Keys nutzen für Context-basierte Zugriffe (nur aus VPC, nur mit MFA).

Schnellzugriff

Dokumentation Preise Konsole

AWS Cloud Expertise

innFactory ist AWS Reseller mit zertifizierten Cloud-Architekten. Wir bieten Beratung, Implementierung und Managed Services für AWS.

Vergleichbare Produkte anderer Cloud-Anbieter

Als Multi-Cloud Partner helfen wir Ihnen, die richtige Plattform für Ihre spezifischen Anforderungen zu wählen.

Google Cloud

Cloud KMS - Key Management Service

Cloud KMS ist Googles zentraler Dienst für die Verwaltung von Verschlüsselungsschlüsseln in Google Cloud.

Preismodell Pay-per-use
SLA 99.9% or higher
Vergleichen →
Azure

Azure Key Vault - Secrets und Schlüsselverwaltung

Azure Key Vault: Sichere Speicherung von Geheimnissen, Schlüsseln und Zertifikaten für Cloud-Anwendungen.

Preismodell Pay per operation (Standard or Premium …
SLA 99.99%
Vergleichen →

Bereit, mit AWS KMS zu starten?

Unsere zertifizierten AWS Experten helfen bei Architektur, Integration und Optimierung.

Beratung vereinbaren