AWS 最近宣布推出 AWS Key Management Service (AWS KMS)外部密钥存储(XKS),允许组织在 AWS KMS 服务之外存储和管理他们的加密密钥。
AWS Key Management Service (KMS) 是一项 Amazon Web Services (AWS) 托管服务。它允许组织轻松创建、管理和控制加密密钥以加密其数据。该服务现在支持外部密钥存储,它可以是可用于存储和管理加密密钥的第三方服务或应用程序。
当组织配置 AWS KMS 外部密钥存储时,他们将 KMS 密钥层次结构替换为新的外部信任根。根密钥现在全部生成并存储在它们提供和运行的 HSM 中——当 AWS KMS 需要加密或解密数据密钥时;它将请求转发到其供应商特定的 HSM。
AWS 的主要开发人员倡导者Sébastien Stormacq在 AWS 新闻博客文章中解释道:
与外部 HSM 的所有 AWS KMS 交互都由外部密钥存储代理(XKS 代理)进行调解,这是您提供和管理的代理。该代理将通用 AWS KMS 请求转换为特定于供应商的 HSM 可以理解的格式。XKS 与之通信的 HSM 不位于 AWS 数据中心。
为了向客户提供范围广泛的外部密钥管理器选项,AWS KMS 团队根据多家 HSM、密钥管理和集成服务提供商(包括 Thales、Entrust、Salesforce、T-Systems、Atos、Fortanix、和哈希公司。
HashiCorp 研发执行副总裁James Bayer在推特上写道:
AWS 宣布推出 AWS KMS 外部密钥库。现在将您的 KMS 根密钥存储在 AWS 基础设施和@HashiCorp 之外。Vault 是启动合作伙伴。对于担心与其加密密钥相关的法规遵从性和控制的任何人来说都很重要。
此外,Fortanix 首席产品和战略官 Faiyaz Shahpurwala 在一份新闻稿中表示:
我们很高兴与 AWS 合作,因为他们向受监管和合规性要求约束的全球企业客户推出了 AWS KMS 外部密钥存储。我们相信,这将为客户提供更多选择和控制他们的密钥管理生命周期,同时利用 AWS 提供的一流优势。
最后,在定价方面,AWS KMS 对每个根密钥每月收取 1 美元,无论密钥材料存储在 KMS 上、CloudHSM 上还是组织自己的本地 HSM 上。此外,常见问题解答中提供了有关外部密钥存储的更多详细信息。关于作者,Steef-Jan Wiggers 是 InfoQ 的高级云编辑之一,在荷兰的 HSO 担任技术集成架构师。他目前的技术专长侧重于集成平台实施、Azure DevOps 和 Azure 平台解决方案架构。Steef-Jan 是荷兰 Azure 用户组的董事会成员,会议和用户组的定期演讲者,为 InfoQ 和 Serverless Notes 撰稿。此外,在过去的 11 年里,Microsoft 一直将他评为 Microsoft Azure MVP。
