AWS密钥管理服务可保护加密数据免受未授权访问的攻击，该服务瞄准了第三方密钥管理市场。

大部分的IT产业正在把加密功能作为传输和存储关键数据的一项标准化操作选项，这正在成为一种趋势。但是，事情远没有那么简单。成功的加密措施取决于一个能够正确管理加密密钥的合适方法。

当然，真正的危机根源在于安全性本身——应确保未经授权的人员无法访问数据。同时，在AWS的世界里，加密控制功能是通过AWS密钥管理服务(KMS)向用户提供的。AWS KMS是支持良好加密实施所需标准类型基础设施的一个特定版本。

“一直以来，针对加密密钥的管理始终是一个大问题，”总部位于德克萨斯州奥斯汀市的IT咨询公司Flux7 Labs的CTO兼合伙创始人Ali Hussain说。需要对密钥访问进行严格限制，并部署的其他部分分离。“最棘手的难题在于这是一个先有鸡还是先有蛋的问题，在获得访问授权之前你是无法下载密钥的，但你又需要密钥在缺乏其他一些机制的情况下进行身份验证，”Hussain说。

他说，在大多数情况下，KMS是亚马逊公司所提供工具中具有较高独立性的一个。KMS可以让用户使用AWS Identity和Access Management，这是一个有经验的AWS老用户用于管理加密密钥的工具。“Flux7正积极使用KMS来对SSH密钥进行管理，使用密码来对配置文件进行加密，以及根据合规性要求对存储数据进行加密处理，”他补充说。

总部位于波士顿市的IT咨询公司Mobiquity的安全工程经理Robert McCarthy指出，大部分人似乎都认为，只要数据被加密过，那么一切就都是安全的。事实上，加密密钥的保存位置往往都是不安全的，这就潜在地为未授权数据访问打开了一扇方便之门。

“这就好比是房门钥匙，把钥匙放在门垫下而不是随身带走，”McCathy解释道。事实上，这就是近来如此多数据泄露事件频发的原因所在，他补充道。很多情况下，都是一名未获得授权的内部人士访问密钥。而在其他情况下，则是某些能够“解析”一些JavaScript元素的外部人士找到了保存密钥的文件，从而导致泄密事件的发生。

密钥管理基础设施供应商提供了一组工具或方法，它们不仅能够执行加密功能而且能够管理好加密密钥，确保密钥的安全性并将其分发给合适的人——它甚至可以查出是谁拥有和使用了这个密钥。AWS密钥管理还需要在适当的时候支持密钥撤销。“如果有人更换了工作岗位，那么你就需要销毁那些相关的密钥，”McCarthy指出。

“AWS密钥管理服务是亚马逊公司关于密钥管理理念的一个具体实施，而且它也确实给用户带来了巨大的好处，”McCarthy说。例如，对于管制行业的关键要求之一就是能够明确是由哪些合适的人在控制着加密密钥管理基础设施。“在KMS问世之前，这方面还是一片空白，”他补充说。“此前，亚马逊只是简单地控制加密密钥，因为他们是不得不对这些密钥进行管理的。”

总之，KMS这一服务为AWS用户提供了对加密密钥的控制权力。

亚马逊在推出KMS方面付出了大量的努力，公司还提供“伟大的”支持文档，McCarthy说，但是管理人员还是需要予以充分关注。

“事实是你仍然可以不遵循这个流程而搞乱整个管理端;他们给你的只是让你足够吊死自己的绳子,”McCarthy说。

例如，当谈及密钥的分发和撤销时，AWS并没有明确地告诉用户应当做什么或者应当如何做。如果用户没有整体地理解密钥管理基础设施，“那么就可能会让事情变得更糟，所以最好还是指定一名员工来专门负责学习这一措施的工作原理并进而负责KMS的具体实施，”McCarthy说。

第三方工具的衰落

一般而言，KMS的出现将在一定程度上减少或消除用户对于第三方密钥管理工具的依赖。AWS最初是作为云中计算和存储的一个比较基本的产品出现的，McCarthy指出。近年来，它已经逐渐地步入了高端服务行列。但是，与此同时第三方产品的生态系统也发展起来填补了其中的空白。

目前，随着AWS增加了诸如KMS这样的新功能，“亚马逊正在收复失地，”McCarthy说。“具体来说，在KMS被正式推出之前，在云中有一个管理加密的第三方生态系统。”

“从某种程度上来说，KMS还处于起步阶段，它在AWS所提供的加密类型和如何更好地与移动进行整合等方面还有着良好的发展机遇与空间，”McCarthy说。此外，管理和监控AWS加密的可用工具一般也只能对AWS应用起作用;而对于第三方数据库应用，它们是不一定适用的。但是，考虑到KMS的这一发展趋势，相信这个问题可能会在短期内得到解决。