- vừa được xem lúc

AWS Certified Solutions Architect Professional  -  Security  -  Key Management Service

0 0 10

Người đăng: Quân Huỳnh

Theo Viblo Asia

Introduction

A quick note about AWS Key Management Service. This post is a quick note from the course Ultimate AWS Certified Solutions Architect Professional by Stephane Maarek. The only purpose of this post is a summary, if you want detailed learning, please buy a course by Stephane Maarek.

Key Management Service

Anytime you heard about "encryption" for AWS service, think about AWS Key Management Service. AWS KMS is a managed service that makes it easy for you to create and control the cryptographic keys that are used to protect your data.

Many AWS services use AWS KMS to support encryption of your data:

  • Amazon EBS
  • Amazon RDS
  • Amazon DynamoDB
  • Amazon S3
  • AWS Secrets Manager
  • etc…

KMS Key Types

In AWS, you have two types of keys: Symmetric and Asymmetric.

Symmetric (AES-256 keys)

By default, when you create an AWS KMS key, you get a KMS key for symmetric encryption.

Symmetric encryption keys use the same key for encryption and decryption. All AWS services that are integrated with KMS use Symmetric KMS keys.

Asymmetric (Public key and Private key pair)

An asymmetric KMS key uses a public key to encrypt and a private key to decrypt.

The public key is downloadable to use outside of AWS KMS, but you can't access the private key unencrypted, to use the private key you must call AWS KMS API.

Types of KMS Keys

AWS has four kinds of KMS Keys

Customer Managed Keys

  • This is a key you create directly in AWS. You can create, manage, enable or disable them.
  • Possibility of rotation policy (new key generated every year, old key preserved).

AWS Managed Keys

  • Used by AWS service (RDS, EBS, S3, etc…).
  • Managed by AWS (automatically rotated every 3 years).

AWS Owned Keys

  • Created and managed by AWS, used by some AWS services to protect your resources.
  • Used in multiple AWS accounts, but they are not in your AWS account.
  • You can't view, use, track, or audit.

Image by Stephane Maarek

Multi-Region keys

AWS KMS supports multi-region keys that can be used interchangeably. Each set of related multi-Region keys has the same key material and key ID, so you can encrypt data in one AWS Region and decrypt it in a different AWS Region.

Multi-Region keys are not global. You create a multi-region primary key and then replicate it into Regions that you select within an AWS partition. Only one primary key at a time, but you can promote replicas into their own primary.

Multi-Region keys are a powerful solution for data security scenarios: disaster recovery, global data management, distributed signing applications, active-active applications that span multiple Regions, etc…

End

End quick note about AWS CloudTrail Solution Architect use cases.

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 66

- vừa được xem lúc

Giới thiệu về AWS Batch

Khi sử dụng hệ thống cloud service, điều chúng ta thường phải quan tâm đến không chỉ là hiệu suất hoạt động (performance) mà còn phải chú ý đến cả chi phí bỏ ra để duy trì hoạt động của hệ thống. Chắn hẳn là hệ thống lớn hay nhỏ nào cũng đã từng phải dùng đến những instance chuyên để chạy batch thực

0 0 143

- vừa được xem lúc

Tìm hiểu về AWS KMS

1. AWS KMS là gì. Ở KMS bạn có thể lựa chọn tạo symetric key (khóa đối xứng) hoặc asymetric key (khóa bất đối xứng) để làm CMK (Customer Master Key). Sau khi tạo key thì có thể thiết đặt key policy để control quyền access và sử dụng key.

0 0 66

- vừa được xem lúc

AWS VPC cho người mới bắt đầu

Tuần này, tôi trình bày lại những gì tôi đã học được về Virtual Private Cloud (VPC) của Amazon. Nếu bạn muốn xem những gì tôi đã học được về AWS, hãy xem Tổng quan về DynamoDB và Tổng quan về S3. VPC là gì. Những điều cần lưu ý:.

0 0 84

- vừa được xem lúc

AWS Essentials (Phần 6): Guildline SNS Basic trên AWS

Tiếp tục với chuỗi bài viết về Basic AWS Setting, chúng ta tiếp tục tìm hiểu tiếp tới SNS (Simple Notification Service). Đây là một service của AWS cho phép người dùng setting thực hiện gửi email, text message hay push notification tự động tới mobile device dựa trên event người dùng setting phía AWS

0 0 145

- vừa được xem lúc

Sử dụng Amazon CloudFront Content Delivery Network với Private S3 Bucket — Signing URLs

Trong nhiều trường hợp, thì việc sử dụng CDN là bắt buộc. Mình đã trải nghiệm với một số CDN nhưng cuối cùng mình lựa chọn sử dụng AWS CloudFront.

0 0 117