AWS SSA 공부 KMC part.1

AWS KMS(key management service)
키 관리 서비스

데이터를 쉽게 암호화 할 수 있는 관리형 서비스

특징
CloudTrail과 통합되어 누가, 어떤 키를, 어떤 리소스에, 언제 사용했는지 감시할 수 있음.
이미 마스터 키로 암호화된 데이터가 있다면, 이것을 다시 암호화할 필요 없이 KMS가 KMS 내에서 생성된 마스터키를 1년에 1번 자동으로 교체할 수 있도록 선택 가능.

키와 데이터의 고가용성을 보장하기위해 NINE ELEVEN(99.999999999%)이 보장된 시스템에 키파일을 암호화 버전으로 하여 사본을 저장함.

인터넷 연결대신 VPC private endpoint를 통해 AWS KMS에 직접 연결 가능. VPC endpoint를 사용하느 경우 vpc와 aws kms간 통신은 aws 네트워크 안에서만 이루어짐. 즉 완전한 내부방 이용을 의미

vpc endpoint 정책을 정의해 endpint에 엑세스 할 수 있는 보안 주체, 수행할 수 있는 api 호출 및 액세스 할 수 있는 리소스를 지정하는 과정을 통하여 보안제어의 세분성을 높일 수 있음.

Client Master Key(CMK)
CMK(고객 마스터 키)는 마스터키의 논리적인 표현의 일종으로 KMS의 기본 리소스 이다. 데이터를 암호화 하고 해독하는 데이터 암호화 키에 대한 엑세스를 제어하는데 사용된다. 최대 4KB의 데이터를 암호화 및 해독 할 수 있다
AWS KMS에서 생성할 수 있는 CMK는 2가지 종류가 있다.
대칭 CMK
KMS외부에서 데이터를 암호화 하고, 사용하는 데이터 키를 생성, 암호화 및 해독한다. 표준 암호화 및 암호 해독에 256bit를 사용하는 키 이다.
비대칭 CMK
암호화 및 암호 해독 또는 서명 및 확인에 사용되지만, 둘 다에 사용되지 않는 RSA키 쌍이거나 서명 및 확인에 사용되는 ECC키 쌍이다.

CMK의 소유권에 따른 분류
고객 관리형 cmk  시각화 가능  관리 가능  개인 aws계정에서만 사용됨
aws 관리형 cmk  시각화 가능  관리 불가능  개인 aws계정에서만 사용됨
aws 소유 cmk  시각화 불가능  관리 불가능  개인aws에서만 사용되지 않음

고객 관리형 cmk
고객이 생성, 소유, 관리까지 모두 맡아서 하는 CMK다. 키 정책, IAM 정책, 별칭 등을 위한 CMK 예약을 포함해 완전히 제어할 수 있다. 특히 선택적 자동 키 교체를 고객 관리형 CMK에서만 지원해 준다.

선택적 자동 키 순환 : 백업 키 관리를 지원해준다. 키 교체가 비활성화 된 경우에도 CMK에 대한 모든 백업 키를 유지하며, CMK가 삭제될 경우에만 삭제한다. 또한 기본적으로는 키 회전이 비활성화 되어 있는데, 활성화 하게 될 경우 활성일 기준 365일 마다 자동으로 CMK를 교체한다. 이때 CMK가 비활성화되어있다면, 키를 교체하지 않고, CMK가 다시 활성화 될 때, 백업키가 365일이 지났다면 즉시, 그렇지 않다면 원래 교체일을 바탕으로 교체한다. 또 삭제 보류가 되어있다면 키를 교체하지 않는다.

비대칭 CMK, 사용자 지정 키 스토어의 CMK, 키 구성 요소를 가져온 CMK는 지원하지 않는다.

AWS 관리형 cmk 
KMS와 통합되어 있는 AWS service에서 사용자를 대신해 생성,관리 및 사용할 수 있는 CMK다. CMK를 관리하거나 권한을 변경할 수는 없으며, 암호화 작업에서 직접적으로 사용할 수 없다. 3년마다 자동으로 키를 교체한다.

aws 소유 cmk
여러 AWS 계정에서 사용되기에 단일계정에 고정적으로 있지 않다. AWS가 소유하고 관리하는 CMK의 일종이다. 데이터를 보호할 수 있으나, 사용자는 CMK를 보거나 관리, 사용등을 할 수 없다.