SAA-C03 기본 #21, KMS

• Key Management Service
• AWS의 암호화 및 암호화 키 관리 서비스
• AWS 워크로드의 데이터를 암호화/복호화하며 암호화 키를 생성하고 제어하는 역할
• 서버 측 저장 데이터 암호화 : 데이터가 서버에 수신된 후 암호화, 클라이언트로 다시 전송되기 전 복호화
• 클라이언트 측 암호화 : 클라이언트가 데이터 암호화하고, 데이터를 받는 클라이언트에 의해 복호화. 서버는 데이터를 저장되지만, 복호화는 불가
• KMS : AWS 암호화 키 관리, 권한 부여를 위해 IAM과 통합됨, CloudTrail를 통해 키 사용 호출한 모든 API 감시
• KMS (고객 마스터) 키 유형
  
  • 대칭 KMS키 : 데이터 암호화와 복호화에 사용되는 단일 암호화 키로 키 직접액세스 불가, KMS API 호출을 통한 키 사용
  • 비대칭 KMS키 : 데이터 암호화에 사용하는 퍼블릭키와 복호화에 사용하는 프라이빗 키로 암복호화, 사인 및 검증 사용, 퍼블릭 키다운 가능하지만 프라이빗 키는 KMS API 호출을 통해서만 액세스 가능
• KMS 키 종류
• AWS 관리형 키 : 저장 데이터 암호화 시 사용, 무료 서비스, aws/service-name, 키 갱신 자동 1년
• 고객 관리형 키(CMK) : KMS 통해 생성, $1/month, 키갱신 자동 활성화 시 1년
• 임포트 KMS 키 : 자체 키 구성요소 import, KMS 통해 생성, $1/month, 수동키 교체
• KMS API 호출 비용 : API 호출 건수 10,000 건당 약 3센트
• 리전 간 스냅샷 복사 : EBS 볼륨 스냅샷 생성 시 동일한 “KMS키 A”로 스냅샷이 암호화되고, 리전 이동하여 다른 “KMS키 B”를 사용해 스냅샷 암호화 한 후 “KMS키 B”로 스냅샷 복원
• KMS 키 정책 : KMS키에 키 정책이 없으면 액세스 불가하며, 그 외에는 S3 버킷 정책과 비슷
  
  • 기본 정책 : 사용자 지정 키 정책을 제공하지 않으면 생성하며, 계정의 모든 사람이 키에 액세스 허용
  • 커스텀 정책 : 키 관리자를 정의할 수 있는 사용자 지정 키 정책 사용하며, KMS 키 액세스 사용자 및 역할 정의
• 계정간 스냅샷 복사 : 자체 KMS 키로 암호화한 스냅샷 생성하여 교차 계정 액세스 권한 부여를 위해 KMS 커스텀 키 정책 연결
• 다중 리전 키 : 선택된 한 리전에 기본키를 두고 다른 리전으로 복제하여 사용할 수 있는 KMS 키 세트 (동일 ID, 동일 키 구성요소)로 한 리전에서 암호화하고 다른 리전에서 복호화되며, 키는 각각 독립적으로 관리
• 다중 리전 키의 사용사례 : 전역 클라이언트 즉 암호화(DynamoDB 전역 테이블 암호화, Global Aurora 암호화)
• S3 복제와 암호화된 객체 연관성: 한 버킷에서 다른 버킷으로 S3복제 활성화 시 암호화되지 않은 객체와 SSE-S3 암호화 객체가 기본 복제됨
• 암호화된 AMI 공유 프로세스 : 다른 계정에서 KMS키와 AMI를 모두 사용할 수 있게 충분한 권한을 가진 IAM 역할/사용자 생성
  • 충분한 권한 : Describekey API, ReEncrypted API, CreateGrant, Decrypt API 호출을 위한 KMS 액세스