Weitere ähnliche Inhalte
Ähnlich wie aws kms poiints
Ähnlich wie aws kms poiints (20)
aws kms poiints
- 3. AWS KMS(key management service)の概要
● 鍵を安全に保管してくれるサービス
● 各AWSサービスのデータ暗号化・復号化機能として連携
(S3、EBS等)
● セキュリティのポイントを自動的に抑えてくれる
(キーローテーション、暗号化鍵の方式を決定)
よく忘れるので整理してみました
- 4. 鍵がごちゃごちゃある・・
AWS KMSの概要
KMS
│── CMK(customer master key)
│ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない
│ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式
│ └── (3)Customer managed CMK・・・・利用者が管理
│ ├───(3-1) awsが作成
│ └───(3-2) 自分で作成
│
│── (4)データキー・・・・・・・・・・・・データの暗号
/復号に利用
- 5. 鍵がごちゃごちゃある・・
AWS KMSの概要
KMS
│── CMK(customer master key)
│ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない
│ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式
│ └── (3)Customer managed CMK・・・・利用者が管理
│ ├───(3-1) awsが作成
│ └───(3-2) 自分で作成
│
│── (4)データキー・・・・・・・・・・・・データの暗号
/復号に利用
特に2つの違いを知りたい・・・・
- 9. 実際に作ってみると?
AWS KMS キー種別
aws kms create-key
aws kms create-alias --alias-name alias/test-key-alias
--target-key-id xxxxxxxxxx
aws kms generate-data-key --key-id alias/test-key-alias
--key-spec AES_256
aws kms generate-data-key --key-id alias/test-key-alias
--key-spec AES_256
{
"CiphertextBlob": "AQIDAHgUOG52kcVFzz8bdP・・・・
}
- 10. 各AWSサービスとの連携は?
AWS KMS サービス連携
KMS
│── CMK(customer master key)
│ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない
│ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式
│ └── (3)Customer managed CMK・・・・利用者が管理
│ ├───(3-1) awsが作成
│ └───(3-2) 自分で作成
│
│── (4)データキー・・・・・・・・・・・・データの暗号
/復号に利用
データキーの管理は各AWSサービスが裏側でやってくれている
- 12. (2)と(3-1),(3-2)の違いは?
AWS KMS CMKの違い
KMS
│── CMK(customer master key)
│ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない
│ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式
│ └── (3)Customer managed CMK・・・・利用者が管理
│ ├───(3-1) awsが作成
│ └───(3-2) 自分で作成
│
│── (4)データキー・・・・・・・・・・・・データの暗号
/復号に利用
マネージドの方が制約が強く、管理が楽
(2) :特に指定がなく、暗号化さえできれば良い場合
(3-1):キーポリシーを管理可能(例
.クロスアカウント)
(3-2):キーの暗号化方式まで細かく管理可能(例
.セキュリティポリシーの遵守)