¿Cuáles son algunos consejos, trucos y trucos al usar AWS Key Management Service (KMS)? Truco de Vida y Tiempo Feliz Lifehacker

Algunas cosas clave para recordar:

KMS utiliza cifrado de envolvente que se puede definir como: El cifrado de envolvente es la práctica de cifrar datos de texto sin formato con una clave de datos única y luego cifrar la clave de datos con una clave de cifrado de clave (KEK). La clave maestra o KEK es lo que ve en su consola AWS.
Entonces, las claves que ve en la consola de AWS son las claves maestras . No se utilizan para cifrar datos. Pero en su lugar se utilizan para generar claves de datos. Esas claves de datos a su vez se utilizan para cifrar datos. Luego, la clave de datos se cifra utilizando la clave maestra y se almacena junto con los datos cifrados.
Para el descifrado, la clave maestra se utiliza para descifrar y recuperar la clave de datos que luego se utiliza para descifrar los datos en texto sin formato.
Las claves maestras nunca pueden dejar AWS KMS infra sin cifrar.
Las claves maestras de KMS son dos tipos de claves administradas por el cliente (las genera) y claves administradas por AWS (AWS crea para cada servicio que admite KMS). Crear sus propias llaves maestras le permite rotarlas según su propio horario.
Para describir el proceso con un poco más de detalle, suponiendo que utiliza la clave EBS predeterminada generada por AWS, cuando activa el cifrado en un volumen EBS y elige la clave EBS KMS predeterminada, la clave KMS se utiliza para generar una clave de datos para volumen y luego cifrar el volumen con esa clave de datos. La clave de datos se cifra utilizando la clave maestra KMS EBS y luego se almacena con el volumen cifrado.

Aquí hay algunos enlaces:

http://docs.aws.amazon.com/kms/l…