𝓓𝓻-𝓛𝓲𝓷𝓾𝔁𝓮𝓻 𝓑𝓵𝓸𝓰

An overview of KMS (Key Management Service)

Aung Aung Myo Myint's photo
Aung Aung Myo Myint
·

3 min read

AWS Key Management Service (KMS) သည် most of AWS service အများစုတွင် sensitive data တွေကို protect ပြုလုပ်ရန် အသုံးပြုသည့် encryption key များကို သိမ်းဆည်းပြီး ဖန်တီးပေးသည့် managed service တစ်ခုဖြစ်သည်။

ဥပမာ - သင်သည် KMS ကိုအသုံးပြု၍ Amazon S3 ရှိ objects တွေကို encrypt ပြလုပ်ရန် keys တွေကို အသုံးပြု၍ ပြုလုပ်နိုင်သည်။ ၎င်းကို KMS အသုံးပြု၍ Server-Side Encryption (SSE-KMS) ဟု ခေါ်သည်။

သို့မဟုတ် RDS database များအတွင်း သိမ်းဆည်းထားသော data ကို encrypt ပြုလုပ်ရန် KMS ကို အသုံးပြုနိုင်သည်။ အဓိကအားဖြင့် encryption capabilities ကို ပံ့ပိုးပေးသည့် service များသည် KMS နှင့် တွဲဖက်၍ encryption operation ကို လုပ်ဆောင်သည်။

KMS သည် သင့်ရဲ့ key များကို အလွန်လုံခြုံစွာ စီမံခန့်ခွဲထားပြီး၊ AWS staff များနှင့် administrators များသည် သင့် key များကို ဝင်ရောက်ကြည့်ရှုခွင့် မရှိသောကြောင့် အခြားသူများက သင့် key များကို အလွယ်တကူ ဝင်ရောက်ကြည့်ရှုနိုင်မည့် ပြဿနာများကို လျော့နည်းစေပါသည်။ KMS ကိုလည်ပတ်ရန်အတွက် AWS ၏ responsibility မှာ underlying operating systems တွေ နှင့် hardware security modules (HSMs) များကိုသာ manage ပြုလုပ်ရန်ဖြစ်သည်။

AWS KMS service ကို အသုံးပြုရန်အတွက် သင့်ရဲ့ organization တွင် KMS ၏ basic components များနှင့် ရရှိနိုင်သည့် keys အမျိုးအစားများကို နားလည်ရမည်ဖြစ်သည်။

AWS KMS Keys: data ကို 4 KB အထိ encryption and decryption ပြုလုပ်ခြင်းအတွက် KMS key ကို သင် အသုံးပြုနိုင်သည်။ ပုံမှန်အားဖြင့် သင်သည် သင့်ရဲ့ data ကို encrypt ပြုလုပ်ရန် KMS ပြင်ပတွင် အသုံးပြုသည့် data key များကို generate, encrypt, and decrypt ပြုလုပ်ရန် KMS key များကို အသုံးပြုသည်။ Symmetric KMS key များသည် exported ပြုလုပ်၍မရသော advanced encryption standard (AES) keys များဖြစ်သည်။

  • There are three types of KMS keys …

  • Customer Managed Keys (CMKs): Customer managed keys are KMS keys that you create, own, and manage. You have full control over these KMS keys, including establishing and maintaining their key policies, IAM policies, and grants, enabling and disabling them, rotating their cryptographic material, adding tags, creating aliases that refer to the KMS keys, and scheduling the KMS keys for deletion.

  • AWS Managed Keys: AWS managed keys are KMS keys in your account that are created, managed, and used on your behalf by an AWS service that integrates with KMS. You can view the AWS managed keys in your account, view their key policies, and audit their use in CloudTrail logs. However, you cannot manage these AWS managed keys or change their permissions. And, you cannot use AWS managed keys in cryptographic operations directly; the service that creates them uses them on your behalf.

  • AWS Owned Keys: AWS owned keys are not in your AWS account. They are part of a collection of KMS keys that AWS owns and manages for use in multiple AWS accounts. AWS services can use AWS owned key to protect your data. You cannot view, manage, or use AWS owned keys, or audit their use.

Data keys: Encryption keys that you can use to encrypt data, including large amounts of data and other data encryption keys.

  • AWS KMS can generate, encrypt, and decrypt data keys. However, KMS does not store, manage, or track your data keys, or perform cryptographic operations with data keys.
  • Data keys can be generated at 128-bit or 256-bit lengths and encrypted under a KMS key you define.

HMAC Keys: symmetric key ဖြစ်ပြီး၊ ဤ key များကို Hash-based Message Authentication Codes (HMACs) generating and verifying ပြုလုပ်ရန် အသုံးပြုသည်။ HMAC များကို အများအားဖြင့် data integrity နှင့် authentication အတွက် အသုံးပြုသည်။

KMS သည် သင်၏ encryption key များကို မည်သူအသုံးပြုနေသည်နှင့် မည်သို့မည်ပုံ အသုံးပြုနေသည်တို့ကို စောင့်ကြည့်ရန် AWS CloudTrail နှင့် အလုပ်လုပ်ပါသည်။

AWS