AWS KMS (Key Management Service)

AWS에는 2가지의 암호화 유형이 있다.

저장 데이터 암호화와 전송 중 데이터 암호화이다.

 

저장 데이터(Data at rest) 암호화는 데이터를 물리적 장치에 저장 또는 보관하는 것이다.

하드 디스크나, RDS 인스턴스 S3 Glacier Deep Archive 등

이동하지 않기 때문에 어딘가에 기록되어 저장되어있다.

 

두번째 유형은

전송 중 데이터(Data in transit) 암호화이다.

데이터가 한 곳에서 다른 곳으로 이동하는 것이다.

온프레미스 데이너 센터에서 AWS로 데이터가 이동하거나

EC2 인스턴스 간에 데이터가 이동하는 경우,

EFS에서 Amazon S3로 이동하는 경우 등이 있다.

그래서 전송 중이라는 것은 네트워크에 전송된다는 의미이다.

 

암호화의 두 가지 유형은

저장 데이터 암호화와 전송 중 데이터 암호화가 있으며

다른 기술을 사용한다.

하지만 데이터는 항상 암호화 되고 보호되어야 하기 때문에

2가지 유형으로 데이터를 암호화 해 보호해야한다.

이 때 암호화 키를 사용한다.

암호화 키를 사용하면 암호화 할 수 있고

암호화 키에 관한 액세스 권한이 없으면

데이터 액세스 권한이 있더라도, 데이터를 해독하거나 읽을 수 없기 때문에

데이터를 보호할 수 있다.

 

KMS (Key Management Service)

AWS의 핵심 암호화 서비스인 KMS이다.

서비스에 관한 암호화는 대부분 KMS이다.

KMS로는 키에 액세스 할 수 없고 AWS가 키를 관리하며

키에 액세스 가능한 사람만 정의하면된다.

 

EBS volume, S3 Buckets, Redshift db, RDS db, EFS drives 등에 옵션으로 넣을 수 있고

 

CloudTrail Logs와 S3 Glacier 과 Storage Gateway에는 무조건 자동으로 암호화한다.