AWS 암호화 서비스

4917 단어 CloudHSMkmsAWSCertificateManager

1.AWS KMS


개요


이것은 창설 및 관리 데이터 암호화에 사용되는 암호화 키를 쉽게 관리할 수 있는 관리 서비스입니다.

CMK


AWS 관리
고객 관리
창설
AWS
사용자
번갈아
3년에 한 번
1년에 한 번 혹은 팟캐스트
삭제
삭제할 수 없음
삭제 가능
사용 범위
특정 AWS 서비스
KMS/IAM 정책을 통한 관리
키 접근 정책
AWS 관리자
고객 관리
사용자 액세스 관리
IAM 정책
IAM 정책

주의

  • 는 대상 키 암호화만 지원하고 비대칭 키 암호화(공개 키 암호화)는 지원하지 않습니다.
  • 4KB 이상의 데이터는 직접 암호화되거나 키를 내보낼 수 없습니다.
  • 사용자가 직접 설정한 외부 키를 KMS로 가져올 수 있지만 가져온 키를 내보낼 수 없습니다.
  • API 요청의 타임 루프 주의 제한
  • 영역 간에 키를 공유할 수 없습니다.
  • 불필요한 키는 삭제할 수 있으나 삭제된 키로 암호화된 데이터를 저장하면 이 데이터는 디코딩되지 않기 때문에 사고를 방지하기 위해 키 삭제 시 ↓
    • 설정 유예

    키 관리자 및 키 사용자


    키 관리자
    키 사용자
    CMK를 관리할 권한이 있지만 CMK를 사용하여 데이터를 암호화하고 복호화할 권한이 없습니다.
    CMK를 사용하여 직접 암호화하고 복호화할 수 있는 액세스 권한이 있습니다.

    타르트와 타르트.



    BYOK 를 사용할 때 고려 사항


  • 키를 내보낼 수 없습니다.
  • 256비트의 대칭 키만 가져옵니다.
  • 두 개의 RSA PKCS#1 스키마 중 하나를 사용하여 키 가져오기를 보호합니다.
  • 가져온 키를 자동으로 복사할 수 없습니다.수시로 수동으로 교대하다.
  • 수입 후 AWS KMS에서 생성된 CMK와 같지만, 내구성이 달라 지역 고장 등의 경우 자동으로 회복되지 않는다.
  • KMS에서 만료된 키를 삭제합니다.AWS KMS에서 생성된 CMK는 7~30일의 대기 시간이 있으며 즉시 삭제됩니다.다시 가져오면 복원할 수 있습니다.
  • 는 상기 내구성과 삭제(특히 조작 실수로 삭제)에 대응하여 키를 반드시 보관해야 한다는 전제를 운용한다.
  • 동일한 키를 여러 영역으로 가져올 수 있습니다.그러나 키 ID가 다르기 때문에 영역별 KMS로 영역별 KMS에 암호화된 데이터(데이터 키)를 디코딩할 수 없습니다.

    • API



    GeneratDataKey 및 G e n e r a teDataKey WithoutPlaaintext
    Ge n e r a teDataKey WithoutPlantext는 Generate DataKey와 마찬가지로 데이터 키의 암호화 복사본만 반환합니다.
    Generate DataKey와 마찬가지로 Ge n e r a teDataKey WithoutPlaaintext는 각 요청에 대해 고유한 데이터 키를 반환합니다.
    암호화된 데이터가 필요하면 암호화된 키를 복사하기 위해 복호화 작업을 호출합니다.

    비용

  • 달러/key version/월
  • $0.03per 10000 API 요청

    • 링크


    AWS S3 기본 암호화

    2.CloudHSM


    개요


    지정된 VPC에서 AWS는 암호 키를 관리하는 전용 서버를 제공합니다.

    주의

  • 대상 키 암호화 및 비대칭 키 암호화에 해당합니다.
  • 암호 키를 가져오고 내보낼 수 있습니다.
  • 제한과 법령으로 인정된 키 관리 모듈을 전용 환경에서 사용하거나 공개 키 암호화 방식을 사용하고자 할 때 사용해야 한다.

    • 비용


    도쿄구에서는 1.81달러라서 아직 검증이 안 됐어요...
    AWS CloudHSM 비용

    3.AWS Certificate MAnager


    개요


    AWS에서 SSL/TLS 서비스를 쉽게 사용할 수 있습니다.
    SSL/TLS 인증서는 인터넷을 통한 네트워크 통신 보안을 보장하고 웹 사이트의 ID를 확인하는 데 사용됩니다.

    DNS 인증 및 e-메일 도메인 인증


    아마존은 인증서를 발행하기 전에 당신이 관리하는 도메인 이름을 검증해야 합니다.
    DNS 인증 및 e-메일 도메인 인증 방법은 DNS 인증을 권장합니다.
    DNS를 사용하여 AWS Certificate Manager 확인

    공용 및 개인 인증서


    공용 인증서  
    개인 증서
    서버나 고객과 무관한 민간 기구에서 발행하여 제3자의 신분으로 서버나 고객의 진실성을 증명한다.또 공적 인증서 자체가 사실인지 여부는 인터넷과 연결된 환경이라면 어디서든 확인할 수 있다.
    특정 조직이나 단체 내에서만 유효한 증서.예를 들어 대학 내에 인증국을 설치했는데 이 인증국이 발행한 인증서는 대학 내에서만 서버와 클라이언트의 진실성을 확인할 수 있다.

    링크


    AWS Certificate Manager ELB(+ACM 발행 증명서)→EC2
    Amazon CloudFront의 대체 도메인 이름(CNAMEs)에 대한 보안 강화 SSL 필요
    1.6.4에서 2.0.8로 랙 확장

    좋은 웹페이지 즐겨찾기

    개발자 우수 사이트 수집

    개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다
    best100-homepage