AWS Key Management Service
AWS Key Management Service
Anda dapat dengan mudah membuat, mengimpor, dan merotasi kunci serta menentukan kebijakan penggunaan dan audit penggunaan dari AWS Management Console atau menggunakan SDK AWS atau AWS CLI.
CMK di AWS KMS, baik yang diimpor oleh Anda atau dibuat atas nama Anda oleh KMS, disimpan dalam penyimpanan yang sangat berdaya tahan dalam format terenkripsi untuk membantu memastikan CMK ini dapat diambil saat diperlukan. Anda dapat memilih agar KMS secara otomatis merotasi CMK yang dibuat di KMS setahun sekali tanpa perlu mengenkripsi ulang data yang sudah dienkripsi dengan kunci utama Anda. Anda tidak perlu melacak kunci utama versi lama karena KMS membuatnya tetap tersedia untuk secara otomatis mendekripsi data yang dienkripsi sebelumnya.
Untuk setiap CMK di AWS KMS, Anda dapat mengontrol siapa saja yang memiliki akses ke kunci tersebut dan di layanan mana kunci tersebut dapat digunakan melalui sejumlah kontrol akses, termasuk pemberian izin, dan syarat kebijakan kunci dalam kebijakan kunci atau kebijakan IAM. Anda juga dapat mengimpor kunci dari infrastruktur manajemen kunci Anda sendiri dan menggunakannya di KMS.
Misalnya, kebijakan berikut menggunakan syarat kms:ViaService untuk memungkinkan CMK yang dikelola pelanggan digunakan untuk tindakan yang ditentukan hanya jika permintaannya berasal dari Amazon EC2 atau Amazon RDS di Wilayah tertentu (us-west-2) atas nama pengguna tertentu (ExampleUser).
{ “Version”: “2012-10-17”, “Statement”: [ { “Effect”: “Allow”, “Principal”: { “AWS”: “arn:aws:iam::111122223333:user/ExampleUser” } “Action”: [ “kms:Encrypt*”, “kms:Decrypt”, ”kms:ReEncrypt*”, “kms:GenerateDataKey*”, “kms:CreateGrant”, “kms:ListGrants”, “kms:DescribeKey” ], “Resource”: “*”, “Condition”: { “ForAnyValue:StringEquals”: { “kms:ViaService”: [ “ec2.us-west-2.amazonaws.com”, “rds.us-west-2.amazonaws.com” ] } } }
