Let’s travel together.

AWS Key Management Service (AWS KMS)

Apa itu AWS Key Management Service (AWS KMS) ? – Layanan Manajemen Kunci AWS (KMS) adalah produk Layanan Web Amazon yang memungkinkan administrator untuk membuat, menghapus dan mengontrol kunci yang mengenkripsi data yang disimpan dalam basis data dan produk AWS.

AWS KMS dapat diakses dalam AWS Identity and Access Management dengan memilih bagian “Kunci Enkripsi” atau dengan menggunakan antarmuka baris perintah AWS KMS atau perangkat pengembangan perangkat lunak.

AWS KMS menyediakan satu pandangan dari semua kunci AWS yang digunakan, menciptakan kontrol enkripsi terpusat. Layanan ini memungkinkan admin untuk membuat kunci dan kebijakan penggunaan; mereka juga dapat mengaktifkan penebangan.

KMS menggunakan enkripsi amplop, yang memiliki dua kunci berbeda untuk melindungi data. Dihasilkan oleh AWS, kunci data mengenkripsi setiap bagian data dan sumber daya. Data dan sumber daya kemudian dienkripsi di bawah kunci induk pelanggan (CMK) yang didefinisikan dalam KMS dan disimpan dalam AWS. Ketika seorang pengguna perlu mendekripsi data, kunci terenkripsi dikirim ke KMS dan didekripsi dengan CMK.

Pengguna KMS dapat memutar kunci, sebuah proses yang menciptakan kunci backing baru untuk melakukan enkripsi, dekripsi dan operasi kriptografi lainnya untuk CMK. AWS dapat dikonfigurasi untuk memutar kunci secara otomatis setiap tahun. Sebagai layanan yang sepenuhnya dikelola, AWS secara otomatis menangani ketersediaan, keamanan fisik, dan pemeliharaan infrastruktur. Setelah kunci dibuat, mereka tidak dapat ditransfer ke wilayah AWS lain.

Layanan Manajemen Kunci terintegrasi dengan produk AWS lainnya untuk memudahkan enkripsi di seluruh cloud publik. Banyak layanan Amazon menerima kedua sisi klien (kunci yang dikelola oleh pengguna) dan sisi-server (kunci yang dikelola oleh AWS), meskipun beberapa memiliki batasan. Misalnya, AWS CodeCommit hanya mendukung kunci yang dikelola oleh AWS; Amazon Elastic MapReduce hanya mendukung enkripsi sisi klien di mana input dan output disimpan di Amazon Simple Storage Service (S3). Layanan penyampaian dan pengiriman konten, basis data, alat manajemen, alat analisis, layanan aplikasi, dan aplikasi bisnis adalah salah satu produk AWS yang terintegrasi dengan KMS.

AWS CloudTrail juga terintegrasi dengan KMS untuk mencatat dan mengaudit penggunaan kunci. Log dikirim ke bucket S3 yang ditentukan.

AWS KMS menggunakan beberapa teknik pengerasan, termasuk membatasi akses ke layanan, untuk melindungi kunci utama. Selain itu, layanan tidak akan menyimpan kunci di plaintext pada disk. Pembaruan perangkat lunak ke layanan melalui persetujuan multi-level yang ditinjau oleh grup independen dalam AWS.