<1> KMS 마스터키 생성
<2> 마스터키 교체 활성화?
<3> CloudTail 로깅 활성화?
<4> KMS로 ec2 새 볼륨 만들고 암호화
<5> AMI이미지 만들고 KMS키로 암호화 하기
<6> KMS로 s3 데이터 암호화
<7> KMS 마스터키 비 활성화 하면?
<8> KMS 키 삭제
<9> CloudWatch logs로 api 사용 확인하기?
<1> KMS 마스터키 생성
서울리전 선택
KMS
symmetric
game-kms-key
PCI 데이터 암호화에 사용되는 KMS 키
keyadmin 선택
usage permissions 선택
종료
<2> 마스터키 교체 활성화?
자동 교체는 아니다.
1년 마다 교체되도록 체크하자.
KMS > 해당 키 선택 game-kms-key > key rotation > auto 1 년 >저장
<3> CloudTail 로깅 활성화?
1
모든 API 호출기록을 확인하기 위해 활성화함.
요즘은 디폴트로 활성화 되어 있다.
2
CloudTail >
서울리전 선택
Create trail >
Lab-Trail
// 모든 리전을 활성화 하진않는다. all resions no
3
저장할 s3 버킷 생성 >
aws-cloudtrail-logs-123
3
KMS는 디폴트로 사용하도록 되어 있다.
만들어진 키 선택 > game-kms-key
3
cloudwatch logs > enabled 체크하기
4
log group > new > aws-cloudtrail-logs-123
5
iam role > existing > cloudtrail service role
next
6
log event를 선택
event type은 디폴트로 1개 Managemenet events만 체크되어 있다.
Next
7
확인 ?
Cloudtrail 활성화됨
이벤트는 cloudwatch로 전송됨.
이를 통해 kms 키를 모니터링 가능함
<4> KMS로 ec2 새 볼륨 만들고 암호화
kms 마스터키로 ebs 볼륨 암호화하기
1
service > ec2
서울리전
볼륨
create volume
용량은 1로 한다.
encryption : encripty this volume 체크 > game-kms-key 선택
create volume
2
볼륨 확인
Encrypted
<5> AMI이미지 만들고 KMS키로 암호화 하기
1
부팅 볼륨 암호화 ?
ami 이미지를 만들고 kms 키를 적용한다.
4
ami 이미지를 만들어 보자 ?
인스턴스 중지
ami 생성하자.
action > image and templates > create image >
image name
AppServer-Unencrypted
Image of AppServer before encryption
create image
5
확인
루트 볼룸이 암호화 되어 있지 않다.
6
ami를 하나더 복사해 암호화 해보자?
ami 선택
actions > copy ami
7
서울리전
AppServer-Encrypted
Image of AppServer after encryption
encrypt target ebs snapshots
master key : game-kms-key
copy ami
ami id 확인
8
ami로 모든 인스턴스를 생성하자.
game-kms-key로 암호화 된상태로 생성 된다.
<6> KMS로 s3 데이터 암호화
1
s3
create
secret-12333
block all public access 선택취소
i acknowledge 선택
2
Default ncryption
service side encryption Enable로 변경
AWS Key Management Service key (SSE-KMS) 선택
Choose from your KMS master keys > game-kms-key 선택
Create bucket
3
upload > Add files
service-side encryption setting
override default encryption bucket settings , aws key management service key (sse-kms)
choose form master keys
game-kms-key
destination > i ack
upload
3
kms key에 의해 자동 암호화
upload status > exit
4
파일선택
Action
Make Public
5
File clock
object url click
안보임
kms필요
<7> KMS 마스터키 비 활성화 하면?
1
KMS > game-kms-key
action
disable
2
s3에서 파일 open
kms 비활성화라 볼수 없음
<8> KMS 키 삭제
바로 삭제 불가능
삭제 예약한다.
7일
삭제후 복구불가
<9> CloudWatch logs로 api 사용 확인하기?
CloudWatch > log groups >
AwsAccountNumbet,volume,s3 encrypt,kms로 필터
감사합니다/