brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Dec 04. 2020

516. KMS

<1>  KMS  마스터키 생성

<2> 마스터키 교체 활성화?

<3> CloudTail 로깅  활성화?

<4> KMS로 ec2  새 볼륨 만들고 암호화

<5> AMI이미지 만들고 KMS키로 암호화 하기

<6> KMS로 s3 데이터 암호화

<7>  KMS 마스터키 비 활성화 하면?

<8>  KMS 키 삭제

<9> CloudWatch logs로 api 사용 확인하기?




<1>  KMS  마스터키 생성


서울리전 선택


KMS

symmetric

game-kms-key

PCI 데이터 암호화에 사용되는 KMS 키


keyadmin 선택

usage permissions 선택


종료




<2> 마스터키 교체 활성화?


자동 교체는 아니다.

1년 마다 교체되도록 체크하자.


KMS >  해당 키 선택    game-kms-key  > key rotation    > auto 1 년   >저장





<3> CloudTail 로깅  활성화?


1

모든  API  호출기록을 확인하기 위해 활성화함.

요즘은 디폴트로 활성화 되어 있다.


2

CloudTail > 

서울리전 선택

Create trail > 

Lab-Trail

//  모든 리전을 활성화 하진않는다. all resions  no


3

저장할 s3 버킷 생성 >

aws-cloudtrail-logs-123


3

KMS는 디폴트로 사용하도록 되어 있다.

만들어진 키 선택 > game-kms-key


3

cloudwatch logs >   enabled  체크하기


4

 log group  > new > aws-cloudtrail-logs-123


5

iam role > existing >    cloudtrail service role


next


6

log event를 선택

event type은  디폴트로 1개  Managemenet events만 체크되어 있다.

Next



7

확인 ?

Cloudtrail 활성화됨

이벤트는 cloudwatch로 전송됨.

이를 통해 kms 키를  모니터링 가능함




<4> KMS로 ec2  새 볼륨 만들고 암호화


kms 마스터키로 ebs 볼륨 암호화하기


1

service  > ec2

서울리전


볼륨

create volume

용량은 1로 한다.

encryption : encripty this volume  체크 >   game-kms-key 선택 

create volume


2

볼륨 확인

Encrypted




<5> AMI이미지 만들고 KMS키로 암호화 하기


1

부팅 볼륨 암호화 ?

ami 이미지를 만들고 kms 키를 적용한다.


4

ami 이미지를 만들어 보자 ?

인스턴스 중지

ami 생성하자.

action > image and templates > create image >

image name 

AppServer-Unencrypted

Image of AppServer before encryption

create image


5

확인

루트 볼룸이 암호화 되어 있지 않다.


6

ami를 하나더 복사해 암호화 해보자?


ami 선택

actions > copy ami


7

서울리전 

AppServer-Encrypted

Image of AppServer after encryption

encrypt target ebs snapshots

master key : game-kms-key

copy ami

ami id 확인


8

ami로 모든 인스턴스를 생성하자. 

game-kms-key로 암호화 된상태로 생성 된다.




<6> KMS로 s3 데이터 암호화


1

s3

create

secret-12333


block all public access 선택취소

i acknowledge  선택


2

Default ncryption 

service side encryption  Enable로 변경

AWS Key Management Service key (SSE-KMS)  선택

Choose from your KMS master keys  > game-kms-key  선택


Create bucket



3

upload   > Add files


service-side encryption setting

override default encryption bucket settings , aws key management service key (sse-kms)  

choose form master keys

game-kms-key


destination > i ack

upload


3

kms key에 의해 자동 암호화

upload status > exit



4

파일선택

Action

Make Public


5

File clock

object url click

안보임

kms필요




<7>  KMS 마스터키 비 활성화 하면?


1

KMS >  game-kms-key

action

disable


2

s3에서 파일 open

kms 비활성화라 볼수 없음



<8>  KMS 키 삭제


바로 삭제 불가능

삭제 예약한다.

7일

삭제후 복구불가



<9> CloudWatch logs로 api 사용 확인하기?


CloudWatch > log groups > 

AwsAccountNumbet,volume,s3 encrypt,kms로 필터



감사합니다/


매거진의 이전글 515. 보안- 가드 듀티
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari