516. KMS

<1>  KMS  마스터키 생성

<2> 마스터키 교체 활성화?

<3> CloudTail 로깅  활성화?

<4> KMS로 ec2  새 볼륨 만들고 암호화

<5> AMI이미지 만들고 KMS키로 암호화 하기

<6> KMS로 s3 데이터 암호화

<7>  KMS 마스터키 비 활성화 하면?

<8>  KMS 키 삭제

<9> CloudWatch logs로 api 사용 확인하기?

<1>  KMS  마스터키 생성

서울리전 선택

KMS

symmetric

game-kms-key

PCI 데이터 암호화에 사용되는 KMS 키

keyadmin 선택

usage permissions 선택

종료

<2> 마스터키 교체 활성화?

자동 교체는 아니다.

1년 마다 교체되도록 체크하자.

KMS >  해당 키 선택    game-kms-key  > key rotation    > auto 1 년   >저장

<3> CloudTail 로깅  활성화?

1

모든  API  호출기록을 확인하기 위해 활성화함.

요즘은 디폴트로 활성화 되어 있다.

2

CloudTail > 

서울리전 선택

Create trail > 

Lab-Trail

//  모든 리전을 활성화 하진않는다. all resions  no

3

저장할 s3 버킷 생성 >

aws-cloudtrail-logs-123

3

KMS는 디폴트로 사용하도록 되어 있다.

만들어진 키 선택 > game-kms-key

3

cloudwatch logs >   enabled  체크하기

4

 log group  > new > aws-cloudtrail-logs-123

5

iam role > existing >    cloudtrail service role

next

6

log event를 선택

event type은  디폴트로 1개  Managemenet events만 체크되어 있다.

Next

7

확인 ?

Cloudtrail 활성화됨

이벤트는 cloudwatch로 전송됨.

이를 통해 kms 키를  모니터링 가능함

<4> KMS로 ec2  새 볼륨 만들고 암호화

kms 마스터키로 ebs 볼륨 암호화하기

1

service  > ec2

서울리전

볼륨

create volume

용량은 1로 한다.

encryption : encripty this volume  체크 >   game-kms-key 선택 

create volume

2

볼륨 확인

Encrypted

<5> AMI이미지 만들고 KMS키로 암호화 하기

1

부팅 볼륨 암호화 ?

ami 이미지를 만들고 kms 키를 적용한다.

4

ami 이미지를 만들어 보자 ?

인스턴스 중지

ami 생성하자.

action > image and templates > create image >

image name 

AppServer-Unencrypted

Image of AppServer before encryption

create image

5

확인

루트 볼룸이 암호화 되어 있지 않다.

6

ami를 하나더 복사해 암호화 해보자?

ami 선택

actions > copy ami

7

서울리전 

AppServer-Encrypted

Image of AppServer after encryption

encrypt target ebs snapshots

master key : game-kms-key

copy ami

ami id 확인

8

ami로 모든 인스턴스를 생성하자. 

game-kms-key로 암호화 된상태로 생성 된다.

<6> KMS로 s3 데이터 암호화

1

s3

create

secret-12333

block all public access 선택취소

i acknowledge  선택

2

Default ncryption 

service side encryption  Enable로 변경

AWS Key Management Service key (SSE-KMS)  선택

Choose from your KMS master keys  > game-kms-key  선택

Create bucket

3

upload   > Add files

service-side encryption setting

override default encryption bucket settings , aws key management service key (sse-kms)  

choose form master keys

game-kms-key

destination > i ack

upload

3

kms key에 의해 자동 암호화

upload status > exit

4

파일선택

Action

Make Public

5

File clock

object url click

안보임

kms필요

<7>  KMS 마스터키 비 활성화 하면?

1

KMS >  game-kms-key

action

disable

2

s3에서 파일 open

kms 비활성화라 볼수 없음

<8>  KMS 키 삭제

바로 삭제 불가능

삭제 예약한다.

7일

삭제후 복구불가

<9> CloudWatch logs로 api 사용 확인하기?

CloudWatch > log groups > 

AwsAccountNumbet,volume,s3 encrypt,kms로 필터

감사합니다/