KMS

Question 1

Ключи заказчика в KMS называются … и бывают двух видов: … и …

Answer 1

Customer Managed Keys (CMK)
Симметричные (AES-256 ключ)
Асимметричные (RSA & ECC пара ключей)

Question 2

Асимметричные ключи: какие кодовые названия?
Для каких целей используется каждый в паре?

Answer 2

RSA & ECC
- Публичный ключ для шифрования или создания подписи (sign)
- Приватные для расшифровки или верификации подписи.

Question 3

Какой Use-case для ассиметричных ключей?

Answer 3

Шифрование приходится делать БЕЗ доступа к AWS (KMS).
Ведь всегда можно выдать всем желающим публичный ключ

Question 4

Каков прайсинг за хранение ключей в KMS?

Answer 4

• AWS Managed Keys - беслпатны
• Customer Managed Keys - $1 в месяц

Question 5

Каков прайсинг за API операции в KMS?

Answer 5

$0.03 за 10_000 вызовов

Question 6

Какие варианты Key Rotation предлагает KMS?

Answer 6

• AWS Managed Key - автоматическая ротация, раз в год
• Customer-managed Key
  
  • created - автоматическая ротация, раз в год (нужно обязательно активировать ротацию)
  • imported - только вручную ротация, через Alias

Question 7

Обязательно условие касаемо KMS ключа
Чтобы мигрировать зашифрованный EBS Volume, …

Answer 7

то KMS Key Policy должна быть Customer Managed (а НЕ Default)
и эта Customer Managed Key Policy должна разрешать доступ cross-account.

Question 8

• Если мы ещё НЕ создали никакой Policy, то …
• Default Key Policy даёт доступ …,
  если …
• Default Key Policy даёт доступ …

Answer 8

• то по-умолчанию у ключа есть Default Policy
• ВСЕМ сервисам/юзерам в AWS аккаунте, если у них есть IAM Role на этот ключ
• Root аккаунту

Question 9

Дефолтная Key Policy НЕ даёт … доступ.
Для … нужно делать ….

Answer 9

cross-account
cross-account
Custom Policy

Question 10

3 основные API операции в KMS?
Какие параметры указываем для каждой из них?
Что получаем в результате каждой из них?

Answer 10

• Encrypt
  
  • указываем файл с исходным текстом
  • указываем CMK (Customer Managed Key)
  • получаем в результате зашифрованный текст
• Decrypt
  
  • указываем файл с зашифрованным текстом
• GenerateDataKey
  
  • указываем CMK (Customer Managed Key)
  • получаем Data Key для client-side шифрования

Question 11

Для какого вида шифрования используются API операции encrypt, decrypt, generateDataKey

Answer 11

для симметричного

Question 12

Максимальный размер файла с исходным текстом, чтобы зашифровать его в KMS?
Что делать, если файл больше этого размера?
Как называется эта технология? Какую API операцию она использует?

Answer 12

4 KB
если файл больше, то Envelop Encryption через API операцию GenerateDataKey
DEK = data key

Question 13

Как снизить количество повторяющихся вызовов KMS API?
Какой недостаток у этого решения?

Answer 13

Можно кэшировать Data Keys, чтобы повторно использовать их для других файлов.
Повторное использование ключей из кэша снижает количество KMS API вызовов.

Повторное использование ключей для другие файлов снижает Security

Question 14

В чём разница между операциями GenerateDataKey и GenerateDataKeyWithoutPlainText?
Когда какую применять?

Answer 14

• GenerateDataKey возвращает
  
  • plain text Data Key (DEK)
  • зашифрованный Data Key (DEK)
• GenerateDataKeyWithoutPlainText возвращает
  
  • зашифрованный Data Key (DEK)

Операция GenerateDataKeyWithoutPlainText нужна для ОТЛОЖЕННОГО шифрования.
Она подразумевает, что в будущем мы выполним ещё один шаг (расшифровку зашифрованного DEK’а).
Если нам нужно СРАЗУ шифровать данные, то нужно использовать операцию GenerateDataKey

Question 15

Какая особенность есть у лимита на количество операций в KMS?
Что это напоминает?

Answer 15

Подобно Lambda Invocation Quota, KMS имеет ОБЩИЙ лимит на количество операций (encrypt, decrypt) для ВСЕХ сервисов,
которые вызывают KMS в этом конкретном AWS РЕГИОНЕ.

Question 16

Решение проблемы Тротлинга в KMS - какие варианты?

Answer 16

• exponential backoff / retry
• Кэширование DEK ключа при использовании GenerateDataKey
• запросить Quota increase через AWS support

Question 17

Цифры - какие лимиты на количество API вызовов KMS?
Для симметричных ключей …
Для ассиметричных ключей …

Answer 17

• Для Симметричных ключей 5_500, 10_000, 30_000 - в зависимости от региона
• Для Ассиметричных ключей 500, 300 - в зависимости от вида ключа

Question 18

Как реализована 99-ти процентная оптимизация запросов SSE-KMS?

Answer 18

• S3 запрашивает CMK ключ 1 раз (есть rotation period)
• S3 создаёт множество Data Keys из этого S3 Bucket CMK - и использует их

Question 19

Что делает сервис Nitro Enclaves?
Какие ключевые слова?

Answer 19

это сервис для обработки sensitive информации в изолированном окружении.
Отдельные замкнутые EC2 сервера, изолированные от SSH / HTTP запросов.

Ключевые слова
Personally Identifiable Information (PII), Health Care, Financial, приватные ключи, кредитные карты.
Цифровая подпись кода приложения, верификация, интеграция с KMS.

Question 20

В чём отличия CloudHSM от KMS?
HSM это ПО?
HSM подконтролен AWS’у?
HSM используется для SSE-KMS?
HSM поддерживает симметричное шифрование?

Answer 20

• HSM - это физическое устройство, а не ПО
• CloudHSM подконтролен нам лично, а не AWS’у
• CloudHSM для SSE-C, а KMS для SSE-KMS
• CloudHSM поддерживает симметричное и асимметричное (как и KMS)