مدیر گواهینامه AWS KMS در مقابل AWS: راهنمای نهایی برای لایه های امنیتی ابر

سلام ، ماجراجویان ابر و ماستروس Devops! 👋

آیا تا به حال پیدا کرده اید که به یک نمودار معماری AWS خیره شده اید ، تا زمانی که به بخش امنیتی ضربه بزنید ، از نظر ذهنی در تمام خدمات جالب گره می زنید؟ سپس ، یک سؤال ناخوشایند مطرح می شود: “آیا من از AWS KMS در اینجا استفاده می کنم ، یا ACM؟ آیا آنها حتی برای همان چیزها هستند؟

اگر این مثل شما به نظر می رسد ، شما تنها نیستید. در یک دهه من+ کمک به متخصصان ابر در حرکت در پیچیدگی های AWS ، تمایز بین خدمات مدیریت کلید AWS (KMS) و مدیر گواهی AWS (ACM) یک نقطه تکرار سردرگمی است. هر دو برای امنیت محوری هستند ، اما در لایه های اساساً متفاوت فعالیت می کنند. سوء تفاهم از آنها می تواند منجر به شکاف های امنیتی ، کابوس های انطباق یا فقط مهندسی ساده شود.

امروز ، ما قصد داریم این دو سرویس مهم را تغییر دهیم. ما فراتر از جارگون خواهیم رفت ، به سناریوهای دنیای واقعی شیرجه می شویم ، از مشکلات مشترک پرده برداری می کنیم و شما را با دانش برای ساختن برنامه های واقعاً ایمن و انعطاف پذیر در AWS مسلح می کنیم. در پایان این پست ، شما نه تنها KMS و ACM را در داخل می فهمید بلکه دقیقاً می دانید که چه موقع و چگونه می توانید از آنها استراتژیک استفاده کنید.

آماده هستید تا بازی امنیتی AWS خود را بالا ببرید؟ بیایید شیرجه بزنیم!

فهرست مطالب

1. چرا AWS KMS و ACM بیش از هر زمان دیگری

در سال 2024 (و فراتر از آن!) ، Cloud Security فقط یک “خوب بودن” نیست-این یک سنگ بنای غیر قابل مذاکره از هر معماری قوی است. نقض داده ها شایع است ، رعایت نظارتی (GDPR ، HIPAA ، PCI DSS و غیره) سخت تر از همیشه است و اعتماد مشتری شکننده است. یک حادثه امنیتی واحد می تواند میلیون ها دلار جریمه ، خسارت به اعتبار و تجارت از دست رفته باشد.

این واقعیت ها را در نظر بگیرید:

• با توجه به هزینه 2023 گزارش نقض داده IBM ، میانگین هزینه نقض داده ها به دست آمده است 4.45 میلیون دلار دلار، 15 ٪ افزایش در طی سه سال.
• رمزگذاری به طور مداوم به عنوان یک استراتژی برتر کاهش می یابد.
• ترافیک وب اکنون به شدت به HTTP ها متکی است ، با تخمین های بیش از 80-90 ٪ از صفحات وب بارگذاری شده از HTTPSبشر این به معنای ارتباط ایمن است در ترانزیت انتظار پیش فرض است ، یک استثنا نیست.

این دقیقاً همان جایی است که KMS و ACM می درخشند. آنها بلوک های ساختاری اساسی را برای تأمین اطلاعات و ارتباطات شما فراهم می کنند ، و اطمینان می دهند که شما هم با بهترین روشهای فنی و هم در الزامات نظارتی روبرو هستید. بدون آنها ، شما اساساً خانه ای را بدون قفل روی درها یا پنجره ها می سازید.

مدل مسئولیت مشترک AWS مسئولیت تأمین اطلاعات شما را بر عهده می گیرد در ابر به طور کامل در شما شانه ها AWS ابر را ایمن می کند خود، اما شما مسئول نحوه پیکربندی و استفاده از خدمات ، از جمله رمزگذاری و مدیریت گواهینامه هستید. KMS و ACM ابزارهای اصلی شما برای انجام این مسئولیت هستند.

2. درک KMS و ACM به زبان ساده

بیایید این سرویس ها را با استفاده از قیاس های ساده ای که می چسبند تجزیه کنیم.

2.1 سرویس مدیریت کلید AWS (KMS): The Vault Keeper

تصور کنید که یک طاق بسیار ایمن دارید که در آن با ارزش ترین دارایی های خود را ذخیره می کنید – داده های دیجیتال. برای باز کردن این طاق ، به یک کلید منحصر به فرد و بسیار محافظت شده نیاز دارید. شما نمی خواهید کلید فیزیکی را مدیریت کنید ، نگران ذخیره آن باشید ، یا مطمئن شوید که هرگز تکثیر نشده است. شما می خواهید یک سرویس فوق العاده قابل اعتماد و قابل اعتماد “Vault Keeper” که:

• کلیدها را به طور ایمن تولید می کند.
• کلیدها را در سخت افزار ضد آب در دست می دهد.
• کنترل دسترسی را برای چه کسی می تواند از کدام کلید استفاده کند.
• عملیات قفل (رمزگذاری) و باز کردن قفل (رمزگشایی) را برای شما انجام می دهد ، بدون اینکه هرگز کلید اصلی را در معرض دید خود قرار دهید.
• هر بار که یک کلید استفاده می شود ، یک گزارش دقیق از هر بار استفاده می کند.

این دقیقاً چه چیزی است KMS AWS انجام می دهد. این یک سرویس مدیریت شده است که ایجاد و کنترل کلیدهای رمزگذاری مورد استفاده برای رمزگذاری داده های شما را آسان می کند. این چرخه عمر این کلیدها را مدیریت می کند و تقریباً با سایر خدمات AWS (S3 ، RDS ، EBS ، Lambda و غیره) یکپارچه می شود تا رمزگذاری را در حالت استراحت فراهم کند.

KMS = رمزگذاری داده های خود هنگام ذخیره (در حالت استراحت). از آن به عنوان اطمینان از محتوای ایمن دیجیتال خود فکر کنید.

2.2 مدیر گواهی AWS (ACM): دفتر گذرنامه دیجیتال

اکنون تصور کنید که یک تجارت آنلاین را اداره می کنید ، و مشتریان باید با اطمینان از اطلاعات با شما – مانند جزئیات کارت اعتباری یا اطلاعات شخصی استفاده کنند. آنها باید کاملاً مطمئن باشند که با آنها صحبت می کنند شما وب سایت و نه یک تحریک کننده ، و ارتباط آنها خصوصی است.

برای دستیابی به این هدف ، برای وب سایت خود به “گذرنامه دیجیتال” نیاز دارید که توسط یک “دفتر گذرنامه دیجیتال” معتبر صادر شده است. این گذرنامه (یک گواهی SSL/TLS) هویت وب سایت شما را تأیید می کند و ارتباط ایمن و رمزگذاری شده (HTTPS) را امکان پذیر می کند. این “دفتر گذرنامه” باید:

• گذرنامه ها را برای دامنه های خود به سرعت و قابل اعتماد صادر کنید.
• قبل از انقضا به طور خودکار آنها را تجدید کنید.
• مستقیماً با زیرساخت های وب خود (مانند تعادل بار) ادغام شوید.
• برای برقراری ارتباط ایمن ، تمام رمزنگاری پیچیده را در پشت صحنه انجام دهید.

یعنی مدیر گواهی AWS (ACM)بشر این خدمتی است که به شما امکان می دهد گواهینامه های SSL/TLS عمومی و خصوصی را برای استفاده با خدمات AWS و منابع متصل داخلی خود به راحتی ارائه ، مدیریت و مستقر کنید. این پیچیدگی در ایجاد و تجدید گواهینامه ها را کنترل می کند ، و اطمینان می دهد که برنامه های شما همیشه دارای اعتبار امنیتی معتبر و معتبر برای ارتباطات ایمن از طریق اینترنت هستند.

ACM = تأمین اطلاعات خود در هنگام حرکت (در ترانزیت). از آن به عنوان امنیت کانال ارتباطی بین مشتریان و وب سایت خود فکر کنید.

3. شیرجه عمیق به KMS و ACM

بیایید کمی فنی تر بدست آوریم و اجزای اصلی و عملکردهای هر سرویس را کشف کنیم.

3.1 AWS KMS: زیر کاپوت

KMS به مفهومی بنام متکی است کلیدهای اصلی مشتری (CMKS)، اکنون که اغلب به آن گفته می شود کلیدهای KMSبشر این منابع اصلی در KMS است.

انواع کلیدهای KMS:

• کلیدهای متعلق به AWS: استفاده شده توسط خدمات AWS (به عنوان مثال ، رمزگذاری مدیریت S3) که در آن شما هیچ کنترلی بر کلید ندارید.
• کلیدهای مدیریت شده AWS: AWS کلیدهایی را برای شما ایجاد و مدیریت می کند ، اما می توانید آنها را در حساب خود ببینید و استفاده از آنها را مشاهده کنید (به عنوان مثال ، aws/s3با aws/rds).
• کلیدهای مدیریت شده مشتری (CMKS): اینها کلیدهایی هستند که شما ایجاد می کنید ، مالکیت می کنید و مدیریت می کنید. شما سیاست ها ، چرخش و چرخه عمر آنها را کنترل می کنید. این جایی است که بیشتر تعامل شما با KMS اتفاق می افتد.

چگونه KMS کار می کند (ساده شده):

هنگامی که از یک سرویس AWS (مانند S3) می خواهید داده های خود را با استفاده از یک کلید KMS رمزگذاری کنید ، S3 داده های واقعی شما را برای رمزگذاری به KMS ارسال نمی کند. در عوض ، KMS از تکنیکی به نام استفاده می کند رمزگذاری پاکت:

1. S3 درخواست می کند کلید داده ها از KMS
2. KMS یک کلید داده منحصر به فرد (به عنوان مثال ، کلید AES 256 بیتی) تولید می کند و آن را با استفاده از کلید KMS شما رمزگذاری می کند. سپس هر دو کلید داده Schaintext و Blob Ciphertext از کلید داده رمزگذاری شده را به S3 ارسال می کند.
3. S3 از کلید داده های ساده برای رمزگذاری داده های واقعی خود.
4. S3 سپس ذخیره می کند داده های رمزگذاری شده در کنار کلید داده رمزگذاری شدهبشر
5. هنگامی که S3 نیاز به رمزگشایی داده ها دارد ، آن را ارسال می کند کلید داده رمزگذاری شده به KMS KMS آن را با استفاده از کلید KMS شما رمزگشایی می کند و ارسال می کند کلید داده های ساده بازگشت به S3.
6. S3 برای رمزگشایی داده های واقعی خود از کلید داده های ساده استفاده می کند.

این امر باعث می شود کلید اصلی KMS شما هرگز KMS را ترک نکند و هرگز به طور مستقیم داده های شما را لمس نکند.

ویژگی های کلیدی:

• قابلیت حسابرسی: با AWS CloudTrail ادغام می شود تا تمام استفاده های اصلی را وارد کند.
• کنترل دسترسی: مجوزهای ریز دانه از طریق سیاست های کلیدی (برای خود کلید) و سیاستهای IAM (برای اصولگرایان).
• چرخش کلیدی: چرخش خودکار سالانه برای کلیدهای متقارن با مدیریت مشتری.
• فروشگاه های کلید سفارشی: برای کنترل پیشرفته ، KMS را به خوشه CloudHSM خود یا مدیران کلید خارجی وصل کنید.
• انطباق FIPS 140-2: KMS از ماژول های امنیتی سخت افزاری معتبر FIPS 140-2 (HSMS) استفاده می کند.

قیمت گذاری: شما برای کلیدهای KMS که ایجاد می کنید و برای هر عمل رمزنگاری پرداخت می کنید. 20،000 درخواست اول در هر ماه رایگان است.

در اینجا مثالی از ایجاد کلید KMS با مدیریت مشتری با استفاده از AWS CLI آورده شده است:

# Create a new KMS key
aws kms create-key \
    --description "My Application Encryption Key" \
    --tags TagKey=Purpose,TagValue=WebAppEncryption

# Output will include the KeyId and Arn. Let's assume ARN is:
# arn:aws:kms:us-east-1:123456789012:key/mrk-abcdefgh1234567890abcdefghijklm

# Add an alias for easier reference (optional but recommended)
aws kms create-alias \
    --alias-name alias/MyWebAppKey \
    --target-key-id mrk-abcdefgh1234567890abcdefghijklm

# Example: Encrypting some data with this key (for small data payloads)
# For larger data, you'd use envelope encryption with a data key.
aws kms encrypt \
    --key-id alias/MyWebAppKey \
    --plaintext "MySecretData" \
    --query CiphertextBlob \
    --output text

# Example: Decrypting the ciphertext (replace with your actual ciphertext)
# Note: The output is base64 encoded.
# echo "Ci... (your ciphertext blob)" | base64 --decode > encrypted_data.bin
# aws kms decrypt \
#     --ciphertext-blob fileb://encrypted_data.bin \
#     --query Plaintext \
#     --output text | base64 --decode

3.2 AWS ACM: زیر کاپوت

ACM روی تمرکز دارد گواهینامه های SSL/TLS، که پرونده های دیجیتالی هستند که برای دو هدف اصلی استفاده می شوند:

1. احراز هویت: اثبات هویت یک وب سایت یا سرور.
2. رمزگذاری: فعال کردن ارتباطات رمزگذاری شده بین مشتری (مانند مرورگر وب) و یک سرور.

چگونه ACM کار می کند:

1. گواهی درخواست: شما برای دامنه (های) خود یک گواهی درخواست می کنید (به عنوان مثال ، example.comبا www.example.com).
2. اعتبار سنجی دامنه: ACM باید تأیید کند که شما در اختیار دارید یا دامنه را کنترل می کنید. این کار را می توان از طریق:
   • اعتبار سنجی DNS (توصیه می شود): ACM یک رکورد CNAME را برای اضافه کردن به پیکربندی DNS شما فراهم می کند. AWS به طور خودکار آن را تأیید می کند. این بسیار توصیه می شود زیرا امکان تجدید خودکار را فراهم می کند.
   • اعتبار سنجی ایمیل: ACM برای دامنه شما ایمیلی به مخاطبین ثبت شده ارسال می کند. برای تأیید روی یک پیوند کلیک می کنید.
3. صدور گواهینامه: پس از تأیید اعتبار ، ACM گواهی را صادر می کند.
4. استقرار: شما گواهی را با خدمات یکپارچه AWS مانند:
   • متعادل کننده بار الاستیک (ELB: ALB ، NLB ، CLB)
   • توزیع های ابر آمازون
   • دروازه API آمازون
   • AWS AppSync
   • یادگیری آمازون
5. تجدید خودکار: ACM به طور خودکار گواهینامه های ارائه شده از طریق آن را تمدید می کند ، تا زمانی که اعتبارسنجی DNS موفقیت آمیز باشد یا اعتبار سنجی ایمیل به آن پاسخ داده شود. این امر “قطع گواهی منقضی شده” را از بین می برد.

ویژگی های کلیدی:

• گواهینامه های عمومی رایگان: ACM گواهینامه های عمومی SSL/TLS را بصورت رایگان ارائه می دهد. شما فقط برای منابع AWS که از گواهینامه ها استفاده می کنند (به عنوان مثال ، ELB ، Cloudfront) پرداخت می کنید.
• چرخه عمر مدیریت شده: دستگیره صدور ، تجدید و استقرار.
• ادغام با خدمات AWS: یکپارچه با خدمات ذکر شده در بالا ادغام می شود.
• ACM Private CA: برای PKI در سطح خصوصی ، می توانید از ACM Private CA برای ایجاد مجوز خصوصی خود (CA) (CA) استفاده کنید و گواهینامه هایی را برای موارد استفاده داخلی (به عنوان مثال ، ارتباطات میکروسرویس) صادر کنید.

قیمت گذاری: گواهینامه های عمومی SSL/TLS ارائه شده از طریق ACM رایگان است. شما هزینه استفاده از CA خصوصی ACM را پرداخت می کنید.

# Request a public certificate for your domain
# This will output a Certificate ARN
aws acm request-certificate \
    --domain-name example.com \
    --subject-alternative-names www.example.com api.example.com \
    --validation-method DNS

# Output will include CertificateArn. Let's assume ARN is:
# arn:aws:acm:us-east-1:123456789012:certificate/abcdefgh-1234-5678-abcd-ef1234567890

# Describe the certificate to get validation options (especially for DNS validation)
# Look for 'ResourceRecord' under 'DomainValidationOptions'
aws acm describe-certificate \
    --certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/abcdefgh-1234-5678-abcd-ef1234567890

# Once you have the CNAME record from describe-certificate, you'd add it to your DNS.
# If your domain is in Route 53, ACM can create the records automatically:
# aws acm request-certificate \
#     --domain-name example.com \
#     --validation-method DNS \
#     --options CertificateTransparencyLoggingPreference=ENABLED \
#     --validation-domain example.com \
#     --domain-validation-options DomainName=example.com,ValidationDomain=example.com

# Then, create Route 53 records if not automatically done by ACM (for Route 53 domains)
# This is usually done via a specific ACM feature or CloudFormation.
# For manual validation (e.g., domain not in Route 53), you'd manually add the CNAME.

4. مورد استفاده در دنیای واقعی: تأمین یک برنامه وب مدرن

بیایید تصور کنیم که شما با استفاده از فناوری های بدون سرور AWS در حال ساختن یک پلت فرم جدید تجارت الکترونیکی به نام “CloudGadgets” هستید. شما دارید:

• Frontend: میزبان آمازون S3 و از طریق Amazon Cloudfront تحویل داده می شود.
• Backend API: ساخته شده با AMAMON API Gateway و AWS Lambda.
• بانک اطلاعاتی: Amazon RDS (PostgreSQL) ذخیره اطلاعات مشتری و موجودی محصول.
• بارگذاری کاربر: سطل آمازون S3 برای تصاویر محصول و بررسی کاربر.
• اسرار: کلیدهای API ، اعتبار پایگاه داده ذخیره شده در مدیر اسرار AWS.

در اینجا نحوه کار KMS و ACM با هم آمده است:

1. ارتباط ایمن (کار ACM):

   • Frontend: خدمت https://www.cloudgadgets.com با اطمینان ، شما می خواهید یک گواهی عمومی SSL/TLS را برای cloudgadgets.com وت www.cloudgadgets.com با استفاده از ACMبشر
   • سپس می توانید این گواهی ACM را با خود مرتبط کنید توزیع ابر ابربشر CloudFront از آن برای برقراری اتصالات HTTPS با کاربران نهایی استفاده خواهد کرد.
   • Backend API: به همین ترتیب ، برای نقطه پایانی API شما (به عنوان مثال ، https://api.cloudgadgets.com) ، شما از همان گواهی ACM (یا جداگانه) استفاده می کنید و آن را با خود مرتبط می کنید دامنه سفارشی API Gatewayبشر این تضمین می کند که تمام تماس های API در ترانزیت رمزگذاری می شوند.

2. داده های امن در استراحت (کار KMS):

   • سطل S3:
     • سطل S3 دارایی های وب سایت شما (Origin Cloudfront) می تواند استفاده کند S3 رمزگذاری مدیریت شده با کلید KMS با مدیریت AWS (SSE-KMS) برای اطمینان از رمزگذاری پرونده های استاتیک شما در حالت استراحت.
     • سطل S3 برای بارگذاری کاربر (به عنوان مثال ، cloudgadgets-user-uploads) حاوی داده های حساس خواهد بود. شما فعال می کنید رمزگذاری SSE-KMS روی این سطل ، با استفاده از a کلید KMS با مدیریت مشتری شما ایجاد می کنید این به شما کنترل کامل بر روی کلید ، خط مشی دسترسی آن و مسیرهای حسابرسی می دهد.
   • پایگاه داده RDS: نمونه RDS شما در ذخیره سفارشات مشتری و اطلاعات شخصی برای استفاده پیکربندی خواهد شد رمزگذاری KMS برای حجم ذخیره آن باز هم ، شما از یک استفاده می کنید کلید KMS با مدیریت مشتری برای حداکثر کنترل و انطباق.
   • متغیرهای محیط/اسرار محیط Lambda: اگر توابع Lambda شما نیاز به ذخیره متغیرهای محیط حساس (به عنوان مثال ، کلیدهای API برای خدمات شخص ثالث) یا بازیابی اسرار از مدیر AWS Secrets ، هر دو اغلب با استفاده از رمزگذاری می شوند کیلومتربشر Secrets Manager خود برای رمزگذاری اسرار در حالت استراحت به KMS متکی است.
   • مدیر اسرار AWS: اعتبار پایگاه داده شما برای RDS ، کلیدهای API شخص ثالث و غیره ، که در Secrets Manager ذخیره شده است ، با استفاده از رمزگذاری می شوند کیلومتربشر شما می توانید از یک کلید مدیریت شده با AWS یا کلید KMS با مدیریت مشتری خود استفاده کنید.

تأثیر:

• اعتماد مشتری: مشتریان می دانند که ارتباط آنها ایمن است ، “قفل قفل” را در مرورگر خود می بینند.
• محافظت از داده ها: تمام داده های حساس ، چه در S3 ، RDS یا مدیر اسرار ذخیره شده ، در حالت استراحت رمزگذاری می شوند و از آن محافظت می کنند حتی اگر ذخیره سازی زیرین به خطر بیفتد.
• انطباق: شما می توانید پیروی از بهترین شیوه های رمزگذاری داده را برای الزامات نظارتی نشان دهید.
• سهولت عملیاتی: هر دو سرویس عملکردهای پیچیده رمزنگاری و حیات کلیدی/گواهی را مدیریت می کنند و تیم خود را آزاد می کنند تا روی منطق برنامه تمرکز کنند.

5. اشتباهات و مشکلات رایج

حتی متخصصان باتجربه گاهی اوقات می توانند با KMS و ACM گیر بیفتند. در اینجا برخی از سوء استفاده ها یا سوء تفاهم های رایج آورده شده است:

1. گیج کننده “در ترانزیت” با “در استراحت”: این اساسی ترین اشتباهی است که این پست قصد دارد به آن بپردازد.

   • گودال: با فرض اینکه یک گواهی ACM برای تأمین ترافیک HTTPS وب سایت شما نیز داده های ذخیره شده در پایگاه داده شما را رمزگذاری می کند. (اینطور نیست!) یا فکر کردن KMS داده ها را هنگام سفر از طریق شبکه رمزگذاری می کند. (اگر مستقیماً کلیدهایی را برای پروتکل های رمزگذاری شبکه فراهم می کند).
   • راه حل: به یاد داشته باشید: ACM = در ترانزیت (HTTPS ، TLS). kms = در استراحت (S3 ، RDS ، EBS ، اسرار). آنها لایه های مکمل هستند.

2. KMS کلیدی خط مشی خط مشی:

   • گودال: سیاست های کلیدی بیش از حد مجاز ("Effect": "Allow", "Principal": "*" در یک سیاست کلیدی یک پرچم قرمز بزرگ است!) یا سیاست های بیش از حد محدود کننده که مانع از رمزگذاری/رمزگشایی خدمات قانونی/کاربران می شود.
   • راه حل: اعمال اصل حداقل امتیازبشر از آرنهای خاص برای اصولگرایان استفاده کنید ، اقدامات را محدود کنید (kms:Encryptبا kms:Decrypt) ، و از شرایط استفاده کنید. به طور مرتب سیاست های کلیدی را حسابرسی کنید.

3. مسائل مربوط به اعتبارسنجی ACM DNS:

   • گودال: عدم اضافه کردن سوابق CNAME به درستی ، یا مدیریت DNS در خارج از مسیر 53 و فراموش کردن به روزرسانی آن در هنگام تجدید. این منجر به خرابی اعتبار سنجی گواهی و قطع خدمات بالقوه می شود.
   • راه حل: همیشه از اعتبار DNS برای گواهینامه های عمومی ACM استفاده کنید ، به خصوص اگر دامنه شما در مسیر 53 باشد ، زیرا ACM اغلب می تواند به طور خودکار سوابق لازم را ایجاد کند. در صورت مدیریت DNS در خارج ، یک فرایند قوی برای اضافه کردن/تأیید CNAME داشته باشید.

4. استفاده از KMS برای رمزگذاری داده های بزرگ به طور مستقیم:

   • گودال: تلاش برای رمزگذاری پرونده های بسیار بزرگ (GBS یا TBS) با ارسال کل بار به KMS. KMS در اندازه داده هایی که می تواند مستقیماً رمزگذاری کند (4KB) محدودیت های سختی دارد.
   • راه حل: برای داده های بزرگ ، همیشه استفاده کنید رمزگذاری پاکتبشر یک کلید داده را از KMS درخواست کنید ، داده های بزرگ خود را با آن کلید داده رمزگذاری کنید و کلید داده رمزگذاری شده را در کنار داده های رمزگذاری شده خود ذخیره کنید. این همان کاری است که خدمات AWS مانند S3 و RDS هنگام ادغام با KMS به طور خودکار انجام می دهند.

5. ACM برای خدمات در محل/خدمات غیر AWS:

   • گودال: تلاش برای صادر کردن گواهی ACM برای نصب بر روی سرور داخلی ، یک خوشه Kubernetes در خارج از EKS یا سایر خدمات غیر AWS.
   • راه حل: گواهینامه های عمومی ACM نمی توانند صادر شوند. آنها به خدمات AWS گره خورده اند. اگر برای محیط های غیر AWS به گواهینامه هایی نیاز دارید ، از یک مجوز سنتی گواهینامه (CA) یا AWS Private CA (که اجازه صادرات گواهینامه های خصوصی را می دهد) یا یک سرویس شخص ثالث مانند Let's Encrypt استفاده کنید.

6. نادیده گرفتن چرخش کلید برای CMK ها:

   • گودال: عدم امکان چرخش کلید خودکار برای کلیدهای KMS متقارن با مدیریت مشتری ، که در صورت به خطر انداختن یک کلید ، می تواند قرار گرفتن در معرض خطر را افزایش دهد.
   • راه حل: چرخش کلید خودکار را برای CMK های خود فعال کنید. در حالی که شناسه کلید یکسان است ، مواد رمزنگاری زیرین سالانه تغییر می کند و باعث افزایش امنیت می شود.

6. نکات حرفه ای و ویژگی های پنهان

شما اصول را پایین آورده اید. حال ، بیایید برخی از مانورهای پیشرفته را باز کنیم که شما را به یک گورو امنیتی AWS واقعی تبدیل می کند.

1. کلیدهای چند منطقه KMS:

   • برای نکته: برای بازیابی فاجعه یا معماری های کاربردی چند منطقه ، می توانید ایجاد کنید کلیدهای KMS چند منطقهبشر این به شما امکان می دهد داده ها را در یک منطقه رمزگذاری کرده و با استفاده از همان کلید منطقی ، آن را در منطقه دیگر رمزگشایی کنید ، تکثیر داده ها و استراتژی های عدم موفقیت را ساده کنید.
   • سود: نیازی به رمزگذاری مجدد داده ها یا مدیریت کلیدهای جداگانه در هر منطقه نیست و DR را ساده تر می کند.

2. KMS سیاست های کلیدی برای دسترسی به حساب متقابل:

   • برای نکته: به جای اینکه فقط به نقش های IAM تکیه کنید ، از سیاست های کلیدی KMS استفاده کنید تا دسترسی متقاطع به کلیدهای خود را اعطا کنید. سیاست های کلیدی این هستند اقتدار نهایی برای یک کلید اگر یک خط مشی کلیدی دسترسی را انکار کند ، هیچ خط مشی IAM نمی تواند آن را نادیده بگیرد.

   • مثال:

     {
       "Version": "2012-10-17",
       "Id": "key-default-1",
       "Statement": [
         {
           "Sid": "Enable IAM User Permissions",
           "Effect": "Allow",
           "Principal": {
             "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:root"
           },
           "Action": "kms:*",
           "Resource": "*"
         },
         {
           "Sid": "Allow cross-account access for specific IAM role",
           "Effect": "Allow",
           "Principal": {
             "AWS": "arn:aws:iam::ANOTHER_ACCOUNT_ID:role/YourAppRole"
           },
           "Action": [
             "kms:Encrypt",
             "kms:Decrypt",
             "kms:ReEncrypt*",
             "kms:GenerateDataKey*",
             "kms:DescribeKey"
           ],
           "Resource": "*"
         }
       ]
     }
     

*   **Benefit:** Stronger control over key access, especially useful for shared services or organizational key management.

1. ACM Private CA برای PKI داخلی:

   • برای نکته: گواهینامه های شخص ثالث گران را برای میکروسرویس های داخلی ، دستگاه های IoT یا VPN خریداری نکنید. استفاده کردن ACM Private CA برای ساختن سلسله مراتب مجوز خصوصی خود.
   • سود: مقرون به صرفه ، PKI خصوصی کاملاً مدیریت شده. شما زنجیره اعتماد را کنترل می کنید ، ایده آل برای ارتباطات داخلی خدمات به سرویس در VPC خود است.

2. درک گزارش های شفافیت گواهینامه با ACM:

   • برای نکته: هنگام درخواست گواهینامه های عمومی ، گاهی اوقات گزینه “ورود به سیستم شفافیت” را مشاهده خواهید کرد. آن را فعال کنید این بدان معناست که صدور گواهینامه شما به صورت عمومی وارد شده است و امنیت را با سخت تر کردن احزاب غیرمجاز برای صدور گواهینامه برای دامنه های شما بدون تشخیص سخت تر می کند.
   • سود: افزایش شفافیت و امنیت ، کمک به تشخیص گواهینامه های سوء استفاده یا مخرب.

3. برچسب زدن و سیاست های منابع برای حاکمیت:

   • برای نکته: کلیدهای KMS و گواهینامه های ACM خود را به طور مداوم برچسب گذاری کنید. از برچسب ها برای ردیابی مالکیت ، محیط و هدف استفاده کنید. سپس از AWS Resource Explorer یا اسکریپت های سفارشی برای حسابرسی استفاده کنید.
   • سود: مدیریت بهبود یافته ، تخصیص هزینه و مدیریت آسان تر منابع امنیتی شما.

4. کیلومتر GenerateDataKeyWithoutPlaintext:

   • برای نکته: اگر نیاز به ایجاد یک کلید داده برای رمزگذاری در یک محیط بسیار ایمن دارید که در آن کلید داده های ساده هرگز نباید در معرض برنامه قرار گیرد (به عنوان مثال ، در یک HSM یا یک آنکلاو خاص) ، از آنها استفاده کنید. GenerateDataKeyWithoutPlaintextبشر شما فقط کلید داده رمزگذاری شده را دریافت می کنید ، که سپس به یک ماژول امن منتقل می کنید که می تواند آن را رمزگشایی کند و از آن استفاده کند.
   • سود: امنیت شدید برای گردش کار رمزنگاری حساس ، هرچند که اغلب برای کاربردهای معمولی بیش از حد استفاده می شود.

نتیجه گیری و مراحل بعدی

صفر ما امروز زمین زیادی را پوشانده ایم. غذای مهم این است: مدیر گواهی AWS KMS و AWS هر دو برای امنیت ابر ضروری هستند ، اما مشکلات مختلفی را حل می کنند.

• KMS AWS آیا مدیر کلیدی اصلی شما است ، اطمینان حاصل می کند که داده های شما هنگام نشستن هنوز (در حالت استراحت) رمزگذاری شده است.
• مدیر گواهی AWS دفتر گذرنامه دیجیتال شما است ، اطمینان حاصل می کند که ارتباطات شما در هنگام حرکت (در هنگام حمل و نقل) از امنیت و تأیید اعتبار برخوردار است.

آنها رقیب نیستند ؛ آنها هستند شرکای در ساخت یک محیط ابر واقعاً امن. با درک نقش های متمایز آنها و استفاده از ویژگی های قدرتمند آنها ، می توانید برنامه هایی بسازید که نه تنها کاربردی بلکه در برابر تهدیدهای مدرن سازگار و مقاوم هستند.

آماده شیرجه عمیق تر هستید؟

فراخوانی به عمل

آیا این شیرجه عمیق نقش KMS و ACM را برای شما روشن کرده است؟ بزرگترین “آها” شما چیست لحظه ، یا شاید یک سوال طولانی؟ من دوست دارم افکار شما را بشنوم!

اگر این به شما کمک کرد تا در آبهای امنیت AWS حرکت کنید ، لطفا مرا در اینجا دنبال کن برای محتوای طولانی تر و عملی AWS. فراموش نکنید نظر خود را در زیر بگذارید و تجربیات یا سوالات خود را به اشتراک بگذارید.

و بیایید در LinkedIn وصل شویم! شما می توانید مرا در اینجا پیدا کنید: LinkedIn

ایمن سازی مبارک ، قهرمانان ابر!