Apa itu AWS Key Management Service (AWS KMS)?
AWS Key Management Service (KMS) adalah layanan terkelola yang disediakan oleh Amazon Web Services (AWS) yang memungkinkan perusahaan untuk membuat, mengontrol, dan mengelola kunci kriptografi yang digunakan untuk mengenkripsi dan melindungi data mereka. Dengan AWS KMS, organisasi mendapatkan sistem penyimpanan, pengelolaan, dan audit kunci kelas dunia yang memudahkan pengendalian enkripsi data yang disimpan di seluruh layanan AWS mereka.
Sesuai dengan namanya, AWS KMS adalah layanan enkripsi dan pengelolaan kunci yang dirancang untuk digunakan di cloud AWS. Organisasi dapat menggunakan kunci enkripsi dan fitur yang disediakan oleh AWS KMS untuk melindungi data di semua aplikasi mereka yang menggunakan AWS. Layanan ini juga dapat menghasilkan kunci data yang dapat digunakan di luar AWS KMS. Kunci KMS simetris dan asimetris dapat dibuat untuk enkripsi dan penandatanganan menggunakan AWS KMS.
AWS KMS memungkinkan organisasi untuk lebih mengontrol siapa yang dapat menggunakan kunci AWS KMS mereka dan siapa yang dapat mengakses data terenkripsi mereka. Layanan ini memungkinkan mereka menggunakan fitur pengelolaan kunci dan kriptografi secara langsung dalam aplikasi AWS mereka atau melalui layanan AWS yang terintegrasi dengan AWS KMS.
AWS KMS menggunakan modul keamanan perangkat keras (HSM) untuk melindungi dan memvalidasi semua kunci kriptografi di bawah Program Validasi Modul Kriptografi FIPS 140-2 (CMVP). CMVP adalah upaya bersama antara National Institute of Standards and Technology (NIST) dan Canadian Centre for Cyber Security untuk mempromosikan penggunaan modul kriptografi yang telah divalidasi dan menyediakan cara standar bagi lembaga Federal untuk mendapatkan peralatan yang mengandung modul kriptografi yang telah divalidasi.
AWS KMS mencakup antarmuka pemrograman aplikasi (API) untuk membuat dan mengelola kunci KMS serta fitur khusus seperti penyimpanan kunci kustom, serta menggunakan kunci KMS dalam operasi kriptografi. Semua panggilan API AWS KMS harus ditandatangani dan dikirim menggunakan protokol Transport Layer Security (TLS). AWS merekomendasikan penggunaan SDK AWS (tersedia untuk .NET, C++, Go, Java, dan bahasa lainnya) untuk melakukan panggilan API secara terprogram ke AWS KMS.
Apa itu kunci dalam AWS KMS?
Kunci AWS KMS adalah representasi logis dari sebuah kunci kriptografi. Ini adalah sumber daya utama dalam AWS KMS. Untuk menggunakan atau mengelola kunci KMS, pengguna harus menggunakan AWS KMS. Berikut adalah tiga jenis kunci KMS yang dapat dibuat dalam AWS KMS:
- Kunci yang dikelola pelanggan. Dibuat oleh organisasi.
- Kunci yang dikelola AWS. Dibuat oleh layanan AWS yang menggunakan kunci KMS untuk mengenkripsi sumber daya layanan organisasi.
- Kunci yang dimiliki AWS. Kunci KMS yang dibuat oleh layanan AWS dalam akun layanan.
Sebuah kunci KMS berisi:
- Metadata (ID kunci, spesifikasi kunci, penggunaan kunci, tanggal pembuatan, deskripsi, dan status kunci); dan
- Referensi ke materi kunci yang digunakan saat operasi kriptografi dilakukan dengan kunci KMS.
Kunci KMS dapat dibuat dengan materi kunci kriptografi yang dihasilkan dalam HSM AWS KMS yang telah divalidasi FIPS. Kunci KMS dapat digunakan untuk berbagai operasi kriptografi, seperti:
- Enkripsi, dekripsi, dan enkripsi ulang data;
- Penandatanganan dan verifikasi pesan;
- Menjalankan kode autentikasi pesan berbasis hash (HMAC); dan
- Menjalankan operasi acak untuk aplikasi kriptografi.
Kunci enkripsi simetris, asimetris, dan HMAC dalam AWS KMS
Kunci enkripsi KMS simetris adalah jenis kunci KMS yang paling umum digunakan. Kunci ini tidak pernah meninggalkan AWS KMS dalam keadaan tidak terenkripsi dan dibuat secara default saat pengguna membuat kunci AWS KMS. Kunci ini digunakan untuk enkripsi dan dekripsi yang sama.
Kunci enkripsi KMS asimetris mewakili pasangan kunci publik dan kunci privat yang secara matematis terkait. Kunci privat tidak pernah meninggalkan AWS KMS dalam keadaan tidak terenkripsi.
AWS juga memungkinkan pengguna untuk mengimpor materi kunci mereka sendiri ke dalam kunci AWS KMS.
Validasi Kepatuhan untuk AWS KMS
Auditor pihak ketiga menilai keamanan dan kepatuhan AWS KMS. Hingga tahun 2022, AWS KMS telah divalidasi dan disertifikasi oleh standar kepatuhan berikut: