
# AWS Key Management Service (KMS) 🔑

O KMS (Key Management Service) permite a criptografia e codificação de recursos de forma centralizada em uma ferramenta.

Com ele, podemos ter controle sobre **chaves criptografadas** para proteger nossos recursos.

Ele faz uso de **HSMs (hardware security modules)** para **proteger** a **confidencialidade** e **integridade** das **keys**.


## Tipos de Chaves 🔑

Suas keys podem ser **simétricas ou assimétricas**.


## Operações com Chaves de Criptografia no KMS ⚙️

Podemos realizar as seguintes operações sobre uma chave de criptografia do KMS:

+ **Criar**
+ **Importar**
+ **Rotacionar**
+ **Desabilitar**
+ **Deletar** (irreversível, isto é, não conseguimos decodificar os objects codificados usando esta key)
+ **Auditar o uso de chaves criptografadas**


## Integração e Auditoria 🤝

O KMS integra com diversas ferramentas e serviços AWS, mas é **nativamente integrado com o AWS CloudTrail**.

**O AWS CloudTrail possibilita ao KMS a capacidade de auditar quem usou uma chave, em quais recursos e quando isso foi feito.**

Ele possui integração com **S3, EBS, RDS, EFS, entre outros**.


## Criptografia em Data Lakes na AWS 🔒

Data lakes na AWS têm dois tipos de criptografia:

### Do Lado do Servidor (Server-Side Encryption) ☁️

* Aqui temos criptografia em dados em repouso (**data-at-rest**) escritos no S3.
* Data-at-rest consistem em dados armazenados no S3, mas sem estarem sendo transmitidos ou sendo usados ativamente. **"São dados que só estão ali no S3."**
* A criptografia é feita a **nível de objects**.
* Desse modo, para acessar um determinado objeto o seguinte procedimento é adotado:

    **Upload de um object no S3 ➡️ Criptografia de escrita desse object ➡️ Armazenamento**

    **Request de leitura de um object no S3 ➡️ Codificação do object ➡️ Leitura**

### Do Lado do Cliente (Client-Side Encryption) 🖥️

* Este modo de criptografia consiste em **criptografar** os dados **antes** da **escrita** dos mesmos no **S3**.

**O KMS atua coordenando ambos os tipos de criptografia.**


## Segurança Reforçada para Data Lakes 🛡️

A segurança do data lake pode ainda ser reforçada fazendo uso de serviços como IAM, Amazon API Gateway e Amazon Cognito.


## Custo do KMS 💰

Seu **custo** é baseado na **quantidade e gerenciamento de AWS KMS keys** e na **quantidade** de **requisições** via API destas.

A AWS oferece o AWS KMS Free Tier que inclui um número de requests que podem ser feitos mensalmente sem custos.


## Arquitetura de Segurança em Camadas 🧱

A segurança de uma arquitetura é construída de diversas camadas, sendo cada uma com uma granularidade. Deste modo, podemos proteger nossos dados ainda melhor.

A imagem abaixo ilustra uma arquitetura cuja segurança é feita em multicamadas:

![image.png](attachment:image.png)

![image-2.png](attachment:image-2.png)


## Componentes do AWS KMS 🧩

### Customer Managed Keys (CMK) 👤
* Gerenciada pelo cliente da AWS.
* É a **camada mais externa** de criptografia de uma **key**.
* Pode ser **usada diretamente** ou pode ser usada para **criptografar outras keys**.

### Keys 🗝️
* São organizadas de **modo hierárquico**.
* Possuem **alias, key identifiers e key versions**.
* A hierarquia é a responsável por permitir e gerenciar o controle das keys.

### AWS Owned Keys (AOK) ☁️
* É gerenciada pelo serviço da AWS.
* **Service operators** têm a capacidade de gerenciar seu **lifecycle e permissões**.
* **Oferece como vantagem a facilidade de compartilhar dados entre regiões e contas sem precisar se preocupar com Key Permissions**.
* Não somos cobrados pela sua existência ou uso.
* **Não podemos alterar sua policy, auditar suas atividades ou deletá-las**.

### Key Administrators 👷
* Pessoas que podem gerenciar a Key.

### Key Policy 📜
* É uma **política baseada em recursos** que controla o **acesso** a uma dada Key **e quem pode gerenciá-la**.

### Key Rotation 🔄
* Se trata do processo de substituir uma Key existente por outra.
* Feito de **modo automático anualmente** pela AWS.

### Envelope Encryption ✉️
* **Uma prática onde o dado é criptografado usando uma data key e depois esta key é criptografada usando AWS Key**.
* Provê uma camada a mais de segurança.

### Grant ✅
* Um instrumento da policy que **permite administradores** da AWS **usarem** as **KMS Keys em operações criptografadas**.

### Alias 📛
* Um apelido dado à Key, tornando mais eficiente identificar e usar nas aplicações.

### Key Material 🧬
* Um material criptográfico usado na criptografia e decodificação de dados.
* **Podem ser gerados pelo KMS ou ainda importados pelo user**.

### HSM (Hardware Security Modules) 🔐
* Um **aparelho físico** que **resguarda e gerencia Keys** para maior segurança de autenticação e **provê processamento criptográfico**.