O que é o AWS KMS?
O AWS Key Management Service (KMS) é um serviço gerenciado que facilita a criação e controle de chaves de criptografia usadas para proteger seus dados. Integra-se com a maioria dos serviços AWS para criptografar dados.
Conceitos-Chave
Customer Master Keys (CMKs)
- AWS Managed CMKs: Criadas e gerenciadas pela AWS
- Customer Managed CMKs: Você cria e gerencia
- AWS Owned CMKs: Usadas pela AWS internamente
Envelope Encryption
Técnica onde dados são criptografados com uma data key, e a data key é criptografada com uma master key.
Key Rotation
Rotação automática de chaves a cada ano (Customer Managed CMKs).
Integração com Serviços AWS
- S3 - Criptografia de objetos
- EBS - Criptografia de volumes
- RDS - Criptografia de bancos de dados
- Lambda - Variáveis de ambiente criptografadas
- Secrets Manager - Armazenamento seguro de credenciais
Casos de Uso
- Criptografia de dados em repouso
- Criptografia de dados em trânsito
- Assinatura digital
- Conformidade regulatória (HIPAA, PCI-DSS)
💡 Pontos Importantes para a Certificação
- KMS é regional - chaves não saem da região
- Você nunca tem acesso direto às chaves (AWS gerencia)
- Integrado com CloudTrail para auditoria
- Suporta rotação automática de chaves
- Envelope encryption para grandes volumes de dados
- Customer Managed CMKs dão mais controle
🎯 Dicas de Estudo
- KMS = Gerenciamento de chaves de criptografia
- Integra-se com praticamente todos os serviços AWS
- Você controla quem pode usar as chaves (IAM policies)
- Chaves nunca saem do KMS descriptografadas
- CloudTrail registra todas as operações com chaves