ความปลอดภัย· ~16 นาที
KMS และการเข้ารหัส (at rest / in transit)
กุญแจเข้ารหัสทำงานยังไง ต่างจาก HTTPS ตรงไหน
การเข้ารหัสเหมือนใส่จดหมายในกล่องล็อกกุญแจ — in transit คือล็อกระหว่างขนส่ง (กันคนแอบเปิดอ่านกลางทาง) ส่วน at rest คือล็อกตอนเก็บในคลัง (กันคนงัดคลัง). KMS คือผู้ดูแลกุญแจให้
KMS (Key Management Service) เป็นบริการจัดการกุญแจเข้ารหัส บริการ AWS ส่วนใหญ่ (S3, EBS, RDS) เชื่อมกับ KMS เพื่อเข้ารหัสข้อมูลแบบ at rest ได้ในไม่กี่คลิก
เข้ารหัส 2 จังหวะ: ตอนส่ง และ ตอนเก็บ
ผู้ใช้
in transit (TLS/HTTPS)
แอป / EC2
at rest (KMS)
S3 / EBS / RDSข้อมูลถูกเข้ารหัส
In transit — กันดักฟังระหว่างทาง ใช้ TLS/HTTPS (ออกใบรับรองด้วย ACM)
At rest — กันข้อมูลที่เก็บไว้รั่ว ใช้กุญแจจาก KMS
- At rest — ข้อมูลที่เก็บอยู่ (ในดิสก์/ถัง) เข้ารหัสด้วยกุญแจจาก KMS
- In transit — ข้อมูลระหว่างเดินทางบนเครือข่าย เข้ารหัสด้วย TLS/HTTPS (ใบรับรองจาก ACM)
- KMS รองรับ automatic key rotation และบันทึกการใช้กุญแจผ่าน CloudTrail
สรุป Key Takeaways
- KMS จัดการกุญแจสำหรับเข้ารหัส at rest (S3/EBS/RDS เชื่อมได้ในไม่กี่คลิก)
- In transit ใช้ TLS/HTTPS โดยมี ACM ออกใบรับรอง
- KMS รองรับ key rotation และ log การใช้งานผ่าน CloudTrail
ลองทำ Quiz ท้ายบท
คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที
อ่านจบแล้วอย่าลืมทำเครื่องหมาย

