ข้ามไปเนื้อหาหลัก
ความปลอดภัย· ~16 นาที

KMS และการเข้ารหัส (at rest / in transit)

กุญแจเข้ารหัสทำงานยังไง ต่างจาก HTTPS ตรงไหน

เปรียบเทียบให้เห็นภาพ

การเข้ารหัสเหมือนใส่จดหมายในกล่องล็อกกุญแจ — in transit คือล็อกระหว่างขนส่ง (กันคนแอบเปิดอ่านกลางทาง) ส่วน at rest คือล็อกตอนเก็บในคลัง (กันคนงัดคลัง). KMS คือผู้ดูแลกุญแจให้

KMS (Key Management Service) เป็นบริการจัดการกุญแจเข้ารหัส บริการ AWS ส่วนใหญ่ (S3, EBS, RDS) เชื่อมกับ KMS เพื่อเข้ารหัสข้อมูลแบบ at rest ได้ในไม่กี่คลิก

เข้ารหัส 2 จังหวะ: ตอนส่ง และ ตอนเก็บ

ผู้ใช้
in transit (TLS/HTTPS)
แอป / EC2
at rest (KMS)
S3 / EBS / RDSข้อมูลถูกเข้ารหัส
In transit — กันดักฟังระหว่างทาง ใช้ TLS/HTTPS (ออกใบรับรองด้วย ACM)
At rest — กันข้อมูลที่เก็บไว้รั่ว ใช้กุญแจจาก KMS
  • At rest — ข้อมูลที่เก็บอยู่ (ในดิสก์/ถัง) เข้ารหัสด้วยกุญแจจาก KMS
  • In transit — ข้อมูลระหว่างเดินทางบนเครือข่าย เข้ารหัสด้วย TLS/HTTPS (ใบรับรองจาก ACM)
  • KMS รองรับ automatic key rotation และบันทึกการใช้กุญแจผ่าน CloudTrail

สรุป Key Takeaways

  • KMS จัดการกุญแจสำหรับเข้ารหัส at rest (S3/EBS/RDS เชื่อมได้ในไม่กี่คลิก)
  • In transit ใช้ TLS/HTTPS โดยมี ACM ออกใบรับรอง
  • KMS รองรับ key rotation และ log การใช้งานผ่าน CloudTrail

ลองทำ Quiz ท้ายบท

คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที

อ่านจบแล้วอย่าลืมทำเครื่องหมาย