Encryption & KMS

KMS key types

• AWS owned key: AWS quản, invisible, miễn phí.
• AWS managed key (`aws/service`): per-service, quản bởi AWS, free nhưng không sửa policy được.
• Customer managed key (CMK): bạn quản, trả phí key/month, rotate bật được.
• Symmetric (AES-256) vs Asymmetric (RSA / ECC) vs HMAC.
• Multi-Region Keys: replicate CMK ra nhiều region để dùng xuyên region (cùng key material).

Envelope encryption

Data được mã hóa bằng Data Key. Data Key lại được KMS mã hóa bằng CMK. Service chỉ lưu ciphertext của Data Key kèm data. Khi cần decrypt, gọi KMS Decrypt để lấy plaintext Data Key rồi decrypt data.

Lợi ích: giảm payload tới KMS, hỗ trợ encrypt khối lượng lớn (S3, EBS), cho phép cache Data Key.

Quản lý quyền

• Key Policy là chủ đạo (mặc định allow root account, từ đó dùng IAM policy giao quyền cụ thể).
• Grants cho temporary delegation, dùng khi service cần quyền động.
• `kms:ViaService` condition để giới hạn key chỉ dùng qua service cụ thể (ví dụ chỉ S3).

Secrets & certificate

• Secrets Manager: lưu secret + rotate tự động (Lambda), tích hợp RDS/Redshift/DocumentDB.
• SSM Parameter Store: giá rẻ/miễn phí cho param, có SecureString (dùng KMS), không có rotate built-in.
• ACM: cấp SSL/TLS cert miễn phí cho CloudFront/ELB/API GW (public cert); Private CA cho internal.
• CloudHSM khi cần dedicated hardware FIPS 140-2 Level 3, SSL/TLS offload, Oracle TDE, hoặc CA private key. Phải provision trong VPC.