KMS advanced — key policy, grants, via-service, multi-region

Hierarchy quyền

• Key policy là ROOT. Nếu key policy không allow principal, IAM policy không giúp được.
• Thông lệ: key policy allow root account → từ đó IAM policy giao cụ thể cho user/role.
• Grant: temporary, granular (chỉ encrypt hoặc chỉ decrypt), gán cho principal cụ thể. Service AWS dùng grant để có quyền KMS động (vd EBS tạo volume mã hóa).

Condition keys quan trọng

• `kms:ViaService`: giới hạn key chỉ dùng qua service cụ thể (vd chỉ `s3.us-east-1.amazonaws.com`). Tránh caller dùng KMS qua path khác.
• `kms:CallerAccount`: giới hạn caller phải thuộc account nào.
• `kms:EncryptionContext:<key>`: bắt buộc caller cung cấp context khi encrypt/decrypt → chống key bị dùng nhầm.
• `kms:GrantIsForAWSResource`: giới hạn grant chỉ được tạo cho service AWS.

Multi-Region Keys

Primary key tạo ở region A, replica key ở region B/C... CHUNG key material (cùng ciphertext → decrypt được ở mọi region). Khác với 2 key riêng copy snapshot (phải cross-region re-encrypt).

Use case: DynamoDB Global Table, S3 CRR với encryption, Aurora Global Database.

Rotation & import

• AWS managed key: rotate tự động mỗi 1 năm.
• Customer managed key: bật rotation tùy chọn, mỗi 1 năm (hoặc custom period 90–2555 ngày).
• Imported key material: phải tự rotate bằng cách import bản mới (có thể set expiration).
• Asymmetric key: KHÔNG rotate được.