um serviço totalmente gerenciado que facilita a criação e o controle de chaves de criptografia de forma centralizada. • Utiliza Hardware Security Modules (HSMs) para proteger a segurança das chaves. • É integrado com outros serviços AWS. • Permite auditoria do uso das chaves.
criptografia não é aconselhável • O ideal é rotacionar as chaves regularmente • A frequência pode variar conforme regulamentações ou políticas de cada empresa • O método depende do tipo da chave • Gerenciada pela AWS • Gerenciada pelo cliente (CMK) • Gerenciada pelo cliente com material importado
vez por ano (desativado por padrão) • A AWS gera um novo “material key” para a CMK uma vez por ano • A CMK antiga é armazenada e usada apenas para descriptografar dados previamente criptografados • Rotacionamento sob-demanda • Criar uma nova CMK e alterar a aplicação para usar a nova chave • Controle da frequência da rotação