Day 27: KMS key建立、轮换/ Secrets Manager secret轮换设定

KMS key建立
先决条件
你的帐号必须要有几个IAM的Policy，包含kms:CreateKey 、 kms:CreateAlias 让你在每个新的 KMS 金钥都需要一个alias、kms:TagResource 让你加上 tags 、iam:CreateServiceLinkedRole 可以让你建立多区域的 primary keys。

建立对称式金钥
1.找到KMS，并按下Create a key，这里的key指的是CMK

2.选Symmetric，按Next

3.输入Key的alias名称，这边记得你无法输入"aws/"，作为开头，这是AWS预设为AWS 托管的金钥名称。
Despription可以输入这把key的相关资讯，例如:什麽时候建立、公用维和、什麽时候需要替换等讯息。Tags可以选填，填完就按Next

4.这边要选择谁有权限来管理这把key。下面选择管理者是否可以删除这把key，选完就按Next

5.这边要选择谁有权限来使用这把key，如果是有跨帐号使用的需求在下面输入，选完按Next

6.最後会显示建立资讯，可以做最後确认，确认完毕按finish就完成了

建立非对称式金钥
步骤几乎跟对称式金钥一样，差别在步骤二的地方选Asymmetric，要为Public key加密，选择Encrypt and decrypt。 要创建用於签署消息和验证签名选择Sign and verify，下面会列出加密方法，你可以选择适合你的

如何启用KMS金钥轮换
1.找到你想要进行KMS金钥轮换的那把key，点进去

2.在Key rotation的地方勾选Automatically rotate this KMS key every year，接着按save就完成了

Secrets Manager secret建立
1.找到Secrets Manager，按Store a new secret

2.这里可以选择DB的类型并输入名称以及密码。如果选Other type of secret，可自行输入key/value

3.接下来选要用哪把key来进行加密，下面选择要轮换secret的资料库，选完按Next

4.输入secret的名称。下面叙述、tag、资源许可以及要不要复制secret到其他region都是选填，填完按Next

5.接下来这边可以选要不要启用secret的轮换，多久轮换一次，最长可设定365。

6.密码的轮换是由Lambda来执行的这边可以选择新建或是使用已经建好的。下面要选择谁执行轮换的secret，如果你是super user就选一个，如果是功能性使用选下面的选项，功能执行时他会有暂时的super user权限

7.最後会列出所有资讯没问题就按save就完成了

如果没有在一开始启用secret rotate该如何设定?
1.点进你想启用secret rotate的secret manager

2.找到Rotation configuration，按Edit rotation

3.接下来的步骤跟上面的5跟6一样，设定完成之後按save就完成罗

小结
透过KMS来建立key rotate以及透过secret manager来执行secret的轮换是非常重要的一件事，当key以及secret过期对於资料的加密性质几乎等於失效。透过定期的轮换也可以减少被字典喷洒式攻击的可能性。下一篇我们将进到五大面向的最後一个面向:事件回应。