KMS nos permite encriptar la información de nuestros recursos y controlar las llaves para acceder a la información. Podemos utilizar las llaves de AWS o crear una llave.

Teneremos distintos tipos de encriptaciones: SSE-{resource} que el propio recurso genere las llaves, SEE-KMS que crea la llave con KMS, nos permite rotar las llaves y mejorar la seguridad, y DSSE-KMS que tiene dual layer server side encryption lo que permite una doble encriptación.

• SSE-{resource}: el propio recurso genere las llaves.
• SEE-KMS: crea la llave con KMS, nos permite rotar las llaves y mejorar la seguridad.
• DSSE-KMS: dual layer server side encryption, permite una doble encriptación.

KMS tiene dos tipos de encriptaciones: llaves simétricas y llaves asimétricas.

• Algoritmo de encriptación simétrico: el usuario encripta el dato y se lo manda a otro usuario, el usuario recibe el dato encriptado pero tiene la llave para desencriptar.
• Algoritmo de encriptación asimétrico: hay dos llaves, una privada y una pública, el emisor encripta un mensaje con la pública y lo envía, y luego el receptor desencripta utilizando su llave privada.

• Intransit https: el objeto se almacena encriptado cuando se envía al servidor y se recibe encriptado.
• Atrest: el objeto se almacena encriptado cuando se almacena en algún lugar.