Layanan terkelola mana yang membuat dan mengelola secara terpusat kunci enkripsi yang digunakan untuk mengenkripsi data di Amazon S3, Amazon EBS, dan layanan lainnya, sekaligus menyediakan kemampuan kontrol akses dan audit?
Soal mengidentifikasi layanan terkelola untuk pengelolaan kunci enkripsi.
AWS CloudHSM
AWS CloudHSM adalah layanan pengelolaan kunci yang menggunakan HSM fisik khusus milik perusahaan, dirancang untuk persyaratan kepatuhan yang ketat.
Untuk tujuan soal ini — dengan mudah menjalankan pembuatan, pengelolaan, kontrol akses, dan audit kunci terkelola yang terintegrasi dengan Amazon S3 dan Amazon EBS — KMS lebih sesuai, sehingga pilihan ini salah.
AWS KMS (Key Management Service)
Benar. AWS KMS adalah layanan terkelola yang membuat dan mengelola secara terpusat kunci enkripsi. Layanan ini terintegrasi dengan banyak layanan seperti Amazon S3, Amazon EBS, dan Amazon RDS, mengontrol hak akses kunci dengan IAM, dan mengaudit riwayat penggunaan dengan AWS CloudTrail. Layanan ini memungkinkan enkripsi data yang mudah dan aman.
AWS Secrets Manager
AWS Secrets Manager adalah layanan untuk menyimpan dan merotasi rahasia seperti kredensial basis data dan kunci API.
Targetnya adalah informasi rahasia seperti kata sandi dan bukan merupakan infrastruktur untuk membuat dan mengelola kunci enkripsi itu sendiri yang digunakan untuk enkripsi data Amazon S3 dan Amazon EBS, sehingga pilihan ini salah.
AWS Certificate Manager
AWS Certificate Manager (ACM) adalah layanan untuk menerbitkan dan memperbarui sertifikat TLS/SSL.
Perannya adalah mengelola sertifikat untuk enkripsi komunikasi; KMS sesuai untuk mengelola kunci enkripsi data secara terpusat, sehingga pilihan ini salah.
«Membuat dan mengelola kunci enkripsi» mengarah pada AWS KMS. Layanan ini terintegrasi dengan banyak layanan, mengontrol akses dengan IAM, dan mengaudit dengan CloudTrail. Jika perangkat keras khusus diperlukan, gunakan CloudHSM.