実はよくわかってなかったので調べる

blackbelt

https://pages.awscloud.com/rs/112-TZM-766/images/20181121_AWS-BlackBelt-KMS.pdf

つまり？

AWS KMSは、データを保護するための暗号化キーの一元
管理を可能にする低コストなマネージドサービスです

わかるが保護されているイメージがわかないで触ってみる
こちらを参考にさせていただく
https://techblog.nhn-techorus.com/archives/19100

すごいわかりやすかったです、感謝

わかったこと

• カスタマー管理のキーで暗号化した場合、そのキーで復号出来るIAM権限が必要
• キーポリシーでIAMとは別にアクセス制御が可能
  • 複数のアクセス制御によりセキュリティ性の向上
• 復号の様子はCloudTrailで確認できる
  • イベント名：Decrypt
  • イベントソース：kms.amazonaws.com
• 一時的に他のサービスに利用させるためのGrantという仕組みがある
  • イベント名：CreateGrant
  • イベントソース：kms.amazonaws.com
  • ユーザ：IAMロール(LambdaのIAMロールのAssumeRole)

キーの削除

• 無効化
• 影響が無いことを確認
• 削除のスケジュール(7日~30日で選択)

という流れになりそうです。
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html

コスト

• カスタマー管理キー：1$/月
  • キーのローテーションをした場合、新規キーも課金対象
• AWS管理キー：無料
• 10000APIリクエスト：0.03USD/月
  • 無料利用枠で20000リクエストまで無料

満足したのでクローズ