概述
KMS 秘钥管理,文件加密和解密
- 简介
- 官方链接
简介
AWS Key Management Service (AWS KMS)是一种管理服务,让您能够轻松创建和控制 客户主密钥 (CMKs),用于加密数据的加密密钥。(详细的参考官方文档)
1.创建客户主密钥(CMK)
首先需要创建客户主密钥,AWS KMS 支持对称和不对称。
密钥 ARN:ARN是亚马逊资源名称(ARN)的 CMK. 它是 CMK。 密钥 ARN 包括 AWS 账户、区域和密钥 ID。帮助寻找关键的ARN CMK。
密钥ID:唯一标识 CMK 在客户和区域内。示例:1234abcd-12ab-34cd-56ef-1234567890ab
格式:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
示例:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
别名 ARN:别名 ARN 是 AWS KMS 别名的 Amazon 资源名称 (ARN)。它是别名的唯一、完全限定标识符。别名 ARN 包括 AWS 账户、区域和别名。alias/ 是它的前缀,ExampleAlias 就是所取的别名。
格式:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
示例:
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
创建秘钥:创建客户主密钥cmk有两种方法实现,分别是在控制台操作和AWS KMS API操作。控制台操作如下:
1.1 登录 https://console.aws.amazon.com/kms
1.2 更改 AWS 区域,请使用页面右上角的区域选择器。选择中国区域(CN_NORTH_1)
1.3 在导航窗格中,选择 客户托管秘钥或kms管理秘钥。这里选择Customer managed keys (客户托管密钥)。
1.4 选择 Create key
1.5 要创建对称 CMK,请为 Key type (密钥类型) 选择 Symmetric (对称)。
1.6 选择 Next。
1.7 键入 CMK 的别名。别名名称不能以 aws/ 开头。aws/ 前缀由 Amazon Web Services 预留,用于在您的账户中表示 AWS 托管 CMK。例如:master-key-test
1.8 (可选)为 CMK 键入描述。
1.9 选择 Next。
1.10 (可选) 键入标签键和一个可选标签值。要向 CMK 添加多个标签,请选择 Add tag
1.11 选择 Next。
1.12 定义秘钥管理权限,选择可管理 CMK 的 IAM 用户和角色。选中IAM用户,下一步。
1.13 (可选)要阻止选定 IAM 用户和角色删除此 CMK,请在页面底部的 Key deletion (密钥删除) 部分中,清除 Allow key administrators to delete this key (允许密钥管理员删除此密钥) 复选框。
1.14 选择 Next。
1.15 选择可将 CMK 用于加密操作的 IAM 用户和角色。
1.16 (可选)您可以允许其他 AWS 账户将此 CMK 用于加密操作。为此,请在页面底部的 Other AWS accounts (其他 AWS 账户) 部分中,选择 Add another AWS account (添加其他 AWS 账户) 并输入外部账户的 AWS 账户标识号。要添加多个外部账户,请重复此步骤。
1.17 选择 Next。
1.18 查看通过您的选择创建的密钥策略文档。您也可以对其进行编辑。秘钥策略对其方法全部开放。Action:[“kms:Create*”,”kms:Enable*”,…]
1.19 选择 Finish 以创建 CMK。
后面就可以通过客户主密钥来操作它的方法了。
官方链接
链接: AWS开发指南
最后
以上就是瘦瘦煎蛋为你收集整理的AWS KMS 秘钥管理小结的全部内容,希望文章能够帮你解决AWS KMS 秘钥管理小结所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复