AWS Key Management Service (AWS KMS) 是一個密鑰管理服務(wù)，可以用來創(chuàng)建和管理您的主密鑰，AWS KMS使用對稱加密算法，即使用相同的算法和密鑰來加密和解密數(shù)字?jǐn)?shù)據(jù)。AWS KMS已經(jīng)和大多數(shù)的AWS服務(wù)集成，這就意味著您可以使用自己的密鑰來加密這些服務(wù)中的數(shù)據(jù)，同時，您可以使用AWS CloudTrail服務(wù)來滿足您的審核、監(jiān)督和合規(guī)性要求，您可以隨時通過AWS CloudTrail來監(jiān)控和查詢您的密鑰使用記錄。

信封加密

AWS KMS使用信封加密的方式實現(xiàn)數(shù)據(jù)的保護(hù)。簡單來說，信封加密就是用數(shù)據(jù)密鑰對明文數(shù)據(jù)進(jìn)行加密，然后再使用其他數(shù)據(jù)密鑰對這個數(shù)據(jù)密鑰進(jìn)行加密，但是您的最后一個數(shù)據(jù)密必須以明文的形式存在，以便您對其他的數(shù)據(jù)密鑰進(jìn)行加密和解密操作。這個最頂層的明文密鑰稱為主密鑰，AWS KMS可以幫我們安全地存儲和管理這個主密鑰，在AWS KMS服務(wù)中，這個主密鑰稱為"客戶主密鑰（CMK）"。

CMK類型

客戶主密鑰（CMK）是AWS KMS 中的主要資源，AWS KMS使用CMK來生成、加密和解密數(shù)據(jù)密鑰。AWS 中的CMK有以下3種類型：

? 客戶托管CMK

客戶托管CMK是指您自己創(chuàng)建的主密鑰，您對這類CMK有完全的權(quán)限，如啟用、禁用、刪除、輪換等。在您AWS 賬戶的每個區(qū)域（Region）中，您最多可以創(chuàng)建1000個客戶托管CMK，但是您可以通過向AWS申請?zhí)岣哌@個限制，以便創(chuàng)建更多的CMK。

? AWS 托管 CMK

AWS托管CMK是由與AWS KMS集成的服務(wù)創(chuàng)建，這類CMK的別名格式為 aws/service-name，如 aws/ebs，所以您無法使用 aws/格式來創(chuàng)建客戶托管CMK。您可以查看AWS賬戶中的AWS托管CMK，如果您使用了AWS托管CMK,也可以在AWS CloudTrail中對使用情況進(jìn)行審核。您無法管理AWS托管CMK，如進(jìn)行刪除、密鑰輪換等操作。AWS 托管 CMK 不計入有關(guān)賬戶中 CMK 數(shù)的限制。

? AWS擁有的CMK

AWS擁有的CMK是AWS擁有和管理的在多個AWS賬戶中使用的CMK集合的一部分，您無法查看、管理以及使用AWS擁有的CMK，所以您也無法在AWS CloudTrail中審核使用情況。

KMS身份驗證及訪問控制

AWS KMS使用IAM角色或IAM用戶來對請求進(jìn)行驗證，我們建議您通過角色來進(jìn)行相關(guān)的授權(quán)，而不是直接通過IAM用戶的ak,sk。您可以通過AWS KMS密鑰策略或IAM策略來進(jìn)行訪問控制，密鑰策略使用JSON來定義權(quán)限，需要注意的是，策略文檔不能超過32KB。

您必須使用AWS密鑰策略來控制對CMK的訪問，因為IAM策略本身無法允許對CMK進(jìn)行訪問，所以我們建議您將AWS密鑰策略和IAM策略結(jié)合使用，以便對CMK進(jìn)行詳細(xì)的權(quán)限控制。

密鑰輪換

不管是加密還是密碼，最佳實踐是密鑰不要大量的重復(fù)使用，同時，應(yīng)該對密鑰進(jìn)行定期的更新（輪換）。AWS KMS支持對客戶托管CMK進(jìn)行自動輪換密鑰和手動輪換密鑰，默認(rèn)情況下，AWS KMS 禁用CMK的自動輪換功能，啟用后，AWS KMS會在啟用日期365天之后自動輪換密鑰，您無法自定義自動輪換的天數(shù)，自動輪換的過程對客戶完全是透明的，客戶無需更改任何配置，AWS KMS會自動完成所有的操作，同時，您可以通過訂閱AWS CloudWatch Events中的事件，以便在發(fā)生自動輪換時可以直接通知到您。如果1年1次的頻率無法滿足當(dāng)前需求，您也可以手動輪換密鑰，但手動輪換的方式意味著您必須要更新您的應(yīng)用程序使用新的主密鑰。

對于AWS 托管 CMK，您無法管理其自動輪換，AWS KMS 會每3年進(jìn)行一次密鑰輪換，當(dāng)然，這也意味著您無法通過手動輪換的方式來管理AWS托管CMK。對于您自己導(dǎo)入的CMK，您只能使用手動方式來進(jìn)行密鑰的輪換。

接下來，讓我們一起通過演練，來看一下如果使用AWS KMS創(chuàng)建您的第一個客戶托管CMK。

演練：創(chuàng)客戶托管CMK

? 打開KMS服務(wù)控制臺，并選擇"客戶管理的密鑰"

? 選擇"創(chuàng)建密鑰"

? 填寫別名和描述等信息，然后選擇"下一步"

? 根據(jù)需要添加Tag，我們建議您添加類似的Tag，以方便對其進(jìn)行管理

? 定義密鑰的管理員，同時也可以定義管理員是否可以刪除此密鑰

? 定義權(quán)限，也就是誰可以調(diào)用此CMK進(jìn)行加密和解密操作，您也可以指定其他AWS賬戶，指定的那個用戶就會有權(quán)限允許其賬號下的IAM用戶和角色去使用該CMK

? 確認(rèn)當(dāng)前的策略，確認(rèn)沒有問題后點擊"完成"，即可創(chuàng)建一個CMK

? 如果想啟用密鑰輪換，可以在CMK詳情中的"密鑰輪換"中設(shè)置

通過KMS加密S3中的文件

在AWS S3中使用AWS KMS來加密數(shù)據(jù)時，AWS S3會自動完成數(shù)據(jù)密鑰的申請、數(shù)據(jù)的加密等操作，整個過程對用戶來說是透明的，用戶無需進(jìn)行任何的額外操作。詳細(xì)的加密流程如下：

? 用戶上傳文件到配置KMS加密的S3存儲桶

? S3會向AWS KMS服務(wù)發(fā)起請求，請求明文數(shù)據(jù)密鑰以及使用指定的客戶托管 CMK 或 AWS 托管 CMK 加密的密鑰的副本

? AWS KMS服務(wù)收到請求后，會使用S3請求中指定的CMK來創(chuàng)建一個數(shù)據(jù)密鑰，并使用CMK來加密這個數(shù)據(jù)密鑰

? AWS KMS會將明文數(shù)據(jù)密鑰和加密后的數(shù)據(jù)密鑰一同發(fā)送給AWS S3

? AWS S3收到密鑰后，會使用明文數(shù)據(jù)密鑰來加密指定的文件，

? 加密完成后，會盡快從內(nèi)存中刪除明文密鑰，只保存加密后的文件和加密的數(shù)據(jù)密鑰

? AWS S3會將加密后的數(shù)據(jù)保存到S3，同時將將加密的數(shù)據(jù)密鑰作為元數(shù)據(jù)存儲

了解AWS S3使用AWS KMS加密數(shù)據(jù)的原理以后，讓我們通過下面的演練來實際體驗一下整個加密過程。

演練：使用KMS加密S3中的文件

在了解AWS KMS及AWS S3之間的加密流程后，接下來讓我們一起來看下整個加密過程的實際操作步驟。

? 準(zhǔn)備工作：您必須有一個已經(jīng)創(chuàng)建好的CMK以及一個AWS S3存儲桶

注意：AWS KMS和AWS S3存儲桶必須位于同一AWS Region，否則所有加密的請求會出現(xiàn)400錯誤

? 如果您想對上傳到指定存儲桶的文件都進(jìn)行加密，則可以直接在AWS S3屬性中的"默認(rèn)加密"中指定您的CMK。

CMK ARN可以在AWS KMS控制臺中的CMK詳細(xì)信息里獲取到

? 加密配置完成后，可以在AWS S3存儲桶的"默認(rèn)加密"中看到所使用的加密方式

? 上傳本地文件到AWS S3存儲桶

? 查看S3文件屬性，可以看到已經(jīng)使用我們指定的CMK進(jìn)行了加密

通過KMS解密S3中的加密文件

和加密一樣，解密過程對用戶來說也是透明的，S3會自動完成數(shù)據(jù)密鑰和數(shù)據(jù)的解密工作,用戶在S3中進(jìn)行下載等文件操作時，S3會自動對加密的文件進(jìn)行解密，所以用戶下載的文件是解密后的文件。但需要注意的是：如果您用某個CMK加密了S3中的文件，您必須要保管好該CMK，請不要輕易進(jìn)行禁用和刪除操作，否則使用該CMK加密的所有S3文件將無法下載。

詳細(xì)的解密流程如下：

? 用戶發(fā)起加密文件的解密請求

? AWS S3會將用戶的請求發(fā)送到AWS KMS服務(wù)，該請求中包含了加密的數(shù)據(jù)密鑰以及加密所使用的的CMK等信息

? AWS KMS使用對應(yīng)的CMK來對加密的數(shù)據(jù)密鑰進(jìn)行解密

? AWS KMS會將解密后的明文數(shù)據(jù)密鑰發(fā)送到S3

? S3收到后，會使用明文密鑰來對加密數(shù)據(jù)進(jìn)行解密

? 用戶得到解密后的數(shù)據(jù)文件

? 解密完成后，S3會盡快從內(nèi)存中刪除明文數(shù)據(jù)密鑰

AWS KMS服務(wù)在中國區(qū)的情況

AWS KMS服務(wù)目前在北京區(qū)域和寧夏區(qū)域均可使用，目前已經(jīng)和Amazon EBS，Amazon S3，Amazon Relational Database Service（RDS）和Amazon Aurora無縫集成，隨著AWS中國區(qū)服務(wù)的增加，后續(xù)會支持更多的AWS服務(wù)。

總結(jié)

以上是生活随笔為你收集整理的ebs查看服务状态_浅析AWS KMS密钥管理服务的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。