写点什么

AWS KMS 之 EBS 和 S3 加密最佳实践

  • 2019-11-25
  • 本文字数:2412 字

    阅读完需:约 8 分钟

AWS KMS 之 EBS 和 S3 加密最佳实践

本篇主要从 AWS 安全视角中的数据保护层面对 S3 和 EBS 进行加密管理,并结合 CloudTrail 和 CloudWatch 相结合做到数据加密中的可追溯性,并阐述 EBS 加密与解密的过程。另外通过本篇你将掌握利用 AWS Key Management Service (KMS) 去创建和管理密钥,并管理 AWS 服务和应用程序中加密的使用方式,这里主要围绕生产场景常用的 AWS 服务 EBS 和 S3 的最佳实践方法供其参考。


首先我们在此先启用 CloudTrail,让其提供给密钥加密管理有对应的记录,方便密钥的监管的合规性要求。

启用与配置 CloudTrail 日志功能

登陆 AWS 管理控制台,点击服务并选中 CloudTrail



指定跟踪名称,选择跟踪到所有的区域;并输入对应跟踪器名称:kms-trail,指定对应 S3 存储桶,如下图



配置 CloudWatch 与 IAM 策略

CloudTrail 与 S3 存储配置好后;在 CloudTrail 界面,配置其 CloudWatch 日志,以及 IAM 策略。




创建 KMS Master key

在控制台的服务选项中,选择 KMS 服务,创建一个 Master key,


定义管理权限

指定哪个账户具有管理密钥的权限




定义密钥使用权限

指定哪个账户具有使用密钥的权限



如果这里想通过脚本的方式进行,也可参考下面的 json 文件配置:


Json


{    "Id": "key-consolepolicy-3",    "Version": "2012-10-17",    "Statement": [        {            "Sid": "Enable IAM User Permissions",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam::AccountID:root"            },            "Action": "kms:*",            "Resource": "*"        },        {            "Sid": "Allow access for Key Administrators",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam:: AccountID:user/awsent"            },            "Action": [                "kms:Create*",                "kms:Describe*",                "kms:Enable*",                "kms:List*",                "kms:Put*",                "kms:Update*",                "kms:Revoke*",                "kms:Disable*",                "kms:Get*",                "kms:Delete*",                "kms:TagResource",                "kms:UntagResource",                "kms:ScheduleKeyDeletion",                "kms:CancelKeyDeletion"            ],            "Resource": "*"        },        {            "Sid": "Allow use of the key",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam:: AccountID:user/awsent"            },            "Action": [                "kms:Encrypt",                "kms:Decrypt",                "kms:ReEncrypt*",                "kms:GenerateDataKey*",                "kms:DescribeKey"            ],            "Resource": "*"        },        {            "Sid": "Allow attachment of persistent resources",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam:: AccountID:user/awsent"            },            "Action": [                "kms:CreateGrant",                "kms:ListGrants",                "kms:RevokeGrant"            ],            "Resource": "*",            "Condition": {                "Bool": {                    "kms:GrantIsForAWSResource": "true"                }            }        }    ]}
复制代码


启用密钥轮换功能

在创建 Master Key 后,需要开启密钥轮换功能,从 AWS 安全角度以及最佳实践角度,需要将其开启。





AWS EBS 与 KMS 集成示例

Amazon EBS 可通过 AWS KMS 提供卷加密功能。每个卷均使用 AES-256-XTS 进行加密。这需要两个 256 位密钥,您可以将它们视为一个 512 位密钥。数据密钥在您账户中的客户主密钥下加密。要使 Amazon EBS 为您加密卷,它必须能够访问 账户中的 CMK。您可以通过向 Amazon EBS 提供对 CMK 的授权来创建数据密钥 以及加密和解密这些数据密钥。



以下是加密/解密 EBS 卷数据的基本步骤:


  1. Amazon EBS 通过 AWS KMS 在 CMK 下获取加密数据密钥,并将加密密钥与卷 元数据一起存储。

  2. 托管 EC2 实例的服务器从存储中检索加密数据密钥。

  3. 通过 SSL 调用 AWS KMS 以解密加密的数据密钥。AWS KMS 识别 CMK,向队 列中的 HSA 发出内部请求以解密数据密钥,并通过 SSL 会话将密钥返回给客 户。

  4. 已解密数据密钥存储在内存中,用于加密和解密传入和传出附加的 EBS 卷的 所有数据。Amazon EBS 保留加密数据密钥以供以后使用,以防内存中的数据 密钥不再可用。

加密 EBS 卷资源

创建 Volumes



EBS 加密成功从 volume 页面可以看到对应的加密字段,如下所示


加密 EC2 启动卷

刚才我通过 KMS 主密钥将其 EBS 卷进行了加密,接下来我们来看下如何通过 KMS 将其 EC2 启动卷进行加密。在对 EC2 启动卷加密前需要将其停机。








可以看到 EC2 的启动卷也成功加密了。

S3 数据加密

创建存储桶,并上传测试文件,并通过 KMS 主密钥进行加密:



验证加密


访问对象 URL

禁用 KMS 主密钥




CloudWatch 监控验证

总结

通过本篇你将掌握 KMS 对密钥的管理方式,也可以获取如何通过 KMS 去 EC2 启动卷、EBS 卷、S3 存储的加密管理的实践方法,同时也明白在对数据加密的过程中将 CloudTrail 和 CloudWatch 相结合做到在整个实现的过程中起到审计与监控的作用。


作者介绍:


!



### [](https://amazonaws-china.com/cn/blogs/china/tag/%E7%BD%97%E4%BF%8A/)
亚马逊 AWS 专业服务团队云架构咨询顾问。负责企业客户的云架构设计、迁移、安全和优化,云上自动化运维,容器等相关咨询服务。对云原生技术、区块链等有深入的研究和热情。
复制代码


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/ebs-s3-encryption-best-practices-for-aws-kms/


2019-11-25 08:00878

评论

发布
暂无评论
发现更多内容

数据湖(二十):Flink兼容Iceberg目前不足和Iceberg与Hudi对比

Lansonli

数据湖 11月月更

计算机网络:随机访问介质访问控制之ALOHA协议

timerring

计算机网络 11月月更 ALOHA

应对大规模的资产扫描一些小Tips

穿过生命散发芬芳

11月月更 资产扫描

发力新市民圈层,银行系消费金融这半年都有哪些行动?

易观分析

金融 银行

从异步讲起,『函数』和『时间』该作何关系?

掘金安东尼

前端 11月月更

docker-compose下的java应用启动顺序两部曲之二:实战

程序员欣宸

Docker Docker-compose 11月月更

随机森林-机器学习中调参的基本思想

烧灯续昼2002

Python 机器学习 算法 随机森林 11月月更

深入理解Metrics(一):Gauges

冰心的小屋

Java metrics Guages

3分钟快速掌握Go语言正/反向代理的姿势

有态度的马甲

从输入URL到渲染的过程中到底发生了什么?

loveX001

JavaScript

从输入URL到渲染的完整过程

loveX001

JavaScript

设计千万级学生管理系统的考试试卷存储方案

稳赚导师免费赚钱微信号

DevOps|乱谈开源社区、开源项目与企业内部开源

laofo

DevOps 研发效能 工程效率

联通DataOps和MLOps:将机器学习推理作为新的数据源

Baihai IDP

人工智能 大数据 AI DataOps MLOps

Cox 比例风险回归模型

heart_6662

11月月更 cox 生存分析 生物信息学

【炫丽】从0开始做一个WPF+Blazor对话小程序

沙漠尽头的狼

前端面试中小型公司都考些什么

loveX001

JavaScript

有赞算SaaS平台吗?

产品海豚湾

产品经理 SaaS 产品运营 B端产品 11月月更

Verilog语法之测试文件

芯动大师

Verilog 11月月更 测试文件

第四次工业革命的“知识力”,流淌在百度这条创新流水线上

脑极体

如何做好线上服务质量保障?

老张

软件测试 质量保障

袋鼠云陈吉平:深耕国产自研数字化技术与服务,持续为客户创造价值

袋鼠云数栈

CSS学习笔记(一)

lxmoe

CSS 前端 学习笔记 11月月更

算法题学习---链表中的节点每k个一组

桑榆

算法题 11月月更

前端食堂技术周刊第 58 期:TypeScript 4.9 RC、10 月登陆浏览器的新功能、Turbopack 真的比 Vite 快 10 倍吗?100 天 Modern CSS 挑战

童欧巴

typescript chrome

Vue自定义指令(一)初识

Augus

vuejs 11月月更

前端打工人的面试总结

loveX001

JavaScript

数据库的体系结构

阿泽🧸

数据库 11月月更

2022-11-07:给你一个 n 个节点的 有向图 ,节点编号为 0 到 n - 1 ,其中每个节点 至多 有一条出边。 图用一个大小为 n 下标从 0 开始的数组 edges 表示, 节点 i 到

福大大架构师每日一题

算法 rust 福大大

CSS学习

Studying_swz

CSS 前端 11月月更

【愚公系列】2022年11月 微信小程序-app.json配置属性之entryPagePath

愚公搬代码

11月月更

AWS KMS 之 EBS 和 S3 加密最佳实践_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章