写点什么

如何配置 EBS 整合 KMS 的静态加密

  • 2019-09-26
  • 本文字数:1356 字

    阅读完需:约 4 分钟

如何配置EBS整合KMS的静态加密

几个月前,AWS Key Management Service(AWS KMS)服务终于在 AWS 中国上线。不同于全球区的 KMS 服务,在中国区的是一项使用中国政府批准的硬件安全模块保护密钥安全的托管服务,并且使用了合规的加密算法。加密密钥可以用于加密用户的应用程序,也可用于加密和保护其他 AWS 服务。Amazon Elastic Block Store (EBS) 对于用户的 Amazon EBS 卷提供了加密的解决方案,正是使用了 KMS 的加密服务。在对 EBS 卷启用加密后,用户不用为了安全考虑再去搭建和维护一套安全系统来实现块存储的加密。此项 EBS 卷加密服务也随着 AWS KMS 的服务在中国区上线一同发布。


当创建一个加密的 Amazon EBS 卷时,用户可以使用 KMS 中的 AWS 托管的密钥(AWS managed keys)或者客户管理的密钥(Customer managed keys)。如果用户使用的是客户管理的密钥,还能使用到其他更多的密钥功能,例如每年自动轮询密钥服务。更多的关于创建客户管理的密钥请参考创建密钥。EBS 卷解密主要发生在 EC2 运行的虚拟化主机上,数据根据需要进行解密,然后存储在其内存中,这有助于用户保护 EBS 卷上保存的所有数据,同时帮助用户更加容易的获取一些安全合规认证。


在本篇文章中,我们将分别从 AWS 管理控制台、AWS 命令行和 SDK 三方面分别介绍如何使用客户管理的密钥创建一个加密的 Amazon EBS 卷。


在 EC2 控制台上创建一个加密的 Amazon EBS 卷:


参照以下步骤去启动一个客户管理的密钥加密的 EC2 实例:


1.登录到 AWS 管理控制台,打开 EC2 控制台,


2.选中启动实例,然后在向导的步骤 1 中,选中一个 Amazon 系统映像 (AMI)


3.在向导的步骤 2 中,选择一个实例类型,然后提供额外的配置信息。


4.在向导的步骤 3 中,对于配置的详细信息,参照启动一个实例。


5.在向导的步骤 4 中,提供额外的你想要挂载到你的实例上的 EBS 卷。创建一个加密的 Amazon EBS 卷,首选需要使用添加新卷创建一个新卷。


6.在加密的参数设置里面,从下拉菜单中选择你之前创建的密钥。



7.选择下一步添加标签或者直接选择审核和启动去启动实例。

以 AWS CLI 或者 SDK 的方式创建一个加密的 Amazon EBS 卷:

你也可以使用 RunInstances 去启动一个带有加密 Amazon EBS 卷的实例,在启动过程中需要特别注意将 Encrypted 属性设置到 true,并且添加 kmsKeyID。例如:


$> aws ec2 run-instances –image-id ami-08b835182371dee58 –count 1 –instance-type t2.small –region cn-north-1 –block-device-mappings file://mapping.json
复制代码


在这个例子里面,mapping.json 描述了创建的 EBS 卷的属性:



{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2",
"Encrypted": true,
"kmsKeyID": "arn:aws-cn:kms:cn-north-1:612605126983:key/9b3c0ec1-0f5d-411c-a05d-583548ba5a6e"
}
}
复制代码


相关文章:


AWS Key Management Service API Reference


AWS KMS in the AWS CLI Reference


作者介绍:


刘亚彬


AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有超过 15 年项目实施经验,曾就职于 Citrix,主要服务于国内外金融类客户。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/how-to-deploy-integrated-ebs-and-kms-static-security/


2019-09-26 16:42833
用户头像

发布了 1866 篇内容, 共 133.3 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

区块链加持的家用摄像头能拯救你的隐私吗?

CECBC

我想模糊删除redis key🤔

山中兰花草

Java lua redis 面试 批量任务

CAP原理

jason

解决问题 1474 个,Flink 1.11 究竟有哪些易用性上的改善?

Apache Flink

flink

可读代码编写炸鸡七 - 表达式太长就拆

多选参数

代码质量 代码组织 代码规范 可读代码编写 可读代码

林左鸣 史瑞华:人类应鼎力进行的探索

CECBC

如何进行需求梳理及埋点方案设计

易观大数据

Week 06学习总结

Jeremy

Python的四种作用域及调用顺序

BigYoung

Python 局部作用域 全局作用域

LeetCode题解:141. 环形链表,JavaScript HashMap,详细注释

Lee Chen

大前端 LeetCode

平价又好用的学习电脑小轩PRO来啦,为孩子创造超强学习体验

最新动态

以中立性的立场看Severless的目标和流派

韩超

云原生 serverles

数十家技术社区联名推荐的GeekOnline来了!

Geek_116789

第六周作业

腾志文(清样)

计算机揭秘之:网络分类和性能分析

程序那些事

TCP 计算机网络 网络协议 计算机基础 udp

【API进阶之路】老板给我涨薪30%!如何通过SDK接口搞定千万级流量直播

华为云开发者联盟

运维 服务器 直播 云服务 华为云

如何帮助技术员工高效成长?这几家企业的做法值得借鉴

极客时间企业版

研发管理 研发团队培训

寻找握剑的手,青睐懂行的人

脑极体

聊聊Dubbo(二):简单入门

猿灯塔

MQTT的搭建、测试、应用及小程序的集成!

诸葛小猿

物联网 IoT mqtt broker

企业架构框架之TOGAF

冯文辉

企业架构

单例模式的几种写法你用的哪种?

Java小咖秀

Java 设计模式 23种设计模式

Week 06 命题作业

Jeremy

Flask-Restful 中 fileds.DateTime 不支持 strftime 格式

Leetao

Python flask web开发 Python框架 flask-restful

图解:如何实现最小生成树

淡蓝色

Java 数据结构 算法

第六周总结

腾志文(清样)

毕业半年的憨憨,将公司的代码上传到GitHub上了

诸葛小猿

GitHub 代码上传

《北京市政务服务领域区块链应用创新蓝皮书(第一版)》正式发布

CECBC

可读代码编写炸鸡六 - 控制流尽量向前奔涌就好,不要分心

多选参数

代码 代码优化 代码规范 可读代码编写 可读代码

防止数据重复提交的6种方法(超简单)!

王磊

Java

朱嘉明:区块链成为经济转型、形成产业新业态的技术手段

CECBC

如何配置EBS整合KMS的静态加密_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章