写点什么

AWS KMS 之 EBS 和 S3 加密最佳实践

2019 年 11 月 25 日

AWS KMS 之 EBS 和 S3 加密最佳实践

本篇主要从 AWS 安全视角中的数据保护层面对 S3 和 EBS 进行加密管理,并结合 CloudTrail 和 CloudWatch 相结合做到数据加密中的可追溯性,并阐述 EBS 加密与解密的过程。另外通过本篇你将掌握利用 AWS Key Management Service (KMS) 去创建和管理密钥,并管理 AWS 服务和应用程序中加密的使用方式,这里主要围绕生产场景常用的 AWS 服务 EBS 和 S3 的最佳实践方法供其参考。


首先我们在此先启用 CloudTrail,让其提供给密钥加密管理有对应的记录,方便密钥的监管的合规性要求。


启用与配置 CloudTrail 日志功能


登陆 AWS 管理控制台,点击服务并选中 CloudTrail



指定跟踪名称,选择跟踪到所有的区域;并输入对应跟踪器名称:kms-trail,指定对应 S3 存储桶,如下图




配置 CloudWatch 与 IAM 策略


CloudTrail 与 S3 存储配置好后;在 CloudTrail 界面,配置其 CloudWatch 日志,以及 IAM 策略。





创建 KMS Master key


在控制台的服务选项中,选择 KMS 服务,创建一个 Master key,



定义管理权限


指定哪个账户具有管理密钥的权限





定义密钥使用权限


指定哪个账户具有使用密钥的权限



如果这里想通过脚本的方式进行,也可参考下面的 json 文件配置:


Json


{    "Id": "key-consolepolicy-3",    "Version": "2012-10-17",    "Statement": [        {            "Sid": "Enable IAM User Permissions",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam::AccountID:root"            },            "Action": "kms:*",            "Resource": "*"        },        {            "Sid": "Allow access for Key Administrators",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam:: AccountID:user/awsent"            },            "Action": [                "kms:Create*",                "kms:Describe*",                "kms:Enable*",                "kms:List*",                "kms:Put*",                "kms:Update*",                "kms:Revoke*",                "kms:Disable*",                "kms:Get*",                "kms:Delete*",                "kms:TagResource",                "kms:UntagResource",                "kms:ScheduleKeyDeletion",                "kms:CancelKeyDeletion"            ],            "Resource": "*"        },        {            "Sid": "Allow use of the key",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam:: AccountID:user/awsent"            },            "Action": [                "kms:Encrypt",                "kms:Decrypt",                "kms:ReEncrypt*",                "kms:GenerateDataKey*",                "kms:DescribeKey"            ],            "Resource": "*"        },        {            "Sid": "Allow attachment of persistent resources",            "Effect": "Allow",            "Principal": {                "AWS": "arn:aws:iam:: AccountID:user/awsent"            },            "Action": [                "kms:CreateGrant",                "kms:ListGrants",                "kms:RevokeGrant"            ],            "Resource": "*",            "Condition": {                "Bool": {                    "kms:GrantIsForAWSResource": "true"                }            }        }    ]}
复制代码


启用密钥轮换功能


在创建 Master Key 后,需要开启密钥轮换功能,从 AWS 安全角度以及最佳实践角度,需要将其开启。






AWS EBS 与 KMS 集成示例


Amazon EBS 可通过 AWS KMS 提供卷加密功能。每个卷均使用 AES-256-XTS 进行加密。这需要两个 256 位密钥,您可以将它们视为一个 512 位密钥。数据密钥在您账户中的客户主密钥下加密。要使 Amazon EBS 为您加密卷,它必须能够访问 账户中的 CMK。您可以通过向 Amazon EBS 提供对 CMK 的授权来创建数据密钥 以及加密和解密这些数据密钥。



以下是加密/解密 EBS 卷数据的基本步骤:


  1. Amazon EBS 通过 AWS KMS 在 CMK 下获取加密数据密钥,并将加密密钥与卷 元数据一起存储。

  2. 托管 EC2 实例的服务器从存储中检索加密数据密钥。

  3. 通过 SSL 调用 AWS KMS 以解密加密的数据密钥。AWS KMS 识别 CMK,向队 列中的 HSA 发出内部请求以解密数据密钥,并通过 SSL 会话将密钥返回给客 户。

  4. 已解密数据密钥存储在内存中,用于加密和解密传入和传出附加的 EBS 卷的 所有数据。Amazon EBS 保留加密数据密钥以供以后使用,以防内存中的数据 密钥不再可用。


加密 EBS 卷资源


创建 Volumes



EBS 加密成功从 volume 页面可以看到对应的加密字段,如下所示



加密 EC2 启动卷


刚才我通过 KMS 主密钥将其 EBS 卷进行了加密,接下来我们来看下如何通过 KMS 将其 EC2 启动卷进行加密。在对 EC2 启动卷加密前需要将其停机。








可以看到 EC2 的启动卷也成功加密了。


S3 数据加密


创建存储桶,并上传测试文件,并通过 KMS 主密钥进行加密:




验证加密




访问对象 URL



禁用 KMS 主密钥






CloudWatch 监控验证



总结


通过本篇你将掌握 KMS 对密钥的管理方式,也可以获取如何通过 KMS 去 EC2 启动卷、EBS 卷、S3 存储的加密管理的实践方法,同时也明白在对数据加密的过程中将 CloudTrail 和 CloudWatch 相结合做到在整个实现的过程中起到审计与监控的作用。


作者介绍:


!



### [](https://amazonaws-china.com/cn/blogs/china/tag/%E7%BD%97%E4%BF%8A/)
亚马逊 AWS 专业服务团队云架构咨询顾问。负责企业客户的云架构设计、迁移、安全和优化,云上自动化运维,容器等相关咨询服务。对云原生技术、区块链等有深入的研究和热情。
复制代码


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/ebs-s3-encryption-best-practices-for-aws-kms/


2019 年 11 月 25 日 08:00205

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

2020.09.14-2020.09.20学习总结

icydolphin

极客大学架构师训练营

架构师训练营 - 同城快递架构文档

陈皮

食堂就餐卡系统设计

icydolphin

极客大学架构师训练营

Atlassian 金融企业敏捷转型线上峰会剧透来袭!

Atlassian速递

项目管理 DevOps 敏捷 金融

架构师训练营期末大作业

jiangnanage

架构师训练营大作业

努力努力再努力m

大作业:用思维导图画出训练营知识点

chenzt

极客时间-架构师训练营 大作业

潜默闻雨

同城快递系统-系统顶层架构设计

架构师训练营第 1 期第一次作业

强风

大作业-同城快递

林毋梦

期末作业-达通快递

森林

大作业二

嘻哈

架构师训练营第1周学习总结

netspecial

极客大学架构师训练营

食堂就餐卡系统设计

Leo乐

极客大学架构师训练营

期末大作业(二)

武鹏

轻松的可贵

谷鱼

回忆 转折

从 Java 中的零拷贝到五种IO模型

Rayjun

Java io

架构师培训期末大作业

小蚂蚁

架构师训练营1期 -- 第一周总结

曾彪彪

极客大学架构师训练营

期末大作业

Geek_a327d3

【Nginx】冰河又一本超硬核Nginx PDF教程免费开源!!

冰河

nginx 冰河

架构师训练营 - 大作业二

桔子

迷茫吗?来看这15个程序员的回答,比你搜集多少资料都有用

小Q

Java 程序员 架构 面试 职业规划

大作业

李朋

踩坑记 | 多aar下修改常量的一个小坑

哈利迪

android

提交项目到gitee报错Push to origin/master was rejected的解决办法

Geek_416be1

甲方日常 18

句子

生活 随笔杂谈

训练营结束

dongge

思维导图

架构师训练营大作业

Bruce Xiong

AWS KMS 之 EBS 和 S3 加密最佳实践-InfoQ