如何配置EBS整合KMS的静态加密

2019 年 9 月 26 日

如何配置EBS整合KMS的静态加密

几个月前, AWS Key Management Service(AWS KMS)服务终于在 AWS 中国上线。不同于全球区的 KMS 服务,在中国区的是一项使用中国政府批准的硬件安全模块保护密钥安全的托管服务,并且使用了合规的加密算法。加密密钥可以用于加密用户的应用程序,也可用于加密和保护其他 AWS 服务。Amazon Elastic Block Store (EBS) 对于用户的 Amazon EBS 卷提供了加密的解决方案,正是使用了 KMS 的加密服务。在对 EBS 卷启用加密后,用户不用为了安全考虑再去搭建和维护一套安全系统来实现块存储的加密。此项 EBS 卷加密服务也随着 AWS KMS 的服务在中国区上线一同发布。

当创建一个加密的 Amazon EBS 卷时,用户可以使用 KMS 中的 AWS 托管的密钥(AWS managed keys)或者客户管理的密钥(Customer managed keys)。如果用户使用的是客户管理的密钥,还能使用到其他更多的密钥功能,例如每年自动轮询密钥服务。更多的关于创建客户管理的密钥请参考创建密钥。EBS 卷解密主要发生在 EC2 运行的虚拟化主机上,数据根据需要进行解密,然后存储在其内存中,这有助于用户保护 EBS 卷上保存的所有数据,同时帮助用户更加容易的获取一些安全合规认证。

在本篇文章中,我们将分别从 AWS 管理控制台、AWS 命令行和 SDK 三方面分别介绍如何使用客户管理的密钥创建一个加密的 Amazon EBS 卷。

在 EC2 控制台上创建一个加密的 Amazon EBS 卷:
参照以下步骤去启动一个客户管理的密钥加密的 EC2 实例:

1. 登录到 AWS 管理控制台,打开 EC2 控制台,

2. 选中启动实例,然后在向导的步骤 1 中,选中一个 Amazon 系统映像 (AMI)

3. 在向导的步骤 2 中,选择一个实例类型,然后提供额外的配置信息。

4. 在向导的步骤 3 中,对于配置的详细信息,参照启动一个实例。

5. 在向导的步骤 4 中,提供额外的你想要挂载到你的实例上的 EBS 卷。创建一个加密的 Amazon EBS 卷,首选需要使用添加新卷创建一个新卷。

6. 在加密的参数设置里面,从下拉菜单中选择你之前创建的密钥。

7. 选择下一步添加标签或者直接选择审核和启动去启动实例。

以 AWS CLI 或者 SDK 的方式创建一个加密的 Amazon EBS 卷:

你也可以使用 RunInstances 去启动一个带有加密 Amazon EBS 卷的实例,在启动过程中需要特别注意将 Encrypted 属性设置到 true,并且添加 kmsKeyID。例如:

复制代码
$> aws ec2 run-instances –image-id ami-08b835182371dee58 –count 1instance-type t2.small –region cn-north-1 –block-device-mappings file://mapping.json

在这个例子里面,mapping.json 描述了创建的 EBS 卷的属性:

复制代码
{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2",
"Encrypted": true,
"kmsKeyID": "arn:aws-cn:kms:cn-north-1:612605126983:key/9b3c0ec1-0f5d-411c-a05d-583548ba5a6e"
}
}

相关文章:

AWS Key Management Service API Reference

AWS KMS in the AWS CLI Reference

作者介绍:

刘亚彬
AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有超过 15 年项目实施经验,曾就职于 Citrix,主要服务于国内外金融类客户。

本文转载自 AWS 技术博客。

原文链接:
https://amazonaws-china.com/cn/blogs/china/how-to-deploy-integrated-ebs-and-kms-static-security/

2019 年 9 月 26 日 16:42 131
用户头像

发布了 1165 篇内容,共 166378 次阅读,收获喜欢 7 次。

关注

评论

发布
暂无评论
发现更多内容

读懂才会用:Redis ZSet 的几种使用场景

小眼睛聊技术

Java redis 架构 后端 学习总结

知乎Matisse图片库在Android10上拍照,预览问题

三爻

android

Java | 原来 serialVersionUID 的用处在这里

YoungZY

Java

平常心平常心

zhoo299

随笔杂谈

重学 Java 设计模式:实战外观模式「基于SpringBoot开发门面模式中间件,统一控制接口白名单场景」

小傅哥

设计模式 小傅哥 重构 代码质量 代码坏味道

华硕灵珑II笔记本电脑——自由work不设限

飞天鱼2017

浅谈互联网思维和区块链思维

CECBC区块链专委会

区块链思维

常用运筹学软件整理

张利东

ARTS打卡第二周6.1-6.7

我笔盒呢

大家都知道递归,尾递归呢?什么又是尾递归优化?

石头

iPad配置OpenVPN客户端

wong

ipad OpenVPN

【总结】优秀架构师的职责及综合能力

huangyb

情绪管理 - ABC理论

石云升

情绪控制 ABC理论 费斯汀格法则

中电标协提出并归口:《政务APP评价指标》团体标准开启制订工作

BonreeAPM

App 标准化 中电标协 政务信息化 博睿宏远

架构师训练营第二周

Melo

编程的未来 Java, C, Go, Swift, Dart? Uncle Bob Martin - The Future of Programming

John(易筋)

Java 敏捷开发 编程的未来 编程简史 Bob大叔

架构师训练营第一周学习总结

全力以赴@

第一周作业一:食堂就餐卡系统设计

DZ

Java15都快出来了,你还不会Java8中的Lambda?

Java全栈封神

Java Lambda java8

下周要开始“卖桃者说”代班计划了

泰稳@极客邦科技

日常

kubernetes简单入门(多图少字版)

绿星雪碧

Kubernetes 入门

【JS】给console来的样式

学习委员

JavaScript html5 前端 Web console

Assignment 01

高冰洁

小师妹学JavaIO之:MappedByteBuffer多大的文件我都装得下

程序那些事

Java io nio 小师妹 buffer

钩陈/ 好中文作业:巴别塔

ZoomQuiet大妈

写作 大妈 是也乎 IMHO 蟒营®

「编程模型」C++封装资源

顿晓

c++ 封装 资源封装 自动化管理 简化代码

食堂就餐卡系统设计

huangyb

IP 基础知识全家桶,45 张图一套带走

小林coding

计算机网络 计算机基础 IP

JAVA 中的 CAS

犀利豆

Java 并发 CAS

架构师训练营学习总结——框架设计【第二周】

王海

极客大学架构师训练营

如何让程序员变得没朋友

四猿外

程序员 程序员素养 个人感悟 技术人生 经验分享

如何配置EBS整合KMS的静态加密-InfoQ