写点什么

如何配置 EBS 整合 KMS 的静态加密

  • 2019-09-26
  • 本文字数:1356 字

    阅读完需:约 4 分钟

如何配置EBS整合KMS的静态加密

几个月前,AWS Key Management Service(AWS KMS)服务终于在 AWS 中国上线。不同于全球区的 KMS 服务,在中国区的是一项使用中国政府批准的硬件安全模块保护密钥安全的托管服务,并且使用了合规的加密算法。加密密钥可以用于加密用户的应用程序,也可用于加密和保护其他 AWS 服务。Amazon Elastic Block Store (EBS) 对于用户的 Amazon EBS 卷提供了加密的解决方案,正是使用了 KMS 的加密服务。在对 EBS 卷启用加密后,用户不用为了安全考虑再去搭建和维护一套安全系统来实现块存储的加密。此项 EBS 卷加密服务也随着 AWS KMS 的服务在中国区上线一同发布。


当创建一个加密的 Amazon EBS 卷时,用户可以使用 KMS 中的 AWS 托管的密钥(AWS managed keys)或者客户管理的密钥(Customer managed keys)。如果用户使用的是客户管理的密钥,还能使用到其他更多的密钥功能,例如每年自动轮询密钥服务。更多的关于创建客户管理的密钥请参考创建密钥。EBS 卷解密主要发生在 EC2 运行的虚拟化主机上,数据根据需要进行解密,然后存储在其内存中,这有助于用户保护 EBS 卷上保存的所有数据,同时帮助用户更加容易的获取一些安全合规认证。


在本篇文章中,我们将分别从 AWS 管理控制台、AWS 命令行和 SDK 三方面分别介绍如何使用客户管理的密钥创建一个加密的 Amazon EBS 卷。


在 EC2 控制台上创建一个加密的 Amazon EBS 卷:


参照以下步骤去启动一个客户管理的密钥加密的 EC2 实例:


1.登录到 AWS 管理控制台,打开 EC2 控制台,


2.选中启动实例,然后在向导的步骤 1 中,选中一个 Amazon 系统映像 (AMI)


3.在向导的步骤 2 中,选择一个实例类型,然后提供额外的配置信息。


4.在向导的步骤 3 中,对于配置的详细信息,参照启动一个实例。


5.在向导的步骤 4 中,提供额外的你想要挂载到你的实例上的 EBS 卷。创建一个加密的 Amazon EBS 卷,首选需要使用添加新卷创建一个新卷。


6.在加密的参数设置里面,从下拉菜单中选择你之前创建的密钥。



7.选择下一步添加标签或者直接选择审核和启动去启动实例。

以 AWS CLI 或者 SDK 的方式创建一个加密的 Amazon EBS 卷:

你也可以使用 RunInstances 去启动一个带有加密 Amazon EBS 卷的实例,在启动过程中需要特别注意将 Encrypted 属性设置到 true,并且添加 kmsKeyID。例如:


$> aws ec2 run-instances –image-id ami-08b835182371dee58 –count 1 –instance-type t2.small –region cn-north-1 –block-device-mappings file://mapping.json
复制代码


在这个例子里面,mapping.json 描述了创建的 EBS 卷的属性:



{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2",
"Encrypted": true,
"kmsKeyID": "arn:aws-cn:kms:cn-north-1:612605126983:key/9b3c0ec1-0f5d-411c-a05d-583548ba5a6e"
}
}
复制代码


相关文章:


AWS Key Management Service API Reference


AWS KMS in the AWS CLI Reference


作者介绍:


刘亚彬


AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有超过 15 年项目实施经验,曾就职于 Citrix,主要服务于国内外金融类客户。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/how-to-deploy-integrated-ebs-and-kms-static-security/


2019-09-26 16:42916
用户头像

发布了 1928 篇内容, 共 154.5 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

广告倒排服务极致优化

百度Geek说

架构 数据结构 后端 12 月 PK 榜

浅析静态应用安全测试

华为云开发者联盟

测试 开发 华为云 12 月 PK 榜

从数据治理到数据应用,制造业企业如何突破数字化转型困境丨行业方案

袋鼠云数栈

数字化转型

ClickHouse 挺快,esProc SPL 更快

王磊

低碳正在成为春城的新名片

极客天地

chatGPT实战之「基于你的数据库,为你智能生成SQL」

非喵鱼

Java MySQL sql openai ChatGPT

“零容忍”监管,金融机构如何应对数据泄露风险?

极盾科技

数据安全

Kubernetes 跨集群流量调度实战

Flomesh

服务治理 Kubernetes 集群 流量管理

选择合适的BI工具,解决中国式报表难题

对不起该用户已成仙‖

【合作案例】科协基地预约小程序 | 闵行区科普资源地图

天天预约

如何在滑至页面底端添加提示?

Towify

微信小程序 无代码

VoneBaaS与飞腾CPU完成产品兼容性互认证

旺链科技

区块链 产业区块链 VoneBaaS 12 月 PK 榜

演讲实录|姚延栋:终止“试点炼狱”,智能汽车时代数字化转型与实践

YMatrix 超融合数据库

车联网 海量数据 超融合数据库 智能网联 YMatrix

2023年ha软件采购就选Skybility HA!6大优势看这里!

行云管家

高可用 ha 双机热备

【服务故障问题排查心得】「内存诊断系列」Docker容器经常被kill掉,k8s中该节点的pod也被驱赶,怎么分析?

码界西柚

Docker Linux 12 月 PK 榜 容器内存问题

两步开启研发团队专属ChatOps|极狐GitLab ChatOps 的设计与实践

极狐GitLab

团队管理 DevOps ChatOps 极狐GitLab ChatGPT

2023年中国企业数字化技术应用十大趋势

易观分析

企业 数字化

IAA品类洞察:扫描品类加快变现,如何抓住增长机遇?

易观分析

广告业 IAA

熹乐科技范维肖CC:基于开源 YoMo 框架构建“全球同服”的 Realtime Metaverse Application

声网

框架 #开源

火山引擎DataTester:无需研发人力,即刻开启企业A/B实验

字节跳动数据平台

A/B测试

Tapdata 携手阿里云,实现数据平滑上云以及毫秒级在线查询和检索能力

云布道师

阿里云

人工智能顶会AAAI 2023放榜!网易伏羲7篇论文入选

网易伏羲

人工智能

强化学习调参技巧二:DDPG、TD3、SAC算法为例:

汀丶人工智能

强化学习 深度强化学习 12月日更 12月月更

下一代架构?从组装式企业到组装式应用

华为云开发者联盟

云计算 后端 数字化 华为云 12 月 PK 榜

如何使用 Towify 在小程序中实现勾选用户协议后登录?

Towify

微信小程序 无代码

瓴羊Quick BI数据填报组件,实现智能化管理和高效挖掘利用

夏日星河

Flutter for Web 首次首屏优化——JS 分片优化

阿里巴巴终端技术

flutter 前端 Web 客户端

省会城市昆明分布式光伏项目落地 引领低碳化转型实践

极客天地

了不起的程序员们,瞧,你的 2023 年度惊喜终于来了!

图灵社区

程序员

如何用 30s 讲清楚什么是跳表

飞天小牛肉

redis 面试 社招 校招 秋招

喜讯+1!袋鼠云数栈技术团队获“2022年度优秀开源技术团队”

袋鼠云数栈

开源

如何配置EBS整合KMS的静态加密_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章