写点什么

如何配置 EBS 整合 KMS 的静态加密

  • 2019-09-26
  • 本文字数:1356 字

    阅读完需:约 4 分钟

如何配置EBS整合KMS的静态加密

几个月前,AWS Key Management Service(AWS KMS)服务终于在 AWS 中国上线。不同于全球区的 KMS 服务,在中国区的是一项使用中国政府批准的硬件安全模块保护密钥安全的托管服务,并且使用了合规的加密算法。加密密钥可以用于加密用户的应用程序,也可用于加密和保护其他 AWS 服务。Amazon Elastic Block Store (EBS) 对于用户的 Amazon EBS 卷提供了加密的解决方案,正是使用了 KMS 的加密服务。在对 EBS 卷启用加密后,用户不用为了安全考虑再去搭建和维护一套安全系统来实现块存储的加密。此项 EBS 卷加密服务也随着 AWS KMS 的服务在中国区上线一同发布。


当创建一个加密的 Amazon EBS 卷时,用户可以使用 KMS 中的 AWS 托管的密钥(AWS managed keys)或者客户管理的密钥(Customer managed keys)。如果用户使用的是客户管理的密钥,还能使用到其他更多的密钥功能,例如每年自动轮询密钥服务。更多的关于创建客户管理的密钥请参考创建密钥。EBS 卷解密主要发生在 EC2 运行的虚拟化主机上,数据根据需要进行解密,然后存储在其内存中,这有助于用户保护 EBS 卷上保存的所有数据,同时帮助用户更加容易的获取一些安全合规认证。


在本篇文章中,我们将分别从 AWS 管理控制台、AWS 命令行和 SDK 三方面分别介绍如何使用客户管理的密钥创建一个加密的 Amazon EBS 卷。


在 EC2 控制台上创建一个加密的 Amazon EBS 卷:


参照以下步骤去启动一个客户管理的密钥加密的 EC2 实例:


1.登录到 AWS 管理控制台,打开 EC2 控制台,


2.选中启动实例,然后在向导的步骤 1 中,选中一个 Amazon 系统映像 (AMI)


3.在向导的步骤 2 中,选择一个实例类型,然后提供额外的配置信息。


4.在向导的步骤 3 中,对于配置的详细信息,参照启动一个实例。


5.在向导的步骤 4 中,提供额外的你想要挂载到你的实例上的 EBS 卷。创建一个加密的 Amazon EBS 卷,首选需要使用添加新卷创建一个新卷。


6.在加密的参数设置里面,从下拉菜单中选择你之前创建的密钥。



7.选择下一步添加标签或者直接选择审核和启动去启动实例。

以 AWS CLI 或者 SDK 的方式创建一个加密的 Amazon EBS 卷:

你也可以使用 RunInstances 去启动一个带有加密 Amazon EBS 卷的实例,在启动过程中需要特别注意将 Encrypted 属性设置到 true,并且添加 kmsKeyID。例如:


$> aws ec2 run-instances –image-id ami-08b835182371dee58 –count 1 –instance-type t2.small –region cn-north-1 –block-device-mappings file://mapping.json
复制代码


在这个例子里面,mapping.json 描述了创建的 EBS 卷的属性:



{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2",
"Encrypted": true,
"kmsKeyID": "arn:aws-cn:kms:cn-north-1:612605126983:key/9b3c0ec1-0f5d-411c-a05d-583548ba5a6e"
}
}
复制代码


相关文章:


AWS Key Management Service API Reference


AWS KMS in the AWS CLI Reference


作者介绍:


刘亚彬


AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有超过 15 年项目实施经验,曾就职于 Citrix,主要服务于国内外金融类客户。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/how-to-deploy-integrated-ebs-and-kms-static-security/


2019-09-26 16:42885
用户头像

发布了 1908 篇内容, 共 147.1 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

手机里的NPU可以起到什么作用

InfoQ IT百科

手机硬件都有哪些

InfoQ IT百科

终于有人讲明白了!原来这才是全球低时延一张网技术

华为云开发者联盟

音视频 华为云 实时音视频 低时延

如何优化前端页面的LCP?

BUG侦探

前端 性能 网页指标

如何在面试中机智的展现架构能力?

非凸科技

rust 编程语言 量化 构架师 互联网大厂

18张图,详解SpringBoot解析yml全流程

码农参上

springboot 配置文件 4月月更

苹果A13处理器在技术上有哪些创新?

InfoQ IT百科

iOS开发面试攻略(KVO、KVC、多线程、锁、runloop、计时器)

iOSer

ios iOS面试 ios开发 iOS面试题

开发手机操作系统的难度有多大

InfoQ IT百科

【高并发】为何在32位多核CPU上执行long型变量的写操作会出现诡异的Bug问题?看完这篇我懂了!

冰河

并发编程 多线程 协程 异步编程 精通高并发系列

netty系列之:netty中常用的字符串编码解码器

程序那些事

Java Netty 程序那些事 4月月更

Android系统有哪些优缺点

InfoQ IT百科

手机拍照算法和硬件哪个更重要

InfoQ IT百科

诚邀报名丨首期OpenHarmony开发者成长计划分享日

OpenHarmony开发者

OpenHarmony

移动平台WorkPlus集成化办公,打造企业全场景业务生态

BeeWorks

外包学生管理系统详细架构设计文档

dan629xy

不同研发协作模式在云效中的应用

阿里云云效

云计算 阿里云 云原生 研发 研发协作

为什么手机操作系统开始向多端融合方向发展

InfoQ IT百科

未来的手机操作系统在智能化上会有哪些突破

InfoQ IT百科

为拿几家大厂Offer,“闭关修炼

爱好编程进阶

Java 面试 后端开发

你必须懂也可以懂的微服务系列三:服务调用

爱好编程进阶

Java 面试 后端开发

你知道Java是如何解决可见性和有序性问题的吗?

爱好编程进阶

Java 面试 后端开发

未来手机操作系统有哪些发展趋势

InfoQ IT百科

手机软硬件协同很重要吗?

InfoQ IT百科

Oceanbase 和 TiDB 粗浅对比之 - 执行计划

TiDB 社区干货传送门

为什么switch里的case没有break不行

爱好编程进阶

Java 面试 后端开发

手机处理器未来的发展趋势如何

InfoQ IT百科

4.25解锁OpenHarmony技术日!年度盛会,即将揭幕!

Anna

手机硬件性能的发展主要受哪几方面制约

InfoQ IT百科

洞见科技首批通过央行国家金融科技测评中心「联邦学习」产品评测,实现「MPC+FL」金融应用双认证

洞见科技

联邦学习 隐私计算 多方安全计算

LAXCUS分布式操作系统冗余容错之节点篇

LAXCUS分布式操作系统

分布式系统 冗余 集群容灾

如何配置EBS整合KMS的静态加密_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章