写点什么

如何配置 EBS 整合 KMS 的静态加密

  • 2019-09-26
  • 本文字数:1356 字

    阅读完需:约 4 分钟

如何配置EBS整合KMS的静态加密

几个月前,AWS Key Management Service(AWS KMS)服务终于在 AWS 中国上线。不同于全球区的 KMS 服务,在中国区的是一项使用中国政府批准的硬件安全模块保护密钥安全的托管服务,并且使用了合规的加密算法。加密密钥可以用于加密用户的应用程序,也可用于加密和保护其他 AWS 服务。Amazon Elastic Block Store (EBS) 对于用户的 Amazon EBS 卷提供了加密的解决方案,正是使用了 KMS 的加密服务。在对 EBS 卷启用加密后,用户不用为了安全考虑再去搭建和维护一套安全系统来实现块存储的加密。此项 EBS 卷加密服务也随着 AWS KMS 的服务在中国区上线一同发布。


当创建一个加密的 Amazon EBS 卷时,用户可以使用 KMS 中的 AWS 托管的密钥(AWS managed keys)或者客户管理的密钥(Customer managed keys)。如果用户使用的是客户管理的密钥,还能使用到其他更多的密钥功能,例如每年自动轮询密钥服务。更多的关于创建客户管理的密钥请参考创建密钥。EBS 卷解密主要发生在 EC2 运行的虚拟化主机上,数据根据需要进行解密,然后存储在其内存中,这有助于用户保护 EBS 卷上保存的所有数据,同时帮助用户更加容易的获取一些安全合规认证。


在本篇文章中,我们将分别从 AWS 管理控制台、AWS 命令行和 SDK 三方面分别介绍如何使用客户管理的密钥创建一个加密的 Amazon EBS 卷。


在 EC2 控制台上创建一个加密的 Amazon EBS 卷:


参照以下步骤去启动一个客户管理的密钥加密的 EC2 实例:


1.登录到 AWS 管理控制台,打开 EC2 控制台,


2.选中启动实例,然后在向导的步骤 1 中,选中一个 Amazon 系统映像 (AMI)


3.在向导的步骤 2 中,选择一个实例类型,然后提供额外的配置信息。


4.在向导的步骤 3 中,对于配置的详细信息,参照启动一个实例。


5.在向导的步骤 4 中,提供额外的你想要挂载到你的实例上的 EBS 卷。创建一个加密的 Amazon EBS 卷,首选需要使用添加新卷创建一个新卷。


6.在加密的参数设置里面,从下拉菜单中选择你之前创建的密钥。



7.选择下一步添加标签或者直接选择审核和启动去启动实例。

以 AWS CLI 或者 SDK 的方式创建一个加密的 Amazon EBS 卷:

你也可以使用 RunInstances 去启动一个带有加密 Amazon EBS 卷的实例,在启动过程中需要特别注意将 Encrypted 属性设置到 true,并且添加 kmsKeyID。例如:


$> aws ec2 run-instances –image-id ami-08b835182371dee58 –count 1 –instance-type t2.small –region cn-north-1 –block-device-mappings file://mapping.json
复制代码


在这个例子里面,mapping.json 描述了创建的 EBS 卷的属性:



{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2",
"Encrypted": true,
"kmsKeyID": "arn:aws-cn:kms:cn-north-1:612605126983:key/9b3c0ec1-0f5d-411c-a05d-583548ba5a6e"
}
}
复制代码


相关文章:


AWS Key Management Service API Reference


AWS KMS in the AWS CLI Reference


作者介绍:


刘亚彬


AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有超过 15 年项目实施经验,曾就职于 Citrix,主要服务于国内外金融类客户。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/how-to-deploy-integrated-ebs-and-kms-static-security/


2019-09-26 16:42919
用户头像

发布了 1929 篇内容, 共 155.3 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

spring-boot-route(十六)使用logback生产日志文件

Java旅途

Java Spring Boot logback

高难度对话读书笔记——表达自我

wo是一棵草

anyRTC直播带货解决方案

anyRTC开发者

音视频 WebRTC 直播 RTC

工作流引擎,企业运作加速器

Marilyn

敏捷开发 工作流 快速开发

技术解读丨GaussDB数仓高可用容灾利器之逻辑备份

华为云开发者联盟

数据 容灾 备份

Hive UDF/UDAF 总结

windism

干掉PPT!现场编码的职级晋升答辩你参加过么?

华为云开发者联盟

软件 开发者 API

区块链来了 职业教育这么干

CECBC

区块链 职业教育

动态代理玩不明白?别紧张,你只是缺少这个demo

小Q

Java 编程 程序员 开发 动态代理

区块链应用众多难题“卡脖子”

CECBC

区块链 金融 供应链融资

通过MapReduce降低服务响应时间

万俊峰Kevin

mapreduce Go 语言

血亏!阿里P8轻易把总结了近一年的java高级特性笔记送人了

996小迁

Java 学习 架构 笔记 Java高级特性

蚂蚁金服架构师分享一套内部Java并发编程进阶笔记,白嫖太香了

Java架构追梦

Java 学习 架构 面试 并发编程

区块链的浪潮开始涌动了

CECBC

区块链 期货

Pulsar 社区周报|09-19 ~ 09-25

Apache Pulsar

大数据 开源 Apache Pulsar 消息中间件

一文带你了解文字识别

华为云开发者联盟

技术 识别 文字

十年Java开发经验,走了五年弯路,整理了一份Java架构师进阶路线及进阶资料!

Java架构之路

Java 程序员 面试 程序人生 编程语言

C++函数模板的偏特化

Qing Wang

c++

多种方式实现 LazyMan

局外人

大前端 队列 Promise

如何获得工作成就感

滴滴普惠出行

风雨边城

满天星

美食 旅行

比MySQL快839倍!揭开分析型数据库JCHDB的神秘面纱

京东科技开发者

数据库 JCHDB

媒介狂想曲

善宝橘

媒介 想象

CloudQuery,数据库管理用它就够了!

BinTools图尔兹

数据库 sql 安全 工具软件

软件测试人员的职业发展之路

BY林子

软件测试 QA 职业发展

是的,你没看错,自己的APP也能运行微信小程序了

FinClip

小程序flutter, 跨平台 小程序生态 移动开发

重新学习面向对象设计之开放-封闭原则

IT老兵重开始

面向对象设计 OCP 开闭原则

SpringBoot-技术专题-Caffeine用法

码界西柚

基于Flink+ClickHouse打造轻量级点击流实时数仓

Apache Flink

flink

Java之父都需要的一本能够更深入地了解Java编程语言的书

Java架构之路

Java 程序员 面试 编程语言

如何配置EBS整合KMS的静态加密_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章