10月21日,杭州云栖大会-技术&可持续发展论坛,注册有礼 了解详情
写点什么

如何配置 EBS 整合 KMS 的静态加密

2019 年 9 月 26 日

如何配置EBS整合KMS的静态加密

几个月前,AWS Key Management Service(AWS KMS)服务终于在 AWS 中国上线。不同于全球区的 KMS 服务,在中国区的是一项使用中国政府批准的硬件安全模块保护密钥安全的托管服务,并且使用了合规的加密算法。加密密钥可以用于加密用户的应用程序,也可用于加密和保护其他 AWS 服务。Amazon Elastic Block Store (EBS) 对于用户的 Amazon EBS 卷提供了加密的解决方案,正是使用了 KMS 的加密服务。在对 EBS 卷启用加密后,用户不用为了安全考虑再去搭建和维护一套安全系统来实现块存储的加密。此项 EBS 卷加密服务也随着 AWS KMS 的服务在中国区上线一同发布。


当创建一个加密的 Amazon EBS 卷时,用户可以使用 KMS 中的 AWS 托管的密钥(AWS managed keys)或者客户管理的密钥(Customer managed keys)。如果用户使用的是客户管理的密钥,还能使用到其他更多的密钥功能,例如每年自动轮询密钥服务。更多的关于创建客户管理的密钥请参考创建密钥。EBS 卷解密主要发生在 EC2 运行的虚拟化主机上,数据根据需要进行解密,然后存储在其内存中,这有助于用户保护 EBS 卷上保存的所有数据,同时帮助用户更加容易的获取一些安全合规认证。


在本篇文章中,我们将分别从 AWS 管理控制台、AWS 命令行和 SDK 三方面分别介绍如何使用客户管理的密钥创建一个加密的 Amazon EBS 卷。


在 EC2 控制台上创建一个加密的 Amazon EBS 卷:


参照以下步骤去启动一个客户管理的密钥加密的 EC2 实例:


1.登录到 AWS 管理控制台,打开 EC2 控制台,


2.选中启动实例,然后在向导的步骤 1 中,选中一个 Amazon 系统映像 (AMI)


3.在向导的步骤 2 中,选择一个实例类型,然后提供额外的配置信息。


4.在向导的步骤 3 中,对于配置的详细信息,参照启动一个实例。


5.在向导的步骤 4 中,提供额外的你想要挂载到你的实例上的 EBS 卷。创建一个加密的 Amazon EBS 卷,首选需要使用添加新卷创建一个新卷。


6.在加密的参数设置里面,从下拉菜单中选择你之前创建的密钥。



7.选择下一步添加标签或者直接选择审核和启动去启动实例。


以 AWS CLI 或者 SDK 的方式创建一个加密的 Amazon EBS 卷:

你也可以使用 RunInstances 去启动一个带有加密 Amazon EBS 卷的实例,在启动过程中需要特别注意将 Encrypted 属性设置到 true,并且添加 kmsKeyID。例如:


$> aws ec2 run-instances –image-id ami-08b835182371dee58 –count 1 –instance-type t2.small –region cn-north-1 –block-device-mappings file://mapping.json
复制代码


在这个例子里面,mapping.json 描述了创建的 EBS 卷的属性:



{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2",
"Encrypted": true,
"kmsKeyID": "arn:aws-cn:kms:cn-north-1:612605126983:key/9b3c0ec1-0f5d-411c-a05d-583548ba5a6e"
}
}
复制代码


相关文章:


AWS Key Management Service API Reference


AWS KMS in the AWS CLI Reference


作者介绍:


刘亚彬


AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有超过 15 年项目实施经验,曾就职于 Citrix,主要服务于国内外金融类客户。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/how-to-deploy-integrated-ebs-and-kms-static-security/


2019 年 9 月 26 日 16:42292
用户头像

发布了 1297 篇内容, 共 41.3 次阅读, 收获喜欢 42 次。

关注

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

清明节特辑 |记忆存储、声音还原、性格模仿……AI可以让人类永生吗?

华为云开发者社区

AI 语音合成 清明节 对话机器人 VR/AR

在npm发布自己的组件

空城机

JavaScript 前端 npm 4月日更 自定义组件

定义边缘计算架构需考虑的三个方面

浪潮云

边缘计算

Netty HashedWheelTimer 时间轮源码详解

Yano

Java 架构 Netty

Serverless 可观测性的过去、现在与未来

阿里巴巴云原生

Serverless 容器 开发者 云原生 调度

8x Flow 业务建模法(一):你能分清业务和领域吗?

胡皓

领域驱动设计 DDD 架构设计 事件风暴 业务建模

重磅官宣:Nacos2.0 发布,性能提升 10 倍

阿里巴巴云原生

Java 容器 微服务 云原生 应用服务中间件

用DeBug的方式,带你掌握HBase文件在Snapshot的各种变化

华为云开发者社区

HBase 元数据 数据迁移 数据备份 Snapshot

如何实现微信8.0爆炸和烟花表情特效

梅芳姑

SCF—BSS3.0的“公路网”

鲸品堂

工具 框架搭建 流式计算框架

那些我磕过的音视频项目总结

梅芳姑

程序员面试指北:如何更高效的准备面试

邴越

Java 面试 求职 招聘

短视频编辑:基于ExoPlayer可实时交互的播放器

梅芳姑

业务随行:用户的网络访问策略还能这么玩

华为云开发者社区

网络 通信 安全组 IP地址 业务随行

Kubernetes 稳定性保障手册 -- 可观测性专题

阿里巴巴云原生

Serverless 容器 云原生 k8s 存储

flink流计算可视化web平台

无情

sql 流计算 flin

NAC公链主打应用而生的NA(Nirvana)公链有什么过人之处?

区块链第一资讯

自己搭建一个语音聊天室

anyRTC开发者

ios android 音视频 WebRTC RTC

Rust从0到1-所有权-引用和借用

rust 引用 所有权 借用

Python OpenCV 之图像乘除与像素的逻辑运算,图像处理取经之旅第 17 天

梦想橡皮擦

Python OpenCV 4月日更

【LeetCode】直方图的水量Java题解

HQ数字卡

算法 LeetCode 4月日更

2021年Android面经分享,赶紧收藏!

欢喜学安卓

android 程序员 面试 移动开发

OpenTelemetry 简析

阿里巴巴云原生

容器 开发者 云原生 k8s 监控

[TcaplusDB知识库] TcaplusDB技术原理分享

TcaplusDB

数据库 后端 TcaplusDB

单片机异常复位后如何保存变量数据

不脱发的程序猿

嵌入式 单片机 4月日更 硬件研发 单片机异常复位

Python基础之:Python中的类

程序那些事

Python Python3 程序那些事

2021年Android工作或更难找,原理+实战+视频+源码

欢喜学安卓

android 程序员 面试 移动开发

实时数据仓库的发展、架构和趋势

网易数帆

数据仓库 实时计算 实时数仓 iceberg 批流一体

MySql数据库列表数据分页查询、全文检索API零代码实现

crudapi

全文检索 API crud crudapi 列表查询

Hexo + Material + Github 搭建博客

U+2647

博客 4月日更

清明|TcaplusDB持续为您保驾护航

TcaplusDB

c++ 数据库 后端 TcaplusDB

数据cool谈(第1期)数据库寻路,开源有态度

数据cool谈(第1期)数据库寻路,开源有态度

如何配置EBS整合KMS的静态加密-InfoQ