AWS KMS介绍及其用法

什么是KMS


KMS是AWS提供的中心化的key托管服务,它使用硬件安全模块 (HSM)保护密钥安全。它可以被集成到其它的AWS服务中,如S3, EBS, RDS等,同时所有关于key的使用都会在CloudTrail中记录,以方便审计。

KMS的优点


基本上来自于文档,其好处有如下几点:

  1. 中心化的key托管服务。举个例子,对于不同的环境(staging/production),我们需要维护不同private key 去做部署,调试等等,还得考虑定期rotate。出于安全考虑,这些private key不推荐和部署的repo放在一起。一般情况下你得把它们放在一个统一的地方去保存,如Rattic或者Vault去管理。这样的话,你的承担这些工具的维护任务。KMS可以让你免除维护的压力。

  2. 和 AWS 服务的集成。S3,EBS,RDS的数据加密,都可以使用KMS。同时,它也支持命令行或者API去管理key,进行key的rotate,加密解密等。

  3. 可伸缩性、耐用性和高可用性。KMS会自动帮你保存key多份拷贝,耐用性99.999999999%,同时KMS会在多个AZ部署,保证高可用性。

  4. 安全。KMS在服务端通过硬件加密,保证了你在上面存储的key的安全性。其实现的细节在这里

  5. 审计。对于key的请求,都会被记录在CloudTrail中,方便审计。

可以看到的好处有很多,比如直接把加密过后的private key或者密码扔到repo中,再也不用担心被别人拿去干坏事。

使用 KMS 服务


要使用KMS服务,首先得创建一个新的master key。key是按照region划分, 自己创建key的价格是1刀一个月,每个月的前20000次请求是免费的。

创建新key


在AWS Console -> IAM界面的Encryption Keys中找到创建Key和Key管理的选项,如key的EnableDisable或者删除等。当然,我们可以通过AWS CLI来创建key,这样可以将整个过程用代码管理起来:

  1. 假设AWS account为123456789,指定key policy并保存到文件(e.g policy.json)中

{

"Id": "KeyPolicy-1",

"Version": "2012-10-17",

"Statement": [

{

"Sid": "Allow access for Admin",

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::123456789:root"

},

"Action": [

"kms:Create*",

"kms:Describe*",

"kms:Enable*",

"kms:List*",

"kms:Put*",

"kms:Update*",

"kms:Revoke*",

"kms:Disable*",

"kms:Get*",

"kms:Delete*",

"kms:ScheduleKeyDeletion",

"kms:CancelKeyDeletion"

],

"Resource": "*"

}

]

}

  1. 创建key,并绑定对应的policy

~> aws kms create-key --key-usage "encryption key" --description "master key" --policy "$(cat policy.json)"

返回的内容可能如下


{

"KeyMetadata": {

"KeyId": "aabbccdd-4444-5555-6666-778899001122",

"Description": "master key",

"Enabled": true,

"KeyUsage": "encryption key",

"CreationDate": 2433401783.841,

"Arn": "arn:aws:kms:ap-southeast-2:123456789:key/aabbccdd-4444-5555-6666-778899001122",

"AWSAccountId": "123456789"

}

}

  1. 授权IAM user/role去使用或者管理key,这是除了policy之外的另一种访问管理控制的机制。

{

"Sid": "Allow use of the key",

"Effect": "Allow",

"Principal": {"AWS": [

"arn:aws:iam::111122223333:user/KMSUser",

"arn:aws:iam::111122223333:role/KMSRole",

]},

"Action": [

"kms:Encrypt",

"kms:Decrypt",

"kms:ReEncrypt*",

"kms:GenerateDataKey*",

"kms:DescribeKey"

],

"Resource": "*"

}

  1. 创建alias,可以作为keyid的替身使用

aws kms create-alias --alias-name "alias/test-encryption-key" --target-key-id aabbccdd-4444-5555-6666-778899001122

  1. 使用key去加密文件。加密后的输出为base64编码后的密文,可以进一步解码为二进制文件。

aws kms encrypt --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --plaintext fileb://ExamplePlaintextFile --output text --query CiphertextBlob | base64 --decode > ExampleEncryptedFile

  1. 解密文件,原理如加密的过程。

aws kms decrypt --ciphertext-blob fileb://ExampleEncryptedFile --output text --query Plaintext | base64 --decode > ExamplePlaintextFile

局限性

这种使用KMS的方式只能加密最多4KB的数据。想要加密更大的数据可以使用KMS去生成一个Data Key,然后利用Data Key去加密数据。

使用场景举例

在我们��项目中,在AWS上部署的大多数APP都是(尽量)遵循12factors原则的。应用运行时依赖的配

置是通过user-data传入环境变量设置。在一个instance上启动服务的过程大致如下:

  1. launchConfiguration中为instance添加instanceProfile,对应的role有使用KMS的权限;

  2. user-data中设置cypher text并且解密到环境变量中:


cipher="CiBwo3lXT5T+pTZu7P9Cqkh0Iolpaz9FMzha5jJb6kTdiBKNAQEBAgB4cKN5V0+U/qU2buz/QqpIdCKJaWs/RTM4WuYyW+pE3YgAAABkMGIGCSqGSIb3DQEHBqBVMFMCAQAwTgYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAwIxkIN0TeX1HiWyj0CARCAIVaSfD/spTBFAfBVIp/Wy6TadlwUKKz/oTMWUUob9fcxdg=="

cipher_blob=$(mktemp /tmp/blob.123)

echo -n "${cipher}" | base64 -D > cipher_blob

PASSWORD=$(aws kms decrypt --ciphertext-blob fileb://$cipher_blob \

--query "Plaintext"                        \

--output text                              \

--region ap-southeast-2  | \

base64 -D

)

docker run -d -e PASSWORD=$PASSWORD .......

Data Key的使用


KMS的data key其实比较简单,实际上是KMS生成一段密码,然后返回密码以及master key加密后的base64编码后的结果。Plaintext的内容是密码,CiphertextBlob是master key加密后base64编码的结果。


{

"Plaintext": "XaDqIbBq123456+bujcfVo8K/0l/jMjIu+EjRXVvEY=",

"KeyId": "arn:aws:kms:ap-southeast-2:351339750357:key/911014f9-7f4a-4327-9cca-2a71e09a103d",

"CiphertextBlob": "CiBrnpSZxaF1w99LXbTuTSya3234234234234aq/LVdsInxKnAQEBAwB4a56UmcWhdcPfS1207k0smt287Q0Rd+o3O2qvy1XbCJ8AAAB+MHwGCSqGSIb3DQEHBqBvMG0CAQAwaAYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAzKeSDehF9pXwNJuDYCARCAOwzn9T+s6yS2odh0WKIz98scxHnofzTyxAdpxyOit1Z6VSjv9KroTsqBX/bu+gX24NIoA2lLnN7mn1EY"

}

在本地用Plaintext作为密码,用对称性加密的方式加密文件,然后把密码的内容删掉,在有需要的时候用KMS把CiphertextBlob中的内容解密出来,再利用这个密码解密文件。


openssl enc -aes-256-cbc -salt -in SECRET_FILE -out SECRET_FILE.enc -pass pass:data_key_plain_text

openssl enc -aes-256-cbc -salt -in SECRET_FILE.enc -out SECRET_FILE -d -pass pass:data_key_plain_text

你可能感兴趣的:(AWS KMS介绍及其用法)