关注公众号:AWS爱好者(iloveaws)
文 | 沉默恶魔(禁止转载,转载请先经过作者同意)
网站:www.iloveaws.cn
Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》
在上节课我们在KMS管理控制台中创建了一个CMK客户主密钥,并定义了密钥管理员及密钥用户。
这节课将使用这个CMK进行加密和解密的操作演示。
我们开始今天的课程内容。
我们在上节课创建了一个IAM用户kms-test ,并将这个用户配置成为创建的CMK的密钥用户。
接下来的内容,我们要在aws cli使用kms-test用户的访问密钥,通过aws cli命令来演示加密和解密数据。
首先我们要在aws cli中配置kms-test用户的访问密钥:
切换到终端,运行 aws configure,然后将kms-test用户的访问密钥复制进来。
进入IAM->用户->kms-test->安全证书,创建访问密钥,然后将访问密钥ID复制到AWS CLI,然后复制私有访问密钥.
接下来是AWS区域配置,因为我们在配置KMS生成CMK是在首尔(ap-northeast-2)区域,所以我们要在CLI中配置区域为ap-northeast-2,需要和创建CMK配置同一区域。
好的,我们现在完成了将kms-test用户的访问密钥配置至aws cli。
在终端中运行 aws kms list-keys 命令,命令返回为access denied,操作被拒绝,提示kms-test用户没有相应的权限,因为我们目前没有为该用户添加kms相应权限。
访问IAM控制台,我们现在为该用户添加权限,IAM->用户->kms-test->权限,添加内联策略,服务选择KMS,操作选择listkeys,然后下一步查看策略,名称输入kmslistkeys,然后完成策略的创建。现在kms-test用户就拥有kmslistkeys权限。
我们回到终端再次运行aws kms list-keys 命令,可以看到已经成功将我的账户在这个区域的cmk全部列出来了。那我们之前创建的CMK是哪一个呢,我们到KMS控制台来看一下密钥ID,尾数后四位4960,所以AWS CLI命令返回中间的这个CMK是我们上节课创建的。
接下来,我们使用这个CMK来进行加密操作,我们需要使用相应的AWS CLI命令来达成。
看过之前课程的同学都知道,可以通过AWS CLI命令参考页面找到这些命令。
打开kms cli命令参考页面,我们看下,在后面可用命令这里,我们这节课关注的是kms encrypt和decrypt,加密、解密对应的KMS命令,分别打开相应的页面。
先演示加密操作,切换到kms encrypt页面,这个页面包括命令描述,参数、命令选项,示例等等。
我们看下加密命令摘要,有两个必有选项:
key-id ,后面需要指定我们创建的cmk的密钥ID,使用此CMK进行加密。
plaintext, 后面指定需要加密的明文内容。
切换到终端,我们运行下命令。
aws kms encrypt --key-id 231973f0-4cbe-4ef5-8ac3-0ef3f8164960 --plaintext “www.iloveaws.cn”
参数key-id 后面内容为我们使用的CMK的密钥ID
参数plaintext 后面我们输入一个想要加密的明文内容,我们就输入 “www.iloveaws.cn”,然后执行。
我们看下命令的返回结果,包括CiphertextBlob和keyid,以及EncryptionAlgorithm加密算法。
CiphertextBlob这个密文blob的内容就是我们命令指定的plaintext内容www.iloveaws.cn加密后的base64编码的密文。
我们现在只需要CiphertextBlob的内容,不需要命令返回密钥ID以及加密算法,修改下命令,在命令后面加上 query CiphertextBlob ,执行命令:
aws kms encrypt --key-id 231973f0-4cbe-4ef5-8ac3-0ef3f8164960 --plaintext “www.iloveaws.cn” --query CiphertextBlob
看下返回结果。现在的返回结果只包括了加密后的密文blob,但是内容两边的引号也不是密文的内容,所以我们还需要在命令后添加一个选项,让命令返回的结果不包括加密密文两边的引号,需要再命令后添加–output text ,我们执行下命令:
aws kms encrypt --key-id 231973f0-4cbe-4ef5-8ac3-0ef3f8164960 --plaintext “www.iloveaws.cn” --query CiphertextBlob --output text
好的,现在命令返回的内容就只有加密后的密文blob内容。
我们现在进行加密的最后一步,现在加密命令返回的密文内容是基于base64编码的,如果后面要使用AWS CLI进行解密,就需要将base64编码进行解码为二进制文件,需要在命令后面加入 | base64 –decode 参数。
我们来操作下,在命令后面添加 | base64 –decode,然后我们将解码后加密的内容输出至一个文件,encrypttest文件,运行命令:
aws kms encrypt --key-id 231973f0-4cbe-4ef5-8ac3-0ef3f8164960 --plaintext “www.iloveaws.cn” --query CiphertextBlob --output text | base64 --decode > encrypttest
我们尝试查看下生成文件encrypttest的内容,less encrypttest ,可以看到为二进制文件,无法查看该文件的内容。
好的,目前我们已经通过aws cli 命令,使用kms-test用户将明文www.iloveaws.cn内容加密,将加密密文生成至encrypttest文件。
接下来我们要对之前加密的内容进行解密,同样切换到aws cli kms decrypt命令参数页面 ,看下解密的命令参数。
同样在解密命令摘要这里,命令必选的参数为–ciphertext-blob,通过–ciphertext-blob参数指定需要解密的密文,我们切换到终端,进行解密操作。
输入命令:
aws kms decrypt --ciphertext-blob fileb://encrypttest
ciphertext-blob 后面要指定之前加密步骤生成的密文文件,通过fileb://来指定,然后执行命令。
我们看到命令返回时包括KEYID,plaintext以及加密算法。
同样,我们只需要plaintext明文的内容,在命令后加入参数 query Plaintext 和 output text ,输入命令:
aws kms decrypt --ciphertext-blob fileb://encrypttest --query Plaintext --output text
看下命令返回结果,可以看到现在已经能成功只将plaintext的内容返回,同样,返回的是base64编码的内容,我们进行下解码,在运行命令后追加| base64 —decode ,然后运行命令:
aws kms decrypt --ciphertext-blob fileb://encrypttest --query Plaintext --output text | base64 --decode
可以看到命令已经成功将我们之前加密的明文内容www.iloveaws.cn解密。
好的,以上我们通过aws cli kms命令,完成了加密和解密操作的演示,在整个演示的过程中,使用的主密钥一直存储在KMS中,由AWS进行保存,我们并没有接触到主密钥,而是通过密钥ID来进行加密操作,这也在一定程度上保障了主密钥的安全性。
演示中使用的加密、解密的cli命令和参数都可以通过aws cli命令参考页面查询到,也希望有条件的同学可以自己动手操作一下,这样有利于知识的掌握。
以上,就是本节课的所有内容。
希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:
关注公众号:AWS爱好者(iloveaws)
文 | 沉默恶魔(禁止转载,转载请先经过作者同意)
网站:www.iloveaws.cn