**:www.iloveaws.cn
今天的課程內容信封加密,是kms部分比較重要的內容。
我們開始今天的課程內容。
我們先看下什麼是信封加密。信封加密是類似數字信封技術的一種加密手段。
這種技術將加密資料的資料金鑰封入信封中儲存、傳遞、和使用,不再使用主金鑰直接加解密資料。也就是說,信封加密使用客戶主金鑰生成資料金鑰,然後用離線的資料金鑰在本地加密大量資料,而不再使用主金鑰直接加解密資料。
我們上節課實操演示了使用kms的客戶主金鑰也就是cmk進行加密,將需要加密的明文內容為「www.iloveaws.cn」直接傳送到aws kms中進行加密。那什麼情況下使用信封加密呢?我們來看下:
首先,aws kms支援傳送最大4kb的資料進行直接加密,如果需要加密的資料比較大的話就需要信封加密。
其次,信封加密可提供巨大的效能優勢,當使用 aws kms 直接加密資料時,整個資料必須通過網路進行傳輸。信封加密降低了網路負載,因為通過網路傳送的只有請求,同時傳輸的資料金鑰也更小。避免向 aws kms 傳送整個資料塊並遭遇網路延遲。
最後,將需要加密的資料通過網路傳輸至kms,雖然是通過安全通道通訊,也有可能會在傳輸過程中存在諸多風險,如竊聽、釣魚,且一些組織的安全政策也不允許使用者將資料傳輸至aws進行加密。
以上就是信封加密的定義及主要優勢,我們之前課程提到的整合了 aws kms 的 aws 服務和客戶端工具包,也是使用信封加密的方法來保護資料的。
好的,我們繼續。
我們來看下信封加密是如何工作的。
1、首先,我們建立乙個客戶主金鑰,也就是cmk。
2、cmk生成後,我們使用cmk生成資料金鑰,一旦請求kms生成資料金鑰時,使用者能夠得到乙個明文資料金鑰和乙個密文的資料金鑰,共2個資料金鑰。
3、然後使用明文資料金鑰加密您伺服器上的檔案,生成密文檔案。
4、將密文檔案和密文資料金鑰一同儲存到持久化儲存裝置或服務中。
完成加密後,將明文檔案,以及明文資料金鑰刪除。
以上,是加密流程部分。
當您完成上述加密操作後,只保留密文金鑰和密文檔案,這樣即使密文金鑰和密文檔案被竊取,也無法解密獲得使用者的明文檔案。
接下來我們看下解密的步驟:
1、需要解密檔案時,首先從持久化儲存裝置或服務中讀取密文資料金鑰和密文檔案
2、然後,呼叫kms服務的decrypt介面,解密資料金鑰,取得明文資料金鑰
3、最後,使用明文資料金鑰解密檔案
好的,以上就是信封加密的加密和解密的過程,下面的內容我們快速實操演示下使用cmk生成資料金鑰的操作。
首先,我們需要使用aws cli命令生成資料金鑰,開啟aws cli的kms命令參考頁面,在此頁面的最後【可用命令】部分,開啟generate-data-key命令頁面。
我們前面講過了,通過呼叫generate-data-key命令,kms會返回明文資料金鑰以及密文資料金鑰,然後使用明文資料金鑰加密您自己伺服器上的資料。
我們看下這個命令的摘要,命令需要指定cmk的金鑰id
然後還需要乙個命令引數—資料金鑰的長度,資料金鑰的長度我們測試就使用aes_256,生成256位金鑰。
好的,命令我們看完了,我們先到kms管理控制台複製下cmk的金鑰id,然後切換到終端。
輸入命令:aws kms generate-data-key --key-id 231973f0-4cbe-4ef5-8ac3-0ef3f8164960 --key-spec aes_256
key-id後面指定cmk的金鑰id,我們貼上下,然後key-spec 我們輸入 aes_256 然後執行命令。
好的,可以看到,命令執行後,返回了明文資料金鑰以及密文資料金鑰,然後您就可以使用明文資料金鑰對您的伺服器上的檔案進行加密,加密後您可以將密文資料金鑰和密文檔案一同儲存到持久化儲存裝置或服務中。
需要解密檔案時,使用kms的decrypt介面,將密文資料金鑰解密為明文資料金鑰,在使用明文資料金鑰為本地檔案解密。
好的,以上就是我們今天的課程內容,我們今天講了kms-信封加密的內容以及加解密的流程,並對生成資料金鑰進行了實操演示。
信封加密在kms服務部分是非常重要的內容,在考試中也會有相應的考點,希望本節課程會為同學們理解信封加密帶來幫助。
希望此系列教程能為您通過 aws解決方案架構師認證 professional 認證考試帶來幫助,如您有任何疑問
**:www.iloveaws.cn
加密生成指定長度 KMS信封加密
今天的課程內容信封加密,是kms部分比較重要的內容。我們開始今天的課程內容。我們先看下什麼是信封加密。信封加密是類似數字信封技術的一種加密手段。這種技術將加密資料的資料金鑰封入信封中儲存 傳遞 和使用,不再使用主金鑰直接加解密資料。也就是說,信封加密使用客戶主金鑰生成資料金鑰,然後用離線的資料金鑰在...
KMS 加密解密
kms 加密解密 2019 07 04 chenxin 參考 pdf在磁碟裡 api,sdk參考 boto3參考 術語和概念 kmskey management service aws kms cmkcustomer master key 客戶主金鑰 cmk 通過kms來管理你的cmk.aws 賬戶...
KMS啟用工具
kms vl all,國外mdl論壇的一款kms啟用工具,可自動識別需要啟用的windows以及office的vl版本,無需聯網即可全自動檢測啟用,支援建立自動續期計畫,相比於國外的同類工具,體積小 開源 簡潔 操作簡單 無殘留檔案經眾多測試推薦,此指令碼啟用成功率非常高。版本更新只v7.0 支援啟...