KMS信封加密

KMS信封加密

原創

2020-06-08 19:08

關注公衆號：AWS愛好者（iloveaws）
文 | 沉默惡魔（禁止轉載，轉載請先經過作者同意）
網站：www.iloveaws.cn

Hello大家好，歡迎來到《AWS解決方案架構師認證 Professional(SAP)中文視頻培訓課程》，我們在前面的課程討論了AWS KMS服務，以及實操演示了使用KMS生成的CMK客戶主密鑰進行加密、解密的操作。

今天的課程內容信封加密，是KMS部分比較重要的內容。

我們開始今天的課程內容。

什麼是信封加密？

我們先看下什麼是信封加密。信封加密是類似數字信封技術的一種加密手段。

這種技術將加密數據的數據密鑰封入信封中存儲、傳遞、和使用，不再使用主密鑰直接加解密數據。也就是說，信封加密使用客戶主密鑰生成數據密鑰，然後用離線的數據密鑰在本地加密大量數據，而不再使用主密鑰直接加解密數據。

我們上節課實操演示了使用KMS的客戶主密鑰也就是CMK進行加密，將需要加密的明文內容爲“www.iloveaws.cn”直接發送到AWS KMS中進行加密。那什麼情況下使用信封加密呢？我們來看下：

首先，AWS KMS支持發送最大4KB的數據進行直接加密，如果需要加密的數據比較大的話就需要信封加密。
其次，信封加密可提供巨大的性能優勢，當使用 AWS KMS 直接加密數據時，整個數據必須通過網絡進行傳輸。信封加密降低了網絡負載，因爲通過網絡發送的只有請求，同時傳輸的數據密鑰也更小。避免向 AWS KMS 發送整個數據塊並遭遇網絡延遲。
最後，將需要加密的數據通過網絡傳輸至KMS，雖然是通過安全信道通信，也有可能會在傳輸過程中存在諸多風險，如竊聽、釣魚，且一些組織的安全政策也不允許用戶將數據傳輸至AWS進行加密。
以上就是信封加密的定義及主要優勢，我們之前課程提到的集成了 AWS KMS 的 AWS 服務和客戶端工具包，也是使用信封加密的方法來保護數據的。

好的，我們繼續。

信封加密的工作流程

我們來看下信封加密是如何工作的。

1、首先，我們創建一個客戶主密鑰，也就是CMK。
2、CMK生成後，我們使用CMK生成數據密鑰，一旦請求KMS生成數據密鑰時，用戶能夠得到一個明文數據密鑰和一個密文的數據密鑰，共2個數據密鑰。
3、然後使用明文數據密鑰加密您服務器上的文件，生成密文文件。
4、將密文文件和密文數據密鑰一同存儲到持久化存儲設備或服務中。

完成加密後，將明文文件，以及明文數據密鑰刪除。

以上，是加密流程部分。

當您完成上述加密操作後，只保留密文密鑰和密文文件，這樣即使密文密鑰和密文文件被竊取，也無法解密獲得用戶的明文文件。

接下來我們看下解密的步驟：

1、需要解密文件時，首先從持久化存儲設備或服務中讀取密文數據密鑰和密文文件
2、然後，調用KMS服務的Decrypt接口，解密數據密鑰，取得明文數據密鑰
3、最後，使用明文數據密鑰解密文件

好的，以上就是信封加密的加密和解密的過程，下面的內容我們快速實操演示下使用CMK生成數據密鑰的操作。

實操演示：CMK生成數據密鑰

首先，我們需要使用aws cli命令生成數據密鑰，打開aws cli的kms命令參考頁面，在此頁面的最後【可用命令】部分，打開generate-data-key命令頁面。

我們前面講過了，通過調用generate-data-key命令，KMS會返回明文數據密鑰以及密文數據密鑰，然後使用明文數據密鑰加密您自己服務器上的數據。

我們看下這個命令的摘要，命令需要指定cmk的密鑰ID
然後還需要一個命令參數—數據密鑰的長度，數據密鑰的長度我們測試就使用AES_256，生成256位密鑰。

好的，命令我們看完了，我們先到KMS管理控制檯複製下CMK的密鑰ID，然後切換到終端。

輸入命令：aws kms generate-data-key --key-id 231973f0-4cbe-4ef5-8ac3-0ef3f8164960 --key-spec AES_256

key-id後面指定CMK的密鑰ID，我們粘貼下，然後key-spec 我們輸入 AES_256 然後運行命令。

好的，可以看到，命令執行後，返回了明文數據密鑰以及密文數據密鑰，然後您就可以使用明文數據密鑰對您的服務器上的文件進行加密，加密後您可以將密文數據密鑰和密文文件一同存儲到持久化存儲設備或服務中。

需要解密文件時，使用KMS的decrypt接口，將密文數據密鑰解密爲明文數據密鑰，在使用明文數據密鑰爲本地文件解密。

好的，以上就是我們今天的課程內容，我們今天講了KMS-信封加密的內容以及加解密的流程，並對生成數據密鑰進行了實操演示。

信封加密在KMS服務部分是非常重要的內容，在考試中也會有相應的考點，希望本節課程會爲同學們理解信封加密帶來幫助。

希望此係列教程能爲您通過 AWS解決方案架構師認證 Professional 認證考試帶來幫助，如您有任何疑問

關注公衆號：AWS愛好者（iloveaws）
文 | 沉默惡魔（禁止轉載，轉載請先經過作者同意）
網站：www.iloveaws.cn

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

什麼是信封加密？

信封加密的工作流程

實操演示：CMK生成數據密鑰

AWS中負載均衡器類型

AWS Limit Monitor部署實戰，AWS limits智能管家

創建跨賬戶IAM角色訪問（Creating Cross-Account IAM Roles）

AWS集中式日誌存儲架構

企業的多賬戶策略（Multi-Account Strategy for Enterprises）

Mac下配置sublime實現LaTeX

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結