AWS数据纵深防御篇-如何配置EBS整合KMS的静态加密
几个月前,AWS Key Management Service(AWS KMS)服务终于在AWS中国上线。不同于全球区的KMS服务,在中国区的是一项使用中国政府批准的硬件安全模块保护密钥安全的托管服务,并且使用了合规的加密算法。加密密钥可以用于加密用户的应用程序,也可用于加密和保护其他AWS服务。Amazon Elastic Block Store (EBS) 对于用户的Amazon EBS卷提供了加密的解决方案,正是使用了KMS的加密服务。在对EBS卷启用加密后,用户不用为了安全考虑再去搭建和维护一套安全系统来实现块存储的加密。此项EBS卷加密服务也随着AWS KMS的服务在中国区上线一同发布。
当创建一个加密的Amazon EBS卷时,用户可以使用KMS中的 AWS 托管的密钥(AWS managed keys)或者客户管理的密钥(Customer managed keys)。如果用户使用的是客户管理的密钥,还能使用到其他更多的密钥功能,例如每年自动轮询密钥服务。更多的关于创建客户管理的密钥请参考创建密钥。EBS卷解密主要发生在EC2运行的虚拟化主机上,数据根据需要进行解密,然后存储在其内存中,这有助于用户保护EBS卷上保存的所有数据,同时帮助用户更加容易的获取一些安全合规认证。
在本篇文章中,我们将分别从AWS管理控制台、AWS命令行和SDK三方面分别介绍如何使用客户管理的密钥创建一个加密的Amazon EBS卷。
在EC2 控制台上创建一个加密的Amazon EBS卷:
参照以下步骤去启动一个客户管理的密钥加密的EC2实例:
1.登录到AWS管理控制台,打开EC2控制台,
2.选中启动实例,然后在向导的步骤1中,选中一个Amazon 系统映像 (AMI)
3.在向导的步骤2中,选择一个实例类型,然后提供额外的配置信息。
4.在向导的步骤3中,对于配置的详细信息,参照启动一个实例。
5.在向导的步骤4中,提供额外的你想要挂载到你的实例上的EBS卷。创建一个加密的Amazon EBS卷,首选需要使用添加新卷创建一个新卷。
6.在加密的参数设置里面,从下拉菜单中选择你之前创建的密钥。
7.选择下一步添加标签或者直接选择审核和启动去启动实例。
以AWS CLI或者SDK的方式创建一个加密的Amazon EBS卷:
你也可以使用RunInstances去启动一个带有加密Amazon EBS卷的实例,在启动过程中需要特别注意将Encrypted属性设置到true,并且添加kmsKeyID。例如:
在这个例子里面,mapping.json 描述了创建的EBS卷的属性:
更多详细内容,请参考以下文档:
AWS Key Management Service API Reference
AWS KMS in the AWS CLI Reference
本篇作者
相关文章
- TKE容器服务添加节点cvm spotpaid type not support
- Mac电脑沙盒模拟生存游戏:人类黎明Dawn of Man
- 罗马数字对照表
- 高并发核心编程SpringCloud+Nginx秒杀实战,秒杀系统的系统架构
- 如何制作全景照片?DoubleTake mac版轻松制作全景图像
- 2023 年云计算趋势
- 长这么大才读懂高并发核心编程,限流原理与实战,Nginx漏桶限流
- 苹果Mac电脑重复图像太多PhotoSweeper X 快速清除重复图像
- 「轻云之上,无尽想象」之换种思路去求职/云上作品集
- System Dashboard for mac(系统状况检测工具)
- rust字符串
- 牛啊!长这么大还是头一次见24W字的SpringBoot从入门到实战文档
- 用了这么久 IDEA,你竟然不知道 Live Templates ?
- 图扑数字孪生水利工程,助力水资源合理利用
- 关于现代浏览器的 back-and-forward 缓存机制
- 不懂技术有机会进 SAP 吗?
- 测试用例该怎么设计?—— 日常加更篇(上)
- Zabbix与乐维监控对比分析(八)——其他功能篇
- 保姆级系列教程-玩转Charles抓包神器教程(2)-charles安装激活(Mac)最新简单教程
- 《爆肝整理》保姆级系列教程-玩转Charles抓包神器教程(3)-再识Charles