Мне нужно передать токен доступа и зашифрованный ключ данных.
Действительно, вам необходимо пройти аутентификацию и авторизацию клиента перед вызовом любой службы AWS.
Может быть, вы могли бы уточнить, что вы подразумеваете под токеном доступа amazon . На самом деле вам нужно хранить ключ доступа и секретный доступ, а также (временно) токен сеанса, чтобы правильно авторизовать сервис. Я предполагаю, что под «токеном доступа amazon» вы подразумеваете учетные данные клиента.
Где можно безопасно хранить токен доступа amazon и зашифрованный ключ данных?
Для данных ключ - ключ зашифрованных данных может храниться / отправляться вместе с данными (если вы генерируете новый ключ для каждого шифрования) или в виде конфигурации (если вы планируете повторно использовать ключ), он уже надежно зашифрован.
Если ваш клиент (код с использованием KMS) работает в инфраструктуре AWS, вы можете использовать роли служб , чтобы разрешить доступ из службы к службе KMS без сохранения учетных данных идентификации. в явном виде. Это стандартный (и лучший) способ, если клиент работает и на AWS.
Если вы обращаетесь к службам KMS извне AWS, ваше приложение должно иметь учетные данные клиента. Как уже отмечалось, теоретически вы также можете использовать Secret Manager, но тогда вам все равно понадобятся учетные данные для доступа к этой службе.