Как безопасно хранить токен доступа Amazon для Amazon KMS - PullRequest
0 голосов
/ 31 января 2020

Я изучаю управляемую службу amazon KMS, и она кажется безопасной для хранения мастер-ключа и ключа данных. Я могу расшифровать ключ данных как обычный текст из зашифрованного ключа данных, используя AWS KMS API / CLI.

Но у меня есть одна проблема: чтобы получить доступ к Amazon KMS для расшифровки ключа данных, мне нужно передать маркер доступа и зашифрованный ключ данных.

так Где я могу безопасно хранить токен доступа amazon и зашифрованный ключ данных?

Любые мысли приветствуются.

Спасибо,
Гарри

1 Ответ

1 голос
/ 03 февраля 2020

Мне нужно передать токен доступа и зашифрованный ключ данных.

Действительно, вам необходимо пройти аутентификацию и авторизацию клиента перед вызовом любой службы AWS.

Может быть, вы могли бы уточнить, что вы подразумеваете под токеном доступа amazon . На самом деле вам нужно хранить ключ доступа и секретный доступ, а также (временно) токен сеанса, чтобы правильно авторизовать сервис. Я предполагаю, что под «токеном доступа amazon» вы подразумеваете учетные данные клиента.

Где можно безопасно хранить токен доступа amazon и зашифрованный ключ данных?

Для данных ключ - ключ зашифрованных данных может храниться / отправляться вместе с данными (если вы генерируете новый ключ для каждого шифрования) или в виде конфигурации (если вы планируете повторно использовать ключ), он уже надежно зашифрован.

Если ваш клиент (код с использованием KMS) работает в инфраструктуре AWS, вы можете использовать роли служб , чтобы разрешить доступ из службы к службе KMS без сохранения учетных данных идентификации. в явном виде. Это стандартный (и лучший) способ, если клиент работает и на AWS.

Если вы обращаетесь к службам KMS извне AWS, ваше приложение должно иметь учетные данные клиента. Как уже отмечалось, теоретически вы также можете использовать Secret Manager, но тогда вам все равно понадобятся учетные данные для доступа к этой службе.

...