AWS KMS не может, начиная с 2020-06-20, напрямую использоваться для управления ключами S SH.
Вы можете использовать KMS для генерации ключей данных RSA и E CC. для операций шифрования на стороне клиента, но вам придется управлять этими ключами самостоятельно.
AWS KMS в настоящее время поддерживает:
- Шифрование с помощью ключей симметричного c (с 2020- 06-20 только AES)
- Цифровая подпись с асимметричными c ключами (по состоянию на 2020-06-20 как RSA, так и E CC)
Клиент KMS главные ключи (CMK) для шифрования на стороне службы (дорого и, вероятно, слишком большая задержка для практического использования от клиента S SH):
AWS KMS поддерживает симметричный c и asymmetri c CMK.
- Symmetri c CMK: представляет один 256-битный секретный ключ шифрования, который никогда не оставляет незашифрованным AWS KMS. Чтобы использовать симметричный c CMK, необходимо позвонить по номеру AWS KMS.
- Asymmetri c CMK: представляет собой математически связанную пару ключей publi c и закрытого ключа, которую можно использовать для шифрования и дешифрования или подписи и проверки, но не одновременно. Закрытый ключ никогда не оставляет AWS KMS незашифрованным. Вы можете использовать ключ publi c в AWS KMS, вызвав операции AWS KMS API, или загрузить ключ publi c и использовать его вне AWS KMS.
Использование assymetri c CMK с S SH потребует модифицированного клиента или плагина, о которых я не знаю, и будет довольно дорогим и медленным.
Ключи данных для использования в клиентских операциях ;
AWS KMS также предоставляет симметричные c ключи данных и асимметричные c пары ключей данных, которые предназначены для использования в криптографии на стороне клиента вне из AWS KMS. Ключ данных симметричный c и закрытый ключ в паре ключей данных асимметрично c защищены с помощью симметрии c CMK в AWS KMS.
- Симметри c ключ данных - Ключ шифрования симметричный c, который можно использовать для шифрования данных за пределами AWS KMS. Этот ключ защищен симметричным c CMK в AWS KMS. * Asymmetri c data key pair - Пара ключей RSA или ellipti c curve (E CC), которая состоит из ключа publi c и закрытого ключа. Вы можете использовать свою пару ключей данных за пределами AWS KMS для шифрования и дешифрования данных или подписывать сообщения и проверять подписи. Закрытый ключ защищен симметричным c CMK в AWS KMS.
Использование асимметричного c ключа данных от KMS было бы более практичным, но для этого потребуется либо модифицированный клиент для использования CMK для его распаковки или потребует от вас управления шифрованием самого ключа на стороне клиента с помощью функций вашего клиента S SH.
Вам также потребуется добавить publi c ключ к хостам, на которые вы входите. Одним из примеров может быть создание CMK с помощью Terraform и использование инициатора null_resource для создания из него асимметричного c ключа данных.
Затем вы можете получить ключ publi c асимметричного c ключа данных и добавьте его в качестве пары ключей в EC2 для использования в экземплярах инициализации.
Это ужасно сложно и вряд ли стоит сложностей. Лучше использовать s sh -keygen локально.