我需要实现一些零知识的东西,并想知道我是否可以:
- 在我的平台上创建用户
- 创建与此用户关联的 Cognito 用户
- 做一些客户端魔术并将密钥推送到 *any-storage*
- 除了这个特定的用户之外,任何人(甚至 AWS 超级管理员)都不能访问此密钥。
它可以以某种方式实施吗?谢谢!
问问题
175 次
1 回答
1
不。
AWS 账户管理员可以从 AWS 访问任何用户可以访问的任何内容。我能想到几个选择:
使用非对称 KMS 密钥?它们具有私钥永远不会离开 KMS 的漂亮特性(您/用户通过调用 KMS 使用私钥执行所有操作)。
将用户私钥安全地保存在客户端。如果您想在云中存储一些秘密,请在存储之前使用私钥对其进行加密。管理员可以访问它并不重要,因为它是加密的。
于 2020-08-31T23:39:23.737 回答