问题标签 [amazon-kms]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 在 AWS 托管密钥加密的 AWS 跨账户 S3 PutObject 中未找到 KMS 异常
我正在尝试将账户 B 中的 Glue 中的虚拟文件放入账户 A 中的 S3 存储桶中。S3 存储桶(测试存储桶)正在启用 AWS-KMS 加密并启用了 aws/s3 托管密钥。
- 我在账户 A-S3 存储桶(测试存储桶)中添加了以下权限:
- 向账户 B 中的 IAM Glue 角色添加了以下策略
这是我的胶水代码:
从 Account B Glue 运行此代码时出现以下错误:
对此有什么想法吗?
amazon-web-services - 如何在 AWS KMS 中获取加密密钥
我决定管理我的密钥使用 AWS KMS。
我在“客户管理的密钥”处创建了一个密钥并导入了我的密钥(对称密钥)。
我尝试使用 boto3 在我的 python 应用程序中使用导入到 kms 的密钥。但没有办法接收未编码的我的密钥。
我应该如何获得密钥的纯文本。我想知道如何获取我上传到 aws kms 的未编码密钥。
node.js - AWS:无法使用流从 SSE-KMS 加密存储桶下载文件
我有一个配置了启用加密的存储桶:
- 加密密钥类型:AWS Key Management Service 密钥 (SSE-KMS)
- 使用 AWS 托管密钥 (aws/s3)。桶加密配置:
我有使用流在 S3 存储桶上上传/下载文件的 nodejs 项目。问题是我可以成功上传,但是当我尝试使用流下载/获取文件时,它只发出一次“数据”事件,然后发出“结束”事件,但仍有数据可以消耗从下面的日志中看到。你知道为什么会这样吗?
附加信息:
- 当我上传到没有启用加密的存储桶时,它工作正常。
- 我的政策有“kms:Decrypt”
- 我尝试使用 aws cli 上传和下载,并且成功。
- 我们使用 s3.getSignedUrl('getObject', params) 创建文件 URL
- 使用 request.js
下载流:
记录信息:
完整传输统计:
传输的字节数:13170 字节中的 4491 个剩余字节
:8679
平均块大小:4491 字节
估计剩余块:2
平均速度:0.000260375 MB/s 总传输时间:13.127 秒
amazon-web-services - 根据 Terraform 中是否存在某个资源,有条件地设置 IAM 策略
我正在尝试根据 IAM 角色是否存在来设置 KMS 密钥策略。yaml 文件如下所示。
这个 terraform 脚本的问题是,如果myrole我的帐户中不存在它会失败。我们有多个 AWS 账户,其中只有一部分有这个myrole。我们的 CI 将为所有帐户运行相同的脚本。有没有办法仅在myrole存在时应用此语句?
amazon-web-services - AWS Secret Manager 密钥轮换混淆
首先,在来到这里堆栈溢出之前,我已经关注了许多中型文章、aws 文档,并且无法消除我的疑问。我一直在尝试了解密钥管理器的密钥轮换,并且我了解它将如何与 AWS 支持的服务(例如 RDS 数据库)一起使用。我的警告是在存储另一个秘密时要理解。假设我正在尝试将 mongodb 密码存储在秘密管理器中,我是否可以在这种情况下轮换密钥。根据我的理解,我不会,因为每当您更改密码时,即使您使用自定义 lambda 函数来旋转它们,您也无法通过您的应用程序登录到 mongodb。唯一的解决方法是您需要手动转到 mongodb 并将密码更改为新的轮换密码。可能是我没有正确理解它,有人可以帮助我摆脱这种困惑。先感谢您。
snowflake-cloud-data-platform - 三秘密的好处
我想知道在 Snowflake 仓库中应用 Tri-Secret Managed Key 安全性有哪些功能优势?
据我了解:
- Tri-Secret 方法让您定义自己的密钥
- 撤销该密钥将使 Snowflake 无法解密您的数据
但是加密级别是否更安全?我看到的唯一区别是雪花键和您自己的键组合在一起。禁止访问该密钥将使 Snowflake 无法解密,从而使您的数据无用。然后什么?如何从中恢复?
另见:https ://www.snowflake.com/blog/customer-managed-keys/
这是雪花自己的。他们本质上说的是:
- 你有更多的控制权,但你必须为 Snowflake 提供该密钥,否则他们无法完成工作
- 如果您不信任 Snowflake,您可以阻止他们访问您的数据
- 如果有数据泄露,你可以防止进一步泄露(但为什么不关闭所有访问,除了经过重新验证的受信任方???)
我被这个功能所困扰。我从当地雪花代表那里得到的唯一回应是荷兰金融法律/法规规定或至少暗示需要这样做。
问候,理查德。
scala - 使用 kms 加密密钥将数据帧作为 csv 写入 S3,而不提供密钥
我已经通过 spark 数据框创建了 CSV 文件,这些文件会自动加密 KMS。
供您参考,我提供了一个创建这些 KMS 加密文件的示例代码片段。如果您在写作时看到我没有提供任何 KMS 密钥。如果您说出根本原因,这将非常有帮助。
我从 EMR 集群 (emr-5.24.0) 中的 spark-shell 执行的这段代码,spark 版本是 Spark 2.4.2
amazon-web-services - AWS - 您可以将您的 KMS 密钥从一个账户转移到另一个账户吗?
我查看并只发现允许外部帐户使用 KMS 密钥。但我想稍后停用我的旧帐户。是否可以将您的 KMS 密钥从旧帐户转移到新帐户?
非常感谢您提前。
amazon-web-services - KMS get_public_key() UnsupportedOperationException
当我运行以下代码时(KEY_ID 是我从 client.list_keys() 返回的列表中复制并粘贴的 key_id):
我收到以下错误:
任何人都知道我在 get_public_key() 方法中缺少哪些参数?
amazon-web-services - Terraform:如何使用键值输出
我已经为我的问题研究了一个可能的解决方案,但似乎我的更具体。
所以,我有一个aws_kms_key由for_each表达式创建的资源:
没什么特别的,一切正常,但是我不知道如何使用arn创建的密钥的输出。这是我的输出:
我之前使用过for表达式,但在这种情况下,我必须使用索引来分配arnkms 键,这显然不是很好甚至是不可接受的做法。这是我的旧输出方式:
“旧”方式的问题是,创建资源时我只能使用索引访问,当某些事情发生变化时,索引的顺序也在变化,所以当我创建一个键dynamodb并且flowlogsdynamodb 获取键flowlogs时flowlogs取关键dynamodb,完全随机的行为。