问题标签 [amazon-kms]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-s3 - 无法通过 CDK 创建具有 KMS_MANAGED 密钥和 bucketKeyEneabled 的 S3 存储桶
我有一个具有此配置的 S3 存储桶:
我正在尝试通过 CDK 创建具有相同配置的存储桶:
但我收到了这个错误:
错误:指定了bucketKeyEnabled,因此必须将“加密”设置为KMS(值:MANAGED)
这对我来说似乎是一个错误,但我对 CDK 比较陌生,所以我不确定。我做错了什么,还是这确实是一个错误?
amazon-web-services - AWS KMS - 为什么我在尝试加密数据时需要“kms:Decrypt”权限?
我注意到在以下两种情况下:
- S3 -
PutObject到一个加密的桶。 - SQS -
SendMessage加密队列。
我需要有kms:Decrypt权限(除了kms:GenerateDataKey权限),否则会抛出“未经授权”的异常。
为什么会这样?
amazon-kms - 如果通过 AD 激活 KMS 激活计数不会更新
我们在 AWS 中启动了一个新的 2016 服务器,用于 Windows 10 机器的 KMS 激活。
几次手动激活后,在 Active Directory 中创建了服务记录。但是计数没有在 KMS 服务器中更新。数天数显示为 6。现在它是 0。激活 Windows 10 没有问题,只要将机器添加到域,激活就会直接发生。
有没有办法在 KMS 服务器中更新计数?
amazon-web-services - 了解 IAM 主体
我试图了解以下策略的特殊含义Principal Service,我已将其附加到 AWS KMS 密钥。
这是否意味着我的软件(在 fargate 的 docker 内运行)可以调用此 KMS 密钥来加密数据?
或者
是不是说ecs本身可以调用这个KMS密钥来加密一些东西呢?
laravel - 如何处理 laravel 中的加密数据列
我正在使用 AWS KMS 为每个用户的会话生成唯一的密钥对,然后对定义为使用开放 ssl 加密的每一列进行加密。因此,我实现了以下特征,它加密和解密getEncryptAttributes在保存/检索时定义的字段:
这EncryptionService是一个单例,它将在会话的整个生命周期中使用相同的密钥。如果会话中没有可用的密钥,它将连接到 AWS STS 并为此会话获取新令牌。
我们不能使用 aurora DB 的默认 AWS 加密,因为数据必须以加密状态通过网络,并且每个用户的数据必须独立加密。
现在在实践中,加密和解密在存储某些东西时起作用,然后再次重新加载和读取数据。但是当我有这样的事情时:
观察者显然会修改加密的saving属性,但我只想加密实际进入数据库的内容,但保留本地状态。否则,例如多次保存时,它也会再次加密二进制数据,而不是使用实际属性。
有没有办法按照我前进的方向实现这一目标,或者您是否建议采用完全不同的设计来实现部分加密的数据库?
编辑:有时,提问可以帮助我的大脑。我认为雄辩的模型具有finishSave触发saved事件的方法。所以我添加了static::savedtrait 并在那里解密。似乎工作。不过,您是否发现此设计存在任何潜在缺陷,或者您是否有经验通常如何实现这一点?
amazon-web-services - 使用 KMS 的 AmazonFraudDetector 数据加密
我正在探索 AmazonFraudDetector 并且对他们的文档感到困惑,也许是因为我是 AWS 新手,可能缺少一些知识。我需要强制执行数据加密(我向 AmazonFraudDetector 发出的预测请求)。在此处浏览文档:https ://docs.aws.amazon.com/frauddetector/latest/ug/key-management.html
看起来有可能,但客户需要调用 AmazonFraudDetector 的“PutKMSEncryptionKey”API,我在这里感到困惑:
- 客户是否需要在每个预测请求中调用 PutKMSEncryptionKey?如果是,为什么不允许它作为预测请求中的可选参数。
- 对于给定的“检测器”,客户端是否需要在生命周期中仅调用一次此 API -> 我认为是这种情况。如果是,为什么在创建欺诈检测器客户端时不允许将其作为选项参数。无论如何,密钥未附加到任何检测器,不确定客户端是否可以跨检测器在单个区域中使用多个密钥。
amazon-web-services - 使用 AWS KMS 生成 HMAC-SHA256
我想使用 AWS KMS 生成纯文本的 HMAC-SHA256 值。
这可以做到这一点并且无需旋转吗?因为,我只想使用一个键来散列所有纯文本。我对 AWS KMS 了解不多,如果可能的话,您能否分享一些关于使用 KMS 生成 HMAC 的资源。
amazon-web-services - 如何在 AWS 上创建客户管理的客户主密钥 (CMK)
在 Route 53 中创建密钥签名密钥 (KSK) 时,需要创建客户管理的客户主密钥 (CMK)(使用客户管理的 CMKs for DNSSEC)
客户管理的 CMK 必须是具有 ECC_NIST_P256 密钥规范的非对称 CMK。
尝试创建 CMK 时,我得到“不支持 KeySpec ECC_NIST_P256”
您如何创建 CMK 密钥以创建 KSK?
amazon-s3 - AWS CDK `Bucket.encryptionKey?.arn` 不返回值,尽管有与之关联的加密密钥
我有一个在不同堆栈中定义/管理的存储桶。存储桶由 KMS 中管理的密钥加密。在我自己的堆栈中,我正在尝试创建一个角色并分别授予该角色对存储桶和密钥的读取和解密权限。
我引用桶和密钥如下:
我使用密钥 arn 为我的角色创建策略声明,它始终返回为 ''。我在堆栈中创建了另一个存储桶,当我尝试访问该存储桶的加密密钥时,我得到了该存储桶的正确密钥 arn。
fromBucketName导致这种情况的方法中是否存在错误?我目前必须将密钥的字符串 arn 作为硬编码值存储在我的常量文件中,有没有更好的方法来做到这一点?
python - 使用 python 解密 Amazon SP API 报告文档。AES、CBC、base64
我正在尝试解密报告文档。我有以下解密细节:
使用这些细节,我尝试编写各种代码,给出不同的错误 1。
这显示了以下错误:ValueError:初始化向量必须为 16 字节 我的初始化向量和键在 base64 中。它们的大小分别为 73 和 93
2.
这会产生以下错误:ValueError: Incorrect AES key length (44 bytes)
我该如何解决这个问题?除此之外的任何方法也将非常有帮助
AWS KMS 是否有助于解密此类数据?