问题标签 [aws-kms]

我正在构建一个服务，该服务分布在多台机器上，这些机器登录到其他目标机器并执行操作（写入文件、运行 shell 脚本等）。

目前，我已将此服务配置为使用用户名和密码作为身份验证的一种形式，以对目标机器进行 ssh-ing，但它需要在目标机器上进行一些额外的引导才能使其正常工作。我想转向公钥/私钥身份验证模型。

我的问题是，由于该服务分布在多个主机上，将私钥存储在安全位置（例如使用 AWS KMS 或某些类似服务）并让我的每台机器从该安全位置读取数据是不好的做法，或者我的每台机器都应该有一个私钥吗？

我正在尝试查找有关如何将 AWS iOS SDK 与 KMS 一起使用的示例或模式，但没有结果。

iOS SDK 文档在这里：

https://aws.amazon.com/developers/getting-started/ios/
https://github.com/aws/aws-sdk-ios

似乎暗示了 S3 和 EC2 示例，但没有一个单独的 KMS 示例。

建议？

由于多种原因，我无法使用 AWS 开发工具包，不得不对 API 进行休息调用。我已经弄清楚了身份验证，但需要了解要调用哪些资源。大多数 AWS 文档都指向他们的开发工具包。我怎样才能确定休息调用，比如 AWS 密钥管理 (KMS)？

我通过 REST + 预签名的 url 使用 AWS KMS，似乎无法让它返回除 XML 之外的任何内容。我真的更喜欢 JSON。我的网址看起来像：

建议？

假设我在数据库服务器中有需要加密的敏感数据（例如电子邮件等），并且我想确保在服务器被入侵的情况下，攻击者应该无法解密这些数据（至少让它更难）。

我已经在网上阅读了一些解决方案，似乎我也可以

使用硬件安全模块（即 Amazon KMS/Vault）让单独的服务器处理加密/解密。使用公钥加密（数据库服务器中的公钥加密数据，私钥存储在单独处理解密的单独服务器中）彼此之间的权衡是什么，您会选择哪一个？

如何从密文 blob 中获取 KMS 密钥信息？

以aws网站为例

AWS KMS 文档

有什么方法可以查看 ExampleEncryptedFile 并确定使用哪个 KMS 密钥对其进行加密？

我问是因为我在读取我加密的内容时遇到问题，我想验证它是否使用我认为的密钥加密。

我正在使用命令：

我得到错误

MalformedPolicyDocumentException

我认为是因为我不了解 value–policy参数的含义。我可以参考任何链接吗？

亚马逊表示_

加密和解密是透明处理的，因此您无需修改​​应用程序即可访问您的数据

我的应用程序（Rails、MySQL、Elasticsearch）构建了大量图形，因此查询了大量数据。根据我之前在数据库加密方面的经验，它确实会影响数据检索速度（我们只能说在读取和解密后记录是否匹配条件）。

有没有相关的基准？或者，也许您曾经使用过 AWS 的这种服务器端加密？我是否需要担心性能变化？

此外，我还不太清楚是否可以以相同的“透明”方式加密 Elasticsearch 数据。我也会使用你的建议

我将使用我的 Rails/Mysql/Elasticsearch 来处理一些敏感数据，所以我想加密我的静态数据。

我很清楚，我可以使用 AWS KMS加密 Mysql 中的数据。对我来说重要的是，这种加密对我的应用程序是透明的。

但现在我关心的是 Elasticsearch 收集的索引和数据。有没有类似的方法来透明地加密数据？

我对 Elasticsearch-as-an-application 和AWS Elasticsearch-as-service的解决方案都感兴趣，因为我还没有决定我将使用什么。

我进入控制台，转到 IAM 管理，加密密钥：它说：“您当前没有订阅 AWS 密钥管理服务。单击此处订阅。” 我点击，它让我回到控制台的家。

我已获得所有安全状态批准，并且我拥有 S3 权限，还有其他事情要做吗？或者有人知道如何解决这个问题吗？