问题标签 [aws-kms]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
1545 浏览

amazon-web-services - Packer kms_key_id for ebs volumes

I'm trying to use packer to build an AMI with encrypted EBS volumes (but not an encrypted root volume). The packer documentation says:

kms_key_id (string) - The ID of the KMS key to use for boot volume encryption. https://www.packer.io/docs/builders/amazon-ebs.html#kms_key_id

If I supplied a kms_key_id and mark the desired ebs volumes' ami_ and launch_block_device_mappings as encrypted, will packer use that kms key? Or will a default CMK key be used?

0 投票
2 回答
1079 浏览

amazon-web-services - 如何从 EMR 加密 S3 中的数据而无需在请求标头中提及 sse 和 key-id?

我创建了一个启用了 Amazon S3 SSE-S3 的 EMR 集群。

我也配置了

emrfs-site.xml

我正在将我的数据如下写入 s3

这将保存我使用 kms 加密的数据,但我不想发送任何加密参数,并且从当前 EMR 集群发送的任何数据都应该加密。只需通过

无论如何我该怎么做?

0 投票
1 回答
1194 浏览

amazon-web-services - 将数据插入 KMS 加密强制存储桶时 Presto S3 AccessDenied

我在 AWS s3 上有一个存储桶,它强制对所有对象进行 KMS 加密。我在 emr-5.2.1 上运行 Presto

我在 s3 上有外部表(没有数据)。当我使用

我收到 AccessDenied 错误。我测试了几个不同的选项并获得支持,但没有运气。如果我从存储桶中删除策略 Presto 工作正常,但在 s3 上创建的文件未加密。

Presto 在读取加密的外部 s3 表或在 hdfs 上本地创建它们时没有任何问题。我不能允许未加密的数据。

策略示例:

http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html

Presto 配置 /etc/presto/conf/catalog/hive.properties

...

我是否在配置中遗漏了某些内容,或者 Presto 在插入表格时没有使用 KMS?

根据亚马逊的说法:“如果对受 AWS KMS 保护的对象的所有 GET 和 PUT 请求不是通过 SSL 或使用 SigV4 发出的,它们都会失败。”

0 投票
1 回答
6075 浏览

git - 有没有办法在 Windows 上的 Jenkins 中通过 SSH 使用 AWS KMS 进行密钥管理?

我们在 Windows 下有一个 Jenkins 设置,它有一个主实例和一个工作实例,每个实例都在 AWS 的 EC2 上运行。我们在每个实例中设置了一个单独的帐户,该帐户用于在每个实例上运行 Jenkins 服务。我们使用 Git bash 通过 SSH 生成密钥并将公钥复制到 Bitbucket,从而允许主实例从存储库中获取 Jenkinsfile,并允许工作实例获取整个存储库以进行构建。目前,我们手动生成密钥,它们位于服务器上(位于我们的防火墙后面),但为了使脚本简单,密钥缺少密码。我们对此的舒适度非常低,因此我们正在寻找其他选择。我们知道 AWS 有 KMS,它允许我们生成和轮换我们的密钥,但我们不确定如何将 ssh 与 AWS KMS 连接起来。

0 投票
4 回答
12613 浏览

amazon-web-services - 新的密钥策略以后将不允许您更新密钥策略

标题说明了一切。每当我尝试通过 AWS CloudFormation 模板创建 KMS 密钥时,都会收到此错误。我以具有管理权限的 IAM 用户身份创建模板,并且我希望该密钥可由具有 KMS 权限的同一 AWS 账户中的任何 IAM 用户管理。我正在为密钥使用以下 YAML 资源定义:

<Principal>然而,即使我尝试以 root 用户身份创建堆栈,以下值都不起作用!

  • !Join [ "", [ "arn:aws:iam::", !Ref "AWS::AccountId", ":root" ] ]
  • !Join [ "", [ "arn:aws:sts::", !Ref "AWS::AccountId", ":root" ] ]
  • !Ref "AWS::AccountId"

我不能只为 Principal 硬编码我的用户名,因为我希望任何具有堆栈创建权限的人都可以实例化此模板。有谁知道如何解决这个非常令人沮丧的情况?提前致谢。

编辑

我应该提一下,我不再在 CloudFormation 模板中定义 KMS 密钥策略。事实上,我现在完全避免在我的 CF 模板中定义任何安全资源,例如 IAM 实体、策略和 ACM 证书。我的原因在这个GitHub 问题中有所描述。

0 投票
0 回答
803 浏览

python - 具有正确密钥和算法的 S3 的 boto3 密钥错误

我有以下模块:

我不断收到以下错误:

有什么我做错了吗?

博托版:boto3==1.4.4

PS:是的,密钥是正确的。我检查了很多次。

0 投票
0 回答
91 浏览

chef-infra - 带有 Chef 12.5 或更高版本的 AWS 开发工具包

过程: 1. 将经过 aws-kms 加密的密码作为默认属性存储在数组中。

  1. 在运行时使用存储在受保护位置 .aws/creds 中的凭据解密

  2. 将明文数组设置回节点数组

  3. 解析模板中的节点数组
  4. 丢弃明文密码

我正在尝试引用在另一个资源的自定义资源中设置的 node.runstate 变量。

自定义资源:

在此自定义资源运行后。我想让它更新默认属性为纯文本值(它是数组的一部分),然后我想将此变量传递给模板资源。

0 投票
0 回答
551 浏览

hive - 镶木地板加密在 AWS EMR 中如何工作?

我正在查看有关在 EMR 上启用加密的 AWS 文档,但我找不到任何有关这如何影响 Parquet 文件性能的信息。EMR 在优化查询时还能利用 Parquet 吗?

例子:

只会扫描 parquet 文件中的元数据,不需要下载整个文件。

只会获取该特定列的数据。

当文件被加密时,这怎么可能?

0 投票
1 回答
286 浏览

amazon-web-services - 限制 AWS API 密钥仅从 EB 环境或 VPC 访问 KMS

我想将 API 密钥限制为只能在我的 Elastic Beanstalk 环境中工作。我尝试使用 VPC 条件,但这不起作用,文档说它并不总是可用(所以我猜不在 EB 中)。

在某种程度上,通过将公共 IP 用于我的测试 EC2,我得到了它的工作,但是,随着 EB 的扩展,这并不好前进。

这是我目前适用于单一 IP 限制的关键政策:

我怎样才能做到这一点?是否真的可以通过 VPC 进行限制,或者是否有其他方式只允许从我的 EB 环境中访问?

0 投票
1 回答
4312 浏览

amazon-web-services - 如何使用 CloudFormation 加密 AWS Lambda 环境变量

我正在开发一个 AWS CloudFormation 模板,其中包含一个带有敏感环境变量的 Lambda 函数。我想设置一个 KMS 密钥并用它加密它们,这在控制台中很容易做到,但在 CloudFormation 中却很难做到。

任何人都可以为 Lambda 发布一个基本的 CloudFormation JSON 对象,其中至少有一个使用 KMS 密钥加密的环境变量,以及用于创建该密钥的 JSON?