问题标签 [aws-kms]

I'm trying to use packer to build an AMI with encrypted EBS volumes (but not an encrypted root volume). The packer documentation says:

kms_key_id (string) - The ID of the KMS key to use for boot volume encryption. https://www.packer.io/docs/builders/amazon-ebs.html#kms_key_id

If I supplied a kms_key_id and mark the desired ebs volumes' ami_ and launch_block_device_mappings as encrypted, will packer use that kms key? Or will a default CMK key be used?

我创建了一个启用了 Amazon S3 SSE-S3 的 EMR 集群。

我也配置了

在emrfs-site.xml

我正在将我的数据如下写入 s3

这将保存我使用 kms 加密的数据，但我不想发送任何加密参数，并且从当前 EMR 集群发送的任何数据都应该加密。只需通过

无论如何我该怎么做？

我在 AWS s3 上有一个存储桶，它强制对所有对象进行 KMS 加密。我在 emr-5.2.1 上运行 Presto

我在 s3 上有外部表（没有数据）。当我使用

我收到 AccessDenied 错误。我测试了几个不同的选项并获得支持，但没有运气。如果我从存储桶中删除策略 Presto 工作正常，但在 s3 上创建的文件未加密。

Presto 在读取加密的外部 s3 表或在 hdfs 上本地创建它们时没有任何问题。我不能允许未加密的数据。

策略示例：

http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html

Presto 配置 /etc/presto/conf/catalog/hive.properties

...

我是否在配置中遗漏了某些内容，或者 Presto 在插入表格时没有使用 KMS？

根据亚马逊的说法：“如果对受 AWS KMS 保护的对象的所有 GET 和 PUT 请求不是通过 SSL 或使用 SigV4 发出的，它们都会失败。”

我们在 Windows 下有一个 Jenkins 设置，它有一个主实例和一个工作实例，每个实例都在 AWS 的 EC2 上运行。我们在每个实例中设置了一个单独的帐户，该帐户用于在每个实例上运行 Jenkins 服务。我们使用 Git bash 通过 SSH 生成密钥并将公钥复制到 Bitbucket，从而允许主实例从存储库中获取 Jenkinsfile，并允许工作实例获取整个存储库以进行构建。目前，我们手动生成密钥，它们位于服务器上（位于我们的防火墙后面），但为了使脚本简单，密钥缺少密码。我们对此的舒适度非常低，因此我们正在寻找其他选择。我们知道 AWS 有 KMS，它允许我们生成和轮换我们的密钥，但我们不确定如何将 ssh 与 AWS KMS 连接起来。

标题说明了一切。每当我尝试通过 AWS CloudFormation 模板创建 KMS 密钥时，都会收到此错误。我以具有管理权限的 IAM 用户身份创建模板，并且我希望该密钥可由具有 KMS 权限的同一 AWS 账户中的任何 IAM 用户管理。我正在为密钥使用以下 YAML 资源定义：

<Principal>然而，即使我尝试以 root 用户身份创建堆栈，以下值都不起作用！

• !Join [ "", [ "arn:aws:iam::", !Ref "AWS::AccountId", ":root" ] ]
• !Join [ "", [ "arn:aws:sts::", !Ref "AWS::AccountId", ":root" ] ]
• !Ref "AWS::AccountId"

我不能只为 Principal 硬编码我的用户名，因为我希望任何具有堆栈创建权限的人都可以实例化此模板。有谁知道如何解决这个非常令人沮丧的情况？提前致谢。

编辑：

我应该提一下，我不再在 CloudFormation 模板中定义 KMS 密钥策略。事实上，我现在完全避免在我的 CF 模板中定义任何安全资源，例如 IAM 实体、策略和 ACM 证书。我的原因在这个GitHub 问题中有所描述。

我有以下模块：

我不断收到以下错误：

有什么我做错了吗？

博托版：boto3==1.4.4

PS：是的，密钥是正确的。我检查了很多次。

过程： 1. 将经过 aws-kms 加密的密码作为默认属性存储在数组中。

2. 在运行时使用存储在受保护位置 .aws/creds 中的凭据解密

3. 将明文数组设置回节点数组

4. 解析模板中的节点数组
5. 丢弃明文密码

我正在尝试引用在另一个资源的自定义资源中设置的 node.runstate 变量。

自定义资源：

在此自定义资源运行后。我想让它更新默认属性为纯文本值（它是数组的一部分），然后我想将此变量传递给模板资源。

我正在查看有关在 EMR 上启用加密的 AWS 文档，但我找不到任何有关这如何影响 Parquet 文件性能的信息。EMR 在优化查询时还能利用 Parquet 吗？

例子：

只会扫描 parquet 文件中的元数据，不需要下载整个文件。

只会获取该特定列的数据。

当文件被加密时，这怎么可能？

我想将 API 密钥限制为只能在我的 Elastic Beanstalk 环境中工作。我尝试使用 VPC 条件，但这不起作用，文档说它并不总是可用（所以我猜不在 EB 中）。

在某种程度上，通过将公共 IP 用于我的测试 EC2，我得到了它的工作，但是，随着 EB 的扩展，这并不好前进。

这是我目前适用于单一 IP 限制的关键政策：

我怎样才能做到这一点？是否真的可以通过 VPC 进行限制，或者是否有其他方式只允许从我的 EB 环境中访问？

我正在开发一个 AWS CloudFormation 模板，其中包含一个带有敏感环境变量的 Lambda 函数。我想设置一个 KMS 密钥并用它加密它们，这在控制台中很容易做到，但在 CloudFormation 中却很难做到。

任何人都可以为 Lambda 发布一个基本的 CloudFormation JSON 对象，其中至少有一个使用 KMS 密钥加密的环境变量，以及用于创建该密钥的 JSON？