问题标签 [aws-kms]

我正在尝试Amazon S3用作具有加密功能的文件系统。

我成功地能够使用KMS加密密钥（服务器端加密）在 AWS S3 服务器上上传文件。请在下面找到工作代码：

对于加密：

我在使用服务器端解密检索文件时遇到问题。我想直接访问 aws url 以通过解密检索该文件。请在下面找到不起作用的代码：

对于对象读取：

没有 KMS 密钥的对象读取：

上面的代码适用于没有 km​​s 加密密钥的读取对象，显示以下错误。

代码：无效参数

消息：使用 AWS KMS 托管密钥指定服务器端加密的请求需要 AWS 签名版本 4。

使用 KMS 密钥读取对象：

上面的代码是用于带有 kms 加密密钥预签名 URL 的读取对象，它显示以下错误。

代码：SignatureDoesNotMatch

消息：我们计算的请求签名与您提供的签名不匹配。检查您的密钥和签名方法。

这是正确的做法吗？有什么建议吗？请帮忙。

我的 AWS 账户上的 KMS 请求不断增加。我正在使用免费套餐。我的每月配额是 20,000 个请求，但在前 7 天，我使用了其中的 45%（9000 个请求）。

请告诉我如何控制这个数字我当时没有运行实例，但请求仍在增加。没有实例，没有 KMS 密钥，没有 Web 应用程序，没有部署，我不知道为什么会发生这种情况。我在 Google 上尝试了很多搜索，但找不到任何有用的东西。

编辑：首先我创建了一个实例并部署了一个 Django 项目。3 天后，我终止了该实例。现在我没有运行任何服务。在过去 2 天中，KMS 请求数增加了 10%。

我正在尝试编写一个使用 KMS 密钥 ID 加密数据的 java 程序。我正在使用默认的 java 代码将对象上传到 S3。我正在将要上传到 S3 的值更改为记录，以便我可以将其加载到红移。

我正在使用具有以下语法的 Redhsift 复制命令将记录复制到 redshift。

在复制命令上方运行时，我遇到以下错误：

我目前正在 AWS DynamoDB 上为被认为敏感的表上的各个列设置加密。根据我的研究，我认为最好的方法可能是使用 AWS KMS。由此引发了一个（也许是非常基本的）关于这样做的基本工作原理的问题。

我想，我加密这些数据的真正目的是防止人们通过受损的 AWS 账户访问我的数据（也许 AWS 本身也受到了威胁，但我想这是次要的）。但是，如果我的 AWS 账户遭到入侵......攻击者是否无法访问我的 KMS 密钥（不是直接访问，而是能够使用 API 加密和解密数据？）

我敢肯定，这是一个非常基本的问题，但我觉得我的知识存在这么大的漏洞，我无法继续前进。

当我尝试执行命令时：

我收到以下错误，我怀疑是密文问题。

os、context或对象中是否有一个参数event可以告诉您环境变量是否已加密，或者是否有任何变量已加密？

将尝试解密变量并在失败时使用明文，但不优雅且容易出错。有没有更好的办法？

我已经用 aws kms 加密了我的 s3 密钥，并通过复制命令推送到 redshift。加密文件包含密文块和密钥字段。有没有办法可以查询已经加密的真实数据？

真实数据是这样的

我的加密数据看起来像这样

当通过复制命令将其推送到 redshift 时，AWS 是否有任何方法默认解密数据并允许查询真实数据？

在 KMS 中创建了一个密钥，允许自己使用此密钥进行加密。将对象上传到 S3。尝试使用此新密钥加密此对象。得到以下错误：

从 CFN 文档中，我可以看到我可以创建一个AWS::SSM::Parameter。我还了解了如何创建KMS Master Key。

但是文档页面中的type参数SSM:Parameter没有列出secure string类型。

有没有办法可以在 cloudformation 模板中执行以下操作：

我将使用 jenkins 密码参数中的参数值从 Jenkins 作业运行 CFN 模板。我还可以设置"NoEcho": true模板的参数，这样它就不会在 CloudFormation 控制台中回显。

我使用 CodeBuild 步骤构建了一个 CodePipeline，该步骤生成一个带有单行标记信息的文件“build.json”作为输出。此文件是 Codepipeline 中下一个 Lambda 步骤的输入。Lambda 函数想要读取标签信息，然后对其进行处理。因此，我使用 s3::getobject 读取了 S3 对象，作为响应，我得到：

当我使用内容并将其发送到 kms 进行解密时，例如：

我只得到：错误 InvalidCiphertextException：null。

我还尝试提供一些其他值作为 Encryptioncontext，但没有运气。

谢谢。