问题标签 [aws-kms]

我的 aws 帐户位于 us-west-2 区域。并且在该账户中创建的 KMS 密钥具有 ARN arn:aws:kms:us-east-1::key/。在我的节点模块中，我使用 Credstash 来解密使用 KMS 密钥加密的密钥。

我越来越低于异常。

以下是 sls 文件中的 IAM 政策。

解决此问题的任何指示都会有很大帮助

所以我一直在阅读和阅读并查看示例并且......失败了。这是我的情况：

我在 KMS 中有一个 CMK，并且生成了一个数据密钥，如下所示：

然后我通过从 CLI 解密来验证它：

瞧！我得到了明文值，一切都很好而且很干净。然后，我尝试使用 Java 使用以下代码通过 SDK 研磨相同的密文 blob：

倾倒的 LOG 条目是：

我已经尝试使用我可用的每个字符集对结果进行编码，并且没有字符集生成我原来的明文密钥。从我看到的所有示例中我可以看出，我的代码是正确的。那么我做错了什么或者我在这里错过了什么？我只想得到一个包含“+SjeaxtD5TIhOcY16+A2NA493MbxnYozbzZx4i3/BfA=”的Java字符串变量。

有谁知道我将如何让 Terraform 更新现有的 KMS 密钥策略？

我已经创建了 KMS 密钥，但我有一个需要使用现有 KMS 密钥的临时 IAM 角色。我希望能够将此“新”IAM 角色添加到现有 KMS 密钥策略中。我可以看到使用 AWS 控制台可以做到这一点，但我看不到如何在 Terraform 中做到这一点。

我想这也可以使用 AWS CLI 工具来实现，但我没有对此进行调查，因为我正在 Terraform 中构建环境并希望将其全部保存在一个地方。

我应该指出，当前的 KMS 密钥用于加密 S3 上传和下载，并且各种 IAM 用户和角色已经可以访问当前密钥，因此创建新密钥只会为那些已经访问存储桶的人解决问题。

在获取查询输出的第一个元素时，我None在 aws-cli（版本 1.11.160）中获得了额外的 --query 参数和 --output 文本。

请参阅下面的示例。

$ aws kms list-aliases --query "Aliases[?contains(AliasName,'alias/foo')].TargetKeyId|[0]" --output text a3a1f9d8-a4de-4d0e-803e-137d633df24a None $ aws kms list-aliases --query "Aliases[?contains(AliasName,'alias/foo-bar')].TargetKeyId|[0]" --output text None None

据我所知，这一直工作到昨天，但从今天开始，这个额外的None东西进来并扼杀了我们的 ansible 任务。

有没有人经历过类似的事情？

谢谢

我需要使用客户端的密钥加密一些文本字符串，然后使用用于客户端加密的相同密钥在服务器端解密这个加密的字符串。

所以按照我的理解，AWS KMS 是建立在 AES 之上的。

那么我可以在客户端上使用CryptoJS和服务器上的 AWS KMS SDK 使用 Javascript 中的 AES 加密来解密它吗？

这个问题的原因是我可以在客户端（浏览器）端使用 AWS Javascript SDK，但是......我认为 AWS Javascript SDK 可能会占用大量内存。而且我也不想在客户端初始化 AWS config 等（不确定我是否必须这样做才能仅使用 AWS KMS JS SDK 中的单一加密功能）。CryptoJS 看起来更流畅，内存占用也更小。它支持AES。我想将我的任务保持在最低限度......因为这里的主要目标是进行客户端加密，然后使用对称加密在服务器上对其进行解密。

我想使用 Lambda 函数从 AWS S3 检索特定的 ZIP 文件，将其解密并提取。

这是我的代码：

但是，ZIP 文件就像5MiB我从 KMS 请求中得到以下错误：

我该怎么办？谢谢！

我尝试使用 aws kms 加密和解密对纯文本进行编码和解码。但它显示以下错误：

我使用的命令：

提前致谢！

我想让 AWS 账户中的每个人（用户、角色、组）访问使用可以读取上传到CloudFormation的YAML访问 KMS 密钥。如何修改此代码以允许这种情况发生？为了清楚起见，我已经包含了 root 帐户（-'arn:aws:iam::############:root'）。我不想单独列出每个用户、组或角色。

谢谢你。

我正在尝试将以下链接中的代码复制到 python/boto3： https ://github.com/gilt/node-s3-encryption-client/issues/3

但是，我坚持使用以下代码从 KMS 获取纯文本：

boto3 的纯文本输出显示如下：

如果我在 AWS CLI 中使用与 kms 解密相同的输入，我会得到正确的输出，如下所示：

命令行输出：

}

知道我做错了什么吗？

在KMS中有亚马逊别名密钥（例如/alias/aws/s3）和客户主密钥(CMK)。

对于每个开发团队，我都有一些带有别名的 CMK（例如/alias/team1/default，/alias/team1/confidential）

我想允许所有 IAM 用户/组/角色访问 aws 别名密钥，但提供对团队级密钥的团队级访问权限

尝试允许访问 aws 托管密钥时出现我的问题

iam:*提供对and的隐式拒绝kms:*，但允许访问 aws 别名键

使用 IAM 策略模拟器时，看起来我必须提供对完整密钥 arn ( arn:aws:kms:us-east-1:111111111111:key/abcd123-acbd-1234-abcd-acbcd1234abcd) 而不是别名 ( arn:aws:kms:us-east-1:111111111111:alias/aws/*)的访问权限

有没有更好的方法来管理这个？

我知道我可以使用密钥策略管理对 CMK 的访问，并且不允许来自 IAM 的访问，但您不能Principal在 KMS 密钥策略中使用组