问题标签 [aws-kms]

问题： 服务器端加密（使用 S3 托管或 KMS 托管密钥）文件是否会转移到 Glacier？如果是，它们是否使用 S3 或 KMS 密钥解密，然后使用 Glacier 的内部密钥再次加密，因为 Glacier 中的所有对象都使用内部 AES 256 密钥加密？

问题陈述： 我在 S3 中使用 KMS 托管密钥加密了一些文件。我有一个生命周期规则，可以在 1 天后存档到 Glacier，但即使在 3 天后，文件仍将存储类显示为“标准”。

我正在尝试使用 aws-java-sdk (1.11.230) 编写一个实用程序。我可以使用 PutObjectRequest 使用 SSE-KMS 编写文件，如下所示：

但是在尝试分段上传时，我找不到任何方法来为 SSE-KMS 指定加密配置。

任何人都可以建议一种方法来成功地完成这个。任何建议将不胜感激。

维卡什·帕瑞克

是否可以使用打包程序为 ebs 数据卷使用自定义加密密钥？kms_key_id 将仅用于启动卷的加密。我们如何加密块设备映射？（数据 EBS 卷）

Here is a documentation:

Sid – (Optional) The Sid is a statement identifier, an arbitrary string you can use to identify the statement.

Does it means that Sid parameter is just description?

是否可以使用凭据参数和 KMS_KEY_ID 参数编写卸载命令？运行以下代码后出现以下错误：

我正在隐式生成数据加密密钥，如下所示（使用的密钥 ID 只是代表性的）：

我在 my_data_keys（例如 DEK_enc_west_1 和 DEK_enc_west_2）中获得了两个加密的数据加密密钥 (DEK) 字符串，它们都将解密为单个纯数据加密密钥，例如 DEK_Plain。现在我可以在任一区域中为 DEK_Plain 加密/解密以实现冗余。

然后，我继续在east-1 和east-2 区域激活另外两个主密钥。现在我希望在这两个新区域（east-1 和east-2）主密钥下也对相同的 DEK_Plain 进行加密，以获得两个新的加密数据密钥（例如，DEK_enc_east_1 和 DEK_enc_east_2）。

因此，使用新的完全形成的密钥提供程序，例如：

我可以使用以下 4 个区域中的任何一个获取我的 DEK_Plain：

基本上，如何添加其他区域主密钥以用于先前使用以前存在的其他区域主密钥生成和加密的相同数据加密密钥？

我最近一直在研究用于存储数据库密码等的 AWS KMS。但是，我也看到 Parameter store 中的安全字符串可用于此目的。在这两种情况下，我相信我都需要使用 AWS CLI 来访问这些服务。

但是，在可能有多个服务器的生产环境中，我们应该如何在我们的实例上安装 AWS CLI 并对其进行身份验证。感觉 CLI 凭据也应该存储在 Parameter store 中，创建一个捕获 22。据我所知，这些应该构成 AMI 的一部分，我也不希望它们在源代码控制中。

这里最好的方法是什么？

我被要求提出一个解决方案，以确保我们在 AWS 上的所有 Windows 服务器都有使用 SSM 为管理团队创建的本地帐户。我们需要能够对此进行审核并确保可以轻松更改密码。我知道，我知道，我应该喜欢域名的功能，但无论出于何种原因，这是不允许的！

使用 powershell 脚本创建文档很好，但将密码放入脚本是一个问题，这需要纯文本。

我想我可以使用 AWS KMS 加密密码并让 SSM 即时解密它们。问题是我无法让解密仅适用于 SSM 而不适用于登录服务器的任何人。如果有人可以解密密码，那么它也可以是纯文本：/

我希望这是有道理的！

任何想法或建议将不胜感激。

谢谢

我在 puppet 中使用 Kms 密钥来解密一些秘密，我在解密秘密时遇到以下错误

这是我的 hiera 配置文件，我已经配置了 kms 密钥 ID 和区域

我正在使用 hiera-eyaml-kms-0.0.1 gem

即使我尝试在环境变量中设置它-AWS_REGION

Amazon Key Management Services 背后使用了哪些算法或加密方法？

我搜索了它，但只找到了配置相关信息而不是集成信息。