问题标签 [key-rotation]

没有人在整个堆栈溢出没有人对此有答案，我不知道为什么，没有人在 android 上使用 Google pay 吗？. 根据谷歌：

按照这个链接：

https://developers.google.com/pay/api/android/guides/resources/payment-data-cryptography#key-rotation

它谈到了在您的应用程序中使用 DIRECT 集成时强制执行的密钥轮换，这意味着如果您没有直接/明确地使用支付处理器。

这就是它所说的：

密钥轮换：如果您通过直接集成直接在服务器上解密支付方式令牌，那么您必须每年轮换密钥。

要轮换加密密钥：

1. 使用 OpenSSL 生成新的密钥对。
2. 使用用于在 Google Play 控制台中管理您的应用的 Google 帐户登录时打开您的 Google Pay 开发者资料 在“公共加密密钥”部分下，选择添加加密密钥按钮。然后，选择“公共加密密钥”文本输入字段并添加新生成的公共密钥 Base64-encoded in uncompressed point format。单击保存。

从上面的链接看下面的截图。任何人都可以单击此链接并告诉我为什么需要您支持页面而不是 Google 支付开发者帐户吗？

问题 ：

1. 如何创建谷歌支付开发者账户？我需要付款吗？我的公司已经有一个 google pay 控制台帐户（您可以在其中管理应用程序并将其上传到 goole play 商店）

2. 我将在哪里以及如何生成公钥？

3. 我将在哪里以及如何在 google pay 开发者资料中上传这个公钥？

将以清晰的示例和屏幕截图解释这些步骤的人将获得赏金。

编辑 好的，我已经在我的 mac 上使用终端应用程序生成了公钥和私钥。这是截图：

现在我需要将此密钥上传到 Google Pay 开发人员帐户中，但我看不到任何链接或任何说明如果我必须将 google-Pay 集成到我的 android 应用程序中如何创建一个的教程。

我计划轮换 AWS 密钥。

我的问题是，如果我们使用过期的 AWS 密钥，程序会抛出异常吗？如果是，它将抛出什么异常。我没有找到任何 api 来检查过期的 AWS 密钥。有人可以帮忙吗？

我有一个场景，我为客户的应用程序创建了一个 IAM 用户以访问 API 网关，并与他们共享了用户密钥（访问代码和密钥）。我需要每 90 天为他们轮换一次密钥，但由于 IAM 用户的访问密钥是在代码中配置的，我需要传达更改后的访问密钥，以便他们可以在应用程序、测试和配置中进行代码更改/配置更改再次部署应用程序。这增加了我和客户每 90 天沟通一次更改的开销。

我想在不需要更改代码（代码库/配置）的情况下跟踪密钥轮换。如何实现？

是否有更好的方法来提供对客户应用程序的访问？

谢谢。

我正在编写一个自定义 lambda 函数来实现用于 SecretsManager 的通用旋转密钥算法。

在我的 pycharm IDE 中本地运行时，python lambda 函数可以完美运行，但是，当我将其粘贴到 lambda 控制台并部署它时，在 SecretsManager 中执行“立即轮换密钥”时会收到 AccessDeniedException。违规代码是：

登录用户位于附加了 AdministratorAccess 策略的组中。我还为踢球添加了 SecretsManagerReadWrite 策略。

我打印了一条错误消息，其中包含秘密的 arn 并且它是正确的。在“正常”代码完成后，从 finishSecret 方法调用此代码，因此密钥确实可以正常旋转。但是，我添加了自定义代码以确保将版本保留 2 年（通过分配版本阶段，以便 SM 不会删除它们）。为此，我需要 list-secret-version-ids 方法。

从 SecretsManager 调用此函数时是否有某种限制？

有任何想法吗？

我在文档中只看到 Key Vault Secret 轮换，但没有看到 Key Vault Keys 轮换。创建新版本并禁用旧版本是轮换 Azure Key Vault 密钥（加密密钥）的一种方法

是否有任何其他方法可以在 Azure Key Vault 密钥中轮换加密密钥？

使用“CMK Key1”加密的资产或对象会发生什么情况：

• 当该密钥被轮换/过期/删除时
• 当我们在该“CMK Key1”上附加“CMK ALIAS-xyz”时（跨账户甚至相同账户引用）

1. 新的“CMK Key2”也附加到 CMK Key1 的别名“CMK ALIAS-xyz”，是否可以用于重新加密使用“CMK Key1”加密的资产的现有数据对象，而不会出现任何停机时间/代码更改？

2. 当我们轮换 Aliased 密钥时，代码中对 CMK 的直接引用会发生什么情况？

<请分享您的实践经验——不仅仅是理论文档>

IMAGE - 上述问题的图示

我目前的观察：

支持别名/点说它是可能的：

• 删除别名对关联的 CMK 没有影响。
• 跨账户使用：是的。要使用不同 AWS 账户中的 CMK 执行此操作，请在 KeyId 参数的值中指定密钥 ARN 或“别名 ARN”。因此，这意味着 Alias 带有自己的 ARN，它独立于实际的 CMK。
• 有权管理标签和别名的委托人还可以控制对 CMK 的访问。有关详细信息，请参阅将 ABAC 用于 AWS KMS。
• AWS KMS 通过允许您根据与 CMK 关联的标签和别名控制对客户主密钥 (CMK) 的访问来支持 ABAC。

表示不可能的问题/要点：

• 这些功能不允许您通过在策略语句的资源元素中使用别名来识别 CMK。当别名是资源元素的值时，策略适用于别名资源，而不是可能与其关联的任何 CMK。
• 我们遇到了一个跨账户别名不起作用的案例，需要对外部客户的数据资产使用实际的 arn。我们的客户所做的唯一更改是将 arn 列入白名单而不是他们的别名，并且他们有权访问。

参考来源：

• https://docs.aws.amazon.com/kms/latest/developerguide/alias-authorization.html

• https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-use

• https://docs.aws.amazon.com/kms/latest/developerguide/alias-access.html

• https://docs.amazonaws.cn/en_us/kms/latest/developerguide/abac.html

• （如果您愿意，请忽略这一点）另一方面，如果 CMK 已导入密钥材料，则无法自动执行密钥轮换：“您无法自动轮换非对称 CMK、具有导入密钥材料的 CMK 或自定义密钥存储中的 CMK。但是，您可以手动旋转它们。” “当您开始使用新的 CMK 时，请务必启用原始 CMK，以便 AWS KMS 可以解密原始 CMK 加密的数据。解密数据时，KMS 会识别用于加密数据的 CMK，并使用相同的 CMK 来解密数据。只要您同时启用原始 CMK 和新 CMK，AWS KMS 就可以解密由任一 CMK 加密的任何数据。”

如何在 libsodium 中旋转生成的密钥对？

是否有任何 API 可以采用现有的密钥对并生成一个安全且不可预测的旋转密钥对？我在 C# 中使用libsodium-net库

我们在本地生成了 RSA 密钥对，并计划将它们同步到 GCP-KMS。有一个年度密钥轮换策略，将在本地完成，新的 key_versions 将同步到 KMS。我担心的是 KMS API。

问题：API 总是要求“key_version”作为加密/解密文件的参数。

期望的行为：在解密期间，KMS 是否不可能看到证书指纹并返回适当的密钥版本来解密给定的加密文件？例如，当提供给 KMS 时，使用 RSA_public 包装的 DEK 会被正确版本的 RSA_Private（或 KEK）解密。

如果是，是否有详细说明此用例的文档？

定期轮换密钥是 Google 推荐的做法。众所周知，我们需要一个轮换密钥来自动化服务帐户密钥。那么是否可以使用单个旋转器密钥在单个项目中旋转多个服务帐户的密钥以实现密钥轮换自动化？

并建议是否可以使用单个旋转器密钥从多个项目中旋转多个服务帐户的密钥？

如果有的话，请提出一种方法。

提前致谢

我正在尝试按照此处的指南为 IAM 用户自动轮换密钥- https://awsfeed.com/whats-new/apn/automating-rotation-of-iam-user-access-and-secret-keys-与-aws-secrets-manager

本质上，我希望每 60 天获得一次新密钥，每 80 天停用旧密钥，然后每 90 天删除/删除旧密钥。

我稍微修改了它以每 60 天而不是 90 天获取新密钥，这是 lambda 函数：

测试该功能时，我收到以下错误消息：

我对我的用户的角色和组有以下策略：

IAM只读访问

AmazonSNSFullAccess

以及具有以下操作的自定义策略：

我的 EventBridge 的常量（JSON 文本）为 {"action":"create","username":"secmanagert3"}

看看为什么我在 lambda 处理程序上不断收到错误

编辑：

在打印出环境变量甚至之后，我有这些函数日志：