AWS-KMS

原创 已于 2025-11-27 16:36:28 修改 · 863 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#aws #云计算 #amazon #python #运维

于 2025-11-27 12:27:11 首次发布
部署运行你感兴趣的模型镜像

一. KMS介绍

        AWS Key Management Service (AWS KMS) 是一项AWS托管服务,可让您轻松创建和控制用于加密数据的加密密钥。我们创建的AWS KMS密钥永远不会以未加密的方式离开,要使用或管理KMS密钥,需要与AWS KMS服务进行交互。

        详细介绍可以参考官方文档:AWS KMS官方文档-开发人员指南

二. KMS密钥类型

AWS托管密钥

        由AWS服务创建、管理和使用,密钥策略由AWS服务控制,我们只能查看,不能修改;

客户托管密钥

        我们创建的KMS密钥是客户托管密钥,密钥策略完全由客户控制;

AWS拥有的密钥

        由AWS管理的KMS密钥的集合,用来保护我们AWS账户中的资源,免费以及不计入配额管理;

        1.进入KMS UI后,只能看到AWS托管密钥和客户管理密钥;我们重点关注客户托管密钥。

        2.密钥由密钥材料和元数据组成,密钥材料可以理解为KMS加密过的对称密钥或者非对称密钥,而元数据包含密钥策略、密码配置、标签、别名等。

三. KMS存储方式

标准密钥库

        标准密钥库是由KMS服务管理的密钥库,默认情况下,KMS密钥使用标准密钥库。而密钥材料可以有两种方式创建:

1.默认由KMS创建密钥材料;

2.自己生成密钥材料并导入标准密钥库;

自定义密钥库

        完全由客户自己控制;多数为了满足某些监管要求;

自定义密钥库目前不支持非对称密钥;自动密钥轮换;具有导入密钥材料的KMS密钥等功能;

        以下是AWS提供的几种自定义密钥库的架构示例:

四. KMS注意事项

        1.生产环境中尽量不要删除KMS密钥,如果不需要,可以先禁用KMS密钥,需要的时候再重新启用被禁用的KMS密钥。无法恢复彻底删除的KMS

        2.任何密钥材料都不能导出;这也意味着由KMS创建的密钥材料不能采取常规的备份方式,它的安全性完全由AWS来保障;

        3.密钥的删除有7-30天的Pending deletion设置;“等待期”内可以随时取消删除,并重新启用密钥;

        4.最小权限原则:重要的密钥策略中显式拒绝kms:ScheduleKeyDeletion和 kms:DeleteImportedKeyMaterial等IAM权限;

        5.由以上几点我们不难发现,在生产环境中应该设置监控项,检测KMS删除事件,发现告警后及时处理;

        我们以Cloudwatch/Event Bridge集成SNS/Lambda的方式,做一个简单示例(当然也可以调用AWS api等方式集成到Prometheus体系中):

配置项

告警效果

五. 备份元数据

        这里我们先根据存储方式归纳几种备份:

1.自定义密钥库。很显然,这种方式的备份是完全由用户自行处理的,备份数据源头在自定义密钥库中;

2.标准密钥库,并且用户来生成密钥材料并导入。很显然,这种方式的备份依然是完全由用户自行处理的,备份数据源头就在导入密钥材料的源头;

3.标准密钥库,由KMS创建密钥材料。没有可备份数据。

        可以看到,针对KMS服务本身的完整备份是没有的,而对KMS服务本身的备份只能备份元数据(密钥策略、密码配置、标签、别名等信息)。需要注意的是,备份元数据并不能用来恢复密钥材料;只能用来查看一些属性的设置;

备份元数据示例

import boto3
    import json
    import logging

    logging.basicConfig(level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s')
    kms = boto3.client('kms')
  
    def backup_kms_keys():
        all_keys = []
        paginator = kms.get_paginator('list_keys')

        for page in paginator.paginate():
            for key in page['Keys']:
                key_id = key['KeyId']
                try:
                    meta = kms.describe_key(KeyId=key_id)['KeyMetadata']

                    # 只处理客户管理密钥
                    if meta['KeyManager'] != 'CUSTOMER':
                        logging.info(f"Skipping AWS managed key {key_id}")
                        continue

                    try:
                        policy = kms.get_key_policy(KeyId=key_id, PolicyName='default')['Policy']
                        policy_json = json.loads(policy)
                    except kms.exceptions.ClientError as e:
                        logging.error(f"Failed to get policy for key {key_id}: {e}")
                        policy_json = {}

                    try:
                        aliases = kms.list_aliases(KeyId=key_id).get('Aliases', [])
                    except kms.exceptions.ClientError as e:
                        logging.error(f"Failed to list aliases for key {key_id}: {e}")
                        aliases = []

                    try:
                        tags = kms.list_resource_tags(KeyId=key_id).get('Tags', [])
                    except kms.exceptions.ClientError as e:
                        logging.error(f"Failed to list tags for key {key_id}: {e}")
                        tags = []

                    try:
                        rotation = kms.get_key_rotation_status(KeyId=key_id)
                    except kms.exceptions.UnsupportedOperationException:
                        rotation = {}
                    except kms.exceptions.ClientError as e:
                        logging.error(f"Failed to get rotation status for key {key_id}: {e}")
                        rotation = {}

                    all_keys.append({
                        "KeyMetadata": meta,
                        "Policy": policy_json,
                        "Aliases": aliases,
                        "Tags": tags,
                        "Rotation": rotation
                    })
                except kms.exceptions.ClientError as e:
                    logging.error(f"Failed to describe key {key_id}: {e}")
                    continue

        # 写文件
        with open('/backup/kms_keys_backup.json', 'w') as f:
            json.dump(all_keys, f, indent=2,default=str)

        logging.info(f"Backup finished. {len(all_keys)} keys saved to /backup/kms_keys_backup.json")

    if __name__ == '__main__':
        backup_kms_keys()

备份文件内容片段:

{
    "KeyMetadata": {
      "AWSAccountId": "xxx",
      "KeyId": "ffdafe27-d9d8-411a-8c99-96d8385c9644",
      "Arn": "arn:aws:kms:ap-xxx-1:xxx:key/ffdafe27-d9d8-411a-8c99-96d8385c9644",
      "CreationDate": "2025-07-23 17:51:54.794000+00:00",
      "Enabled": true,
      "Description": "Imported from my servers: test:private",
      "KeyUsage": "SIGN_VERIFY",
      "KeyState": "Enabled",
      "Origin": "EXTERNAL",
      "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
      "KeyManager": "CUSTOMER",
      "CustomerMasterKeySpec": "ECC_SECG_P256K1",
      "KeySpec": "ECC_SECG_P256K1",
      "SigningAlgorithms": [
        "ECDSA_SHA_256"
      ],
      "MultiRegion": false
    },
    "Policy": {
      "Version": "2012-10-17",
      "Id": "key-default-1",
      "Statement": [
        {
          "Sid": "Enable IAM User Permissions",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::xxx:root"
          },
          "Action": "kms:*",
          "Resource": "*"
        }
      ]
    },
    "Aliases": [],
    "Tags": [],
    "Rotation": {
      "KeyRotationEnabled": false,
      "KeyId": "arn:aws:kms:ap-xxx-1:xxx:key/ffdafe27-d9d8-411a-8c99-96d8385c9644",
      "ResponseMetadata": {
        "RequestId": "ffc41ac7-b6c2-47ff-9fa9-c7c6251e7aab",
        "HTTPStatusCode": 200,
        "HTTPHeaders": {
          "x-amzn-requestid": "ffc41ac7-b6c2-47ff-9fa9-c7c6251e7aab",
          "cache-control": "no-cache, no-store, must-revalidate, private",
          "expires": "0",
          "pragma": "no-cache",
          "date": "Tue, 23 Sep 2025 08:46:03 GMT",
          "content-type": "application/x-amz-json-1.1",
          "content-length": "119",
          "connection": "keep-alive"
        },
        "RetryAttempts": 0
      }
    }
  },

六. KMS使用方式

         KMS密钥有对称密钥和非对称密钥两种;每种类型下面可以选择使用场景,常用的使用场景是加密解密;登录并验证;

        默认创建的是加密解密的key,使用示例如下:

#创建KMS

$ aws kms create-key --tags TagKey=CreatedBy,TagValue=my-demo-service --output json

#加密数据

$ aws kms encrypt --key-id xxxxxxxxxxxxxxx --plaintext fileb://<(echo -n "HelloWorld") --output json

        登录并验证功能key的使用示例如下:

$ echo -n "hello kms" > message.bin

#签名
$ aws kms sign --key-id d159e148-bc21-4656-8650-b5c34256ed2e --message-type RAW --message fileb://message.bin --signing-algorithm ECDSA_SHA_256
{
    "KeyId": "arn:aws:kms:ap-xxxxxx-1:xxxxxx:key/d159e148-bc21-4656-8650-b5c34256ed2e",
    "Signature": "MEQCIGXB7TYCEUhDXJZk43yAa+oPZE1KKQhJQws5cPz+rf3OAiBxyn1fkW8qNKvPorT7vO0JJIisPLSZMKvLkZG2vUHqVg==",
    "SigningAlgorithm": "ECDSA_SHA_256"
}
$ echo -n "MEQCIGXB7TYCEUhDXJZk43yAa+oPZE1KKQhJQws5cPz+rf3OAiBxyn1fkW8qNKvPorT7vO0JJIisPLSZMKvLkZG2vUHqVg==" | base64 -d > signature.bin

#验签

$ aws kms verify --key-id d159e148-bc21-4656-8650-b5c34256ed2e --message fileb://message.bin --signature fileb://signature.bin --signing-algorithm ECDSA_SHA_256 --message-type RAW
{
    "KeyId": "arn:aws:kms:ap-xxxxxx-1:xxxxxx:key/d159e148-bc21-4656-8650-b5c34256ed2e",
    "SignatureValid": true,
    "SigningAlgorithm": "ECDSA_SHA_256"
}

您可能感兴趣的与本文相关的镜像

Python3.10

Python3.10

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

aws服务(一)密钥管理服务KMS
w_t_y_y的博客
11-21 895
AWS Secrets Manager 是一个完全托管的服务,用于保护应用程序、服务和 IT 资源中的机密信息。它支持安全地存储、管理和访问应用程序所需的机密数据,比如数据库凭证、API 密钥、访问密钥等。通过 Secrets Manager,你可以轻松管理、轮换和访问这些机密信息,而无需将其硬编码在应用程序中。
AWS KMS 秘钥管理小结
weixin_40050628的博客
08-28 2154
KMS 秘钥管理,文件加密和解密简介官方链接 简介 AWS Key Management Service (AWS KMS)是一种管理服务,让您能够轻松创建和控制 客户主密钥 (CMKs),用于加密数据的加密密钥。(详细的参考官方文档) 1.创建客户主密钥(CMK) 首先需要创建客户主密钥AWS KMS 支持对称和不对称。 密钥 ARN:ARN是亚马逊资源名称(ARN)的 CMK. 它是 CMK。 密钥 ARN 包括 AWS 账户、区域和密钥 ID。帮助寻找关键的ARN CMK。 密钥ID:唯一标识 CM
AWS中的KMS服务
qq_15156403的博客
02-19 495
aws kms
AWS KMS创建
SINGWIN01的博客
01-31 606
创建一个具有识别度别名,也方便后续使用。选择/创建一个用户或角色管理密钥权限。在KMS的控制台创建KMS密钥。根据实际需要配置密钥类型等配置。
10、AWS KMS:加密管理的全方位解析
最新发布
java5的博客
10-17 47
本文深入解析了AWS KMS在加密管理中的全方位应用,涵盖CMK删除保护、区域限制、成本与合规性、非对称加密机制及领域驱动设计中的加密策略。探讨了CMK在不同上下文和账户间的存放选择,结合安全性、运维成本与业务复杂度提供决策建议,并通过流程图展示加密流程与方案选择逻辑,帮助用户构建安全高效的云加密体系。
AWS KMS加密和解密
BAStriver的博客
09-04 3050
用于创建和管理加密密钥,在 AWS KMS 中创建的客户主密钥均受硬件安全模块 (HSM) 保护。
AWS Key Management Service (AWS KMS) 是什么
weixin_45428910的博客
11-14 1038
AWS Key Management Service (AWS KMS) 是什么
aws-java-sdk-kms-1.11.939-API文档-中英对照版.zip
05-04
赠送jar包:aws-java-sdk-kms-1.11.939.jar; 赠送原API文档:aws-java-sdk-kms-1.11.939-javadoc.jar; 赠送源代码:aws-java-sdk-kms-1.11.939-sources.jar; 赠送Maven依赖信息文件:aws-java-sdk-kms-1.11.939....
精选资源
aws-java-sdk-kms-1.11.939-API文档-中文版.zip
03-30
赠送jar包:aws-java-sdk-kms-1.11.939.jar 赠送原API文档:aws-java-sdk-kms-1.11.939-javadoc.jar 赠送源代码:aws-java-sdk-kms-1.11.939-sources.jar 包含翻译后的API文档:aws-java-sdk-kms-1.11.939-...
精选资源
aws-kms-crypt:使用AWS KMS服务加密和解密机密的实用程序
05-02
aws-kms-crypt 用于在AWS生态系统内加密和解密机密的库。 特征 互操作性-Bash,NodeJS,Python和Rust的互操作性实现。 安全-使用KMS生成的数据密钥进行AES加密()。 简单-用于从所有支持的语言加密和解密敏感...
aws-java-sdk-kms-1.12.160-API文档-中英对照版.zip
07-14
赠送jar包:aws-java-sdk-kms-1.12.160.jar; 赠送原API文档:aws-java-sdk-kms-1.12.160-javadoc.jar; 赠送源代码:aws-java-sdk-kms-1.12.160-sources.jar; 赠送Maven依赖信息文件:aws-java-sdk-kms-1.12.160....
PyPI 官网下载 | aws-cdk.aws-kms-1.47.0.tar.gz
01-09
【标题】"PyPI 官网下载 | aws-cdk.aws-kms-1.47.0.tar.gz" 指的是一个从Python Package Index (PyPI) 官方网站下载的压缩包,其中包含了名为 `aws-cdk.aws-kms-1.47.0` 的特定版本的Python库。这个库是Amazon Web ...
AWS安全性身份和合规性之Key Management Service(KMS
QYHuiiQ
05-23 730
比如一家医疗保健公司需要在AWS上存储敏感的病人健康数据,需要对数据进行加密以确保数据的机密性。他们使用AWS KMS创建加密密钥,并将其用于加密存储在Amazon S3中的病人健康数据。通过AWS KMS提供的加密功能,他们可以确保数据在存储和传输过程中始终受到保护。一般情况下我们在S3中存储数据时不进行加密,而如果为了数据的安全性加密的话,那么在获取数据时也是需要密钥的,只有有密钥的人才可以获取数据。的托管服务,可帮助客户保护其数据的安全性和机密性。
AWS 安全
shanlianbushiwod的博客
04-22 475
Amazon KMS
改变世界,改变自己
03-13 1135
密钥策略是基于资源的策略,并与您的 KMS 密钥相关联。关键策略基于 JSON,文档语法与 IAM 策略非常相似。要使 IAM 权限作为一种有效的访问控制方法,您必须在密钥策略中启用它们。如果您不启用 IAM 权限,则任何允许访问密钥的 IAM 策略都将被忽略,除非它们用于拒绝访问。关键管理员可以是用户或角色。密钥管理员只能管理 KMS 密钥,而不能使用它执行任何加密功能。如果授予密钥管理员访问权限,则密钥管理员可以删除密钥
AWS 专题学习 P14 (Security & Encryption)
weixin_40815218的博客
01-29 2279
AWS 安全和加密服务相关
10、AWS KMS 加密密钥管理全解析
tcp8optimizer的博客
08-27 85
本文深入解析 AWS Key Management Service(KMS)的核心组件与使用实践,涵盖客户主密钥(CMK)的构成、类型及管理方式,详细探讨自动与手动密钥轮换机制、密钥删除策略、区域限制与成本考量。文章还介绍了非对称加密在加密解密和数字签名中的应用场景,结合领域驱动设计提出加密策略模块化建议,并说明跨账户共享 CMK 的流程与权限控制机制。旨在帮助用户全面理解 AWS KMS 的安全模型,优化密钥管理架构,满足合规要求并提升系统安全性。
Java常用工具算法-6--秘钥托管云服务AWS KMS
weisian的博客
04-09 1777
之前我们介绍了一些常用的加密算法(如:对称加密AES,非对称加密RSA,ECC等),不论是哪一种都需要涉及到秘钥的管理。通常的做法都是把秘钥放到配置文件中进行配置,但是对于一些高度需要安全保证的场景来说,这样并不是安全的,容易造成秘钥泄漏,进而造成数据被破解。所以这个时候我们就需要借助一些相对安全的机制去管理秘钥,例如:亚马逊的AWS KMS,或Azure Key Vault等。本篇介绍下AWS KMS
AWS Key Management Service(KMS
iloveaws的博客
05-07 3181
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的课程内容为AWS Key Management Service。 AWS KMS是一项托管服务,使用KMS可轻松创建和控制加密数据所用的加密密...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炸裂狸花猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值