KMS 加密解密
2019/07/04 Chenxin

术语和概念

KMS
Key Management Service (AWS KMS)

CMK
Customer Master Key 客户主密钥 (CMK).通过KMS来管理你的CMK.AWS 账户中有三种类型的 CMK:客户托管 CMK(我们需要用的)、AWS 托管 CMK(用户可见,但不可管理.aws一些服务自带的) 和 AWS 拥有的 CMK(用户不可见的)。

信封加密
(对明文密钥1次或多次进行加密)AWS KMS 中的主要资源是客户主密钥 (CMK)。可以使用 CMK 加密和解密最多 4 KB(4096 字节)的数据。通常情况下,您可以使用 CMK 生成/加密/解密 数据密钥,您在 AWS KMS 之外使用这些密钥来加密您的数据。此策略称为信封加密。
信封加密 是一种加密方法,它使用 数据密钥 对 玩家明文数据 进行加密,然后使用 其他密钥 对 该明文数据密钥 再进行加密。
您也可以使用 其他加密密钥 对 数据加密密钥 进行再加密,并且在 另一个加密密钥下 加密 此加密密钥。但是,最后,一个密钥一定会以明文形式保留,以便您可以 解密密钥和数据。此顶层明文密钥(加密密钥)称为主密钥CMK。
AWS KMS 可通过安全地 存储和管理 主密钥 来帮助您保护它们。存储在 KMS 中的 主密钥(称为客户主密钥(CMK))绝不会让 AWS KMS 经 FIPS 验证的硬件安全模块 处于不加密状态。要使用 CMK,您必须调用 KMS。

信封加密可提供以下多种优势:

  • 保护数据密钥: 加密数据密钥时,您无需担心存储 加密数据密钥(因为它本身就受到加密保护)。您可以安全地将 加密数据 与 加密数据密钥 一起存储。
  • 使用多个主密钥加密相同数据: 加密操作可能非常耗时。您可以 只重新加密保护 原始数据的数据密钥 ,而无需使用不同的密钥多次重新加密原始数据。
  • 结合多种算法的优势: 对称密钥算法 比 公有密钥算法 速度更快,且生成的密文也较小.但公有密钥算法可提供 固有的角色分离和 更轻松的密钥管理。信封加密可以把每种策略的优势结合起来。

数据密钥
数据密钥 是可用于加密数据的加密密钥,包括 大量数据 和 其他数据 加密密钥 。
您可以使用 AWS KMS 客户主密钥 (CMK) 生成、加密和解密 数据密钥。AWS KMS 不会存储、管理或跟踪您的数据密钥,也不会使用数据密钥执行加密操作。您必须在 AWS KMS 之外使用和管理数据密钥。

创建数据密钥
要创建数据密钥,请调用 GenerateDataKey 操作。AWS KMS 使用您指定的 CMK 来生成数据密钥。
此操作会返回 数据密钥的明文副本 和 借助CMK加密的数据密钥的副本 .
KMS 利用 CMK ->通过 Encryption Algorithm (加密算法) -> 数据密钥的明文副本+数据密钥的密文副本(可以再通过KMS来解密得到明文的).

使用数据密钥加密数据
AWS KMS 无法使用数据密钥来加密数据,但您可以在 KMS 之外使用数据密钥,例如使用 OpenSSL 或 AWS 加密 SDK 等加密库。也就是用户用KMS的CMK来加密用户的 数据密钥(可以是密文密钥或明文密钥,密文密钥可以通过KMS解密获得明文密钥).用户通过用户的数据密钥(明文)来加密自己的数据.
用户在使用明文数据密钥加密数据后,请尽快从内存中将其删除。以防被黑客获取.
您可以在S3上安全地存储加密数据密钥(必须通过KMS的CMK才能解密)及加密数据(必须通过用户密钥才能解密),以便其可根据需要用于解密数据。

使用数据密钥解密数据
要解密数据(玩家数据),请将 加密数据密钥 传递至 Decrypt 操作。AWS KMS 使用您的 CMK 解密数据密钥,然后该函数返回纯文本数据密钥。
然后,使用 明文数据密钥 解密数据(并尽快从内存中删除该明文数据密钥).

KMI
加密术的主要问题之一是很难保持密钥的私密性。这通常是密钥管理基础设施 (KMI) 的工作。AWS KMS 可为您操作 KMI。AWS KMS 会创建并安全地存储称为 CMK 的主密钥。

创建CMK
控制台操作(步骤略)
以下是策略视图,在控制台上可以切换到图像视图(更直观).

{

"Id": "key-consolepolicy-3",

"Version": "2012-10-17",

"Statement": [

{

"Sid": "Enable IAM User Permissions",

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::923956230349:root"

},

"Action": "kms:",

"Resource": ""

},

{

"Sid": "Allow access for Key Administrators",

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::923956230349:user/private_chenxin"

},

"Action": [

"kms:Create",

"kms:Describe",

"kms:Enable",

"kms:List",

"kms:Put",

"kms:Update",

"kms:Revoke",

"kms:Disable",

"kms:Get",

"kms:Delete",

"kms:TagResource",

"kms:UntagResource",

"kms:ScheduleKeyDeletion",

"kms:CancelKeyDeletion"

],

"Resource": ""

},

{

"Sid": "Allow use of the key",

"Effect": "Allow",

"Principal": {

"AWS": [

"arn:aws:iam::923956230349:user/private_test",

"arn:aws:iam::923956230349:user/private_chenxin"

]

},

"Action": [

"kms:Encrypt",

"kms:Decrypt",

"kms:ReEncrypt",

"kms:GenerateDataKey",

"kms:DescribeKey"

],

"Resource": ""

},

{

"Sid": "Allow attachment of persistent resources",

"Effect": "Allow",

"Principal": {

"AWS": [

"arn:aws:iam::923956230349:user/private_test",

"arn:aws:iam::923956230349:user/private_chenxin"

]

},

"Action": [

"kms:CreateGrant",

"kms:ListGrants",

"kms:RevokeGrant"

],

"Resource": "*",

"Condition": {

"Bool": {

"kms:GrantIsForAWSResource": "true"

}

}

}

]

}

CMK的访问
CMK的访问不同于访问AWS其他服务(其他服务只需要IAM授权即可).CMK必须要有密钥策略.(另外,还可以选择结合IAM.)
密钥策略,就是上面的那个JSON文件.

KMS API 使用
关于KMS API 的使用,请参考python脚本(脚本文件在aws kms 项目里)