AWS的密钥管理服务是一款不错的云加密密钥管理工具。专家DaveShackleford将带您了解AWSKMS的来龙去脉及其对企业的好处。AmazonWebServices(AWS)最近发布了一个新的加密管理平台,AWSKeyManagementService(KMS)。AWSKMS允许用户在AWS的几个最流行的功能中加密数据和管理加密密钥。本技巧将深入探讨云中加密密钥管理日益增长的重要性,尤其是AWSKMS。它是如何工作的,以及这种新的云服务的优点和缺点。云加密密钥管理密钥管理的重要性不容忽视。对于许多组织而言,需要正确加密云中的数据,安全地创建和保留加密密钥,并且从理论上讲,防止任何云提供商的管理员访问这些密钥是任何云计算环境中的要求。特别是在基础设施即服务(IaaS)领域,有一些最受欢迎和最重要的安全机制。理想情况下,所有密钥都应在服务实例化时生成,然后从云中删除并由用户管理。遗憾的是,大多数云环境并不完全支持客户端密钥管理,而云中的服务器端密钥管理不允许完全的用户所有权和控制权,尽管这通常是非常基本的合规性规范。AWSKMS的使用亚马逊在2013年发布了他们的CloudHSM服务,让客户可以在虚拟私有云(VPC)环境中使用专用的硬件存储设备进行密钥管理,但是这个服务并不能兼容所有的AWS服务,完全集成和需要大量的手动配置和操作才能正常运行。随着KMS的发布,亚马逊显然在加密密钥管理上押下了重注。他们为CloudHSM服务添加了更精细、更强大的密钥创建、轮换和集成工具和功能,可用于当今使用的大多数主要AWS服务。其中的硬件模块符合行业标准要求,从不将所有密钥存储在硬盘或内存中,访问任何客户HSM都需要经过多层审核和批准。这允许客户将密钥存储在AWS云中,从而更容易从其他服务和系统进行访问。S3、EBS和Redshift等主要AWS服务现在可以使用AWSKMS控制的密钥加密离线数据。客户可以为每项服务使用主密钥,这是用户开始使用该服务时生成的默认密钥,或者客户可以使用AWSKMS按需创建和管理新密钥。用户还可以为亚马逊中的每个服务、应用程序类型或数据分类层单独定义密钥。KMS优势要开始使用AWSKMS,管理员必须首先访问AmazonAWS控制台中“IAM”服务类别下的“加密密钥”部分。新的密钥管理配置文件和策略也可以在这里定义,它们也符合亚马逊IAM规则的标准模型,并与所有标准的AWS应用程序编程接口(API)集成。事实上,这是KMS带来的最直接的优势之一,它与所有AWS服务API完全集成。此外,还提供了全新的密钥管理API,可以方便地为开发者和运维团队提供更实用的密钥管理体验,集成密钥访问、使用和生命周期管理。团队赞赏的另一个KMS安全元素是与AWSCloudTrail中的服务相关的所有活动都被完整记录。安全团队可以分析KMS记录,找出特定密钥的使用时间和方式,以及哪些服务和用户访问和使用了这些密钥。每月每个密钥版本1,这项新服务很可能是当今云中最实惠的密钥管理产品。API请求每10,000个请求也只需3美分。结论KMS很可能是现有AWS客户会立即使用的服务,安全团队会看到使用KMS的直接好处,因为所有AWS服务都支持它。这项服务没有明显的缺点,现有客户可以更好地控制密钥和强化安全流程,潜在的云服务客户可能能够实施他们以前因加密和密钥管理要求而不得不放弃的云服务。项目。
