©2020 Amazon Web Services，Inc。及其附属公司。版权所有。未经亚马逊Web服务，Inc。禁止商业复制，贷款或销售，全部或部分不得重现或重新分发或重新分配或重新分配这项工作。

错误或更正？给我们发电子邮件 [email protected].

其他问题？联系我们  //aws.amazon.com/contact-us/aws-training/

实验室概述

此实验室将您介绍了AWS密钥管理服务自定节目实验室的介绍。它将为您提供对AWS密钥管理服务的基本理解。它将展示从密钥管理服务启动所需的基本步骤，创建密钥，为键分配管理和使用权限，加密数据和监视键的访问和使用情况。

主题涵盖

在本实验室结束时，您将能够：

• 创建加密密钥
• 使用CloudTrail Logging功能创建S3存储桶
• 使用加密密钥加密存储在S3存储桶中的数据
• 使用CloudTrail监控加密密钥使用
• 管理用户和角色的加密密钥

先决条件

一些熟悉访问控制管理。

强烈建议使用Google Chrome Web浏览器完成此实验室。如果您不能使用Google Chrome，那么您需要在计算机上有一个实用程序，可以打开Gzip压缩文件（* .gz）。

AWS.关键管理服务（KMS）

AWS.密钥管理服务（KMS）是一个托管服务，使您可以轻松创建和控制用于加密数据的加密密钥，并使用硬件安全模块（HSMS）保护键的安全性。 AWS密钥管理服务与其他一些AWS服务集成，以帮助您保护您存储的数据使用这些服务。 AWS密钥管理服务也与AWS CloudTrail集成，为您提供所有关键用法的日志，以帮助满足您的监管和合规需求。

AWS. CloudTrail.

AWS. CloudTrail.是一项服务，可实现您的AWS账户的治理，合规性，运营审核和风险审计。使用CloudTrail，您可以记录，持续监控和保留与AWS基础架构中的操作相关的帐户活动。 CloudTrail提供了AWS帐户活动的事件历史记录，包括通过AWS管理控制台，AWS SDK，命令行工具和其他AWS服务所采取的操作。此事件历史记录简化了安全性分析，资源更改跟踪和故障排除。

亚马逊S3

今天的公司需要能够以大规模的规模简单和安全地收集，存储和分析数据。 Amazon S3是用于存储和检索来自Anywhere - 网站和移动应用程序，企业应用程序以及IoT传感器或设备的数据的所有数据的对象存储。它旨在提供99.999999999％的耐用性，并将市场领导人在每个行业中使用的数百万应用的数据存储。 S3提供了符合最严格的监管要求的全面安全性和合规性功能。它使客户在他们管理成本优化，访问控制和合规性数据的方式方面提供了灵活性。 S3是具有查询功能的唯一云存储解决方案，允许您在S3中休息时直接运行强大的分析。 Amazon S3是最受支持的存储平台，具有最大的ISV解决方案和系统集成器合作伙伴生态系统。

•  

任务1：创建您的KMS主密钥

在此任务中，您将创建一个KMS主密钥。 KMS Master键使您可以轻松地在AWS服务中加密数据以及在您自己的应用程序中。

3. 在里面 AWS.管理控制台，在这方面 服务 菜单，点击 主要管理服务.

4. 点击 创建一个钥匙 然后配置：

• 在这一点 配置密钥 页面，选择  对称
• 点击 下一页

5. 在这一点 添加标签 页面配置：

• 别名： 
• 描述： 
• 点击 下一页

描述加密密钥将在描述中关联的服务是一种很好的做法。

6. 在这一点 定义关键管理权限， 选择  用户或角色'重新登录到控制台。

此用户显示在页面顶部，到该区域左侧。

7. 点击 下一页

主要管理员 是将管理对加密密钥的访问的用户或角色。

8. 在这一点 定义密钥使用权限 页面，选择  用户或角色'重新登录到控制台。

9. 点击 下一页

关键用户 是将使用密钥加密和解密数据的用户或角色。

10. 在这一点 查看和编辑关键策略 页：

• 查看主要政策
• 点击 结束

11. 复制密钥ID myfirstkey. 到文本编辑器。

在查看此KMS密钥的日志活动时，您将使用key id。

任务2：配置CloudTrail以存储S3桶中的日志

在此任务中，您将配置CloudTrail以将日志文件存储在新的S3存储桶中。

12. 在这一点 服务 菜单，点击 云Trail..

13. 如果你看到了 现在就开始 按钮，单击它。如果没有，请继续下一步。

14. 在左侧导航窗格中，单击 迹.

15. 在里面 迹 部分，点击 创造踪迹 然后配置：

• 普通名称： 
• 将足迹涂抹在所有地区：  不
• 创建一个新的S3桶：  是的
• S3铲斗*： 
• 代替 数字 随机数

• 点击 创造

任务3：将图像上传到S3桶并加密它

在此任务中，您将将图像文件上传到S3存储桶，并使用您之前创建的加密密钥加密。你'LL使用您在上一个任务中创建的S3存储桶来存储图像文件。

16. 在这一点 服务 菜单，点击 S3.

17. 点击 mycloudtrailbucket *.

18. 点击  Upload

这将带你到 选择文件 对话框。

19. 在 （1）选择文件：

• 点击 添加文件
• 浏览并在计算机上选择图像文件
• 点击 下一页

这将带你到 （2）设置权限 对话框。

20. 在 （2）设置权限， 点击 下一页

这将带你到 （3）设置属性 对话框。

21. 在 （3）设置属性， 配置：

• 加密：  AWS. KMS主键
• 选择一个密钥： myfirstkey.
• 点击 下一页

这将带你到 审查 对话框。

22. 在 （4）审查， 点击 上传

图像文件将上载。

23. 单击图像文件的名称。

24. 在里面 概述选项卡 对于文件，记录 最后修改 时间到您的文本编辑器。

任务4：访问加密的图像

在此任务中，您将尝试通过AWS管理控制台和S3链接访问加密图像。

25. 在里面 概述 选项卡，单击 打开

图像在新的选项卡/窗口中打开。

亚马逊S3和AWS KMS在请求解密数据时执行以下操作。

• 亚马逊S3sends the encrypted data key to AWS KMS
• AWS. KMS通过使用适当的主密钥解密密钥，并将明文键发送回Amazon S3
• 亚马逊S3解密密文并尽快从内存中删除明文数据密钥

26. 关闭显示图像的窗口/选项卡。

27. 复制S3. 对象网址 在页面底部到文本编辑器。

S3对象URL应该看起来类似于 

28. 将早期复制到新浏览器/窗口中的S3对象URL粘贴。

29. 按 进入.

30. 页面展示了什么？

它应该显示 拒绝访问。这是因为，不允许默认公共访问权限。

31. 在里面 S3管理控制台，在这方面 概述 为您的图像选项卡，单击 公之于众

32. 刷新您之前打开的新选项卡/窗口的屏幕。

33. 你看到了什么？

因为图像是加密的，所以您无法使用公共链接查看它。你应该看到一条消息说 请求使用AWS KMS管理密钥指定服务器侧加密需要AWS签名版本4。

如果您正在上传或访问由SSE-KMS加密的对象，则需要使用AWS签名版本4以增加安全性。签名版本4是将身份验证信息添加到AWS请求的过程。当您使用AWS命令行界面（AWS CLI）或一个AWS SDK来对AWS进行请求时，这些工具将使用您在配置工具时指定的Access键对您签署请求。当你使用这些工具时，你不要'需要学习如何自己签署请求。有关此过程的更多信息，请阅读此博客文章： 博客帖子

34. 关闭新/选项卡窗口。

任务5：使用CloudTrail日志监控KMS活动

在此任务中，您将访问CloudTrail日志文件，并查看日志相关的加密操作。

35. 在里面 AWS.管理控制台， 点击 亚马逊S3 链接返回S3根。

36. 点击 mycloudtrailbucket *.

37. 深入了解 Awslogs. 文件夹直到您到达包含日志文件的文件夹。

路径应该类似于： 亚马逊S3> AWSLogs > 197167081626 > CloudTrail > us-west-2 > 2019 > 07 > 10

如果你不't查看任何日志文件，单击 刷新  每隔几秒按钮，直到您看到日志文件。

日志文件将具有扩展名 * .json.gz.

38. 你看到了一个日志文件吗？'s 最后修改 日期晚于您下载的图像文件的时间戳？________

39. 如果有没有't a log file who's 最后修改 数据晚于上传的成像文件的时间戳，继续单击 刷新  每隔几秒钟扣按钮。

最多可能需要5分钟才能看到具有一个的日志文件 最后修改 时间戳大于您上载的图像文件的时间戳。

40. 单击列表中的最新日志文件。

41. 在里面 概述 选项卡，单击 打开.

42. 如果您看到弹出安全警告，请确认您要打开文件。如果没有，请继续下一步。

 您的浏览器安全设置可能只是忽略弹出窗口。如果您没有看到任何已打开的文件并且没有看到弹出警报，则应在浏览器中启用弹出窗口's settings section.

如果您没有使用Google Chrome或Firefox，则可能需要在您自己的计算机上使用本地实用程序下载和解压缩GZ压缩文件。一旦.gz文件被解压缩，您将需要在文本编辑器中打开它。

日志文件采用JSON格式，并包含CloudTrail已记录的每个API调用。根据您使用的浏览器，日志文件可能看起来略有不同。

43. 在日志文件中搜索以下内容：

• 您复制到文本编辑器的加密密钥ID
• 您上传的文件的名称。 （您应该在包含加密密钥ID的相同日志文件中的文件名称）

 如果您无法找到上述项目，请等待五分钟以显示下一个日志文件以显示并打开该日志文件。第一个日志文件可能不包含您要查找的日志。

这是在Firefox中打开的日志文件。默认情况下，它以JSON格式显示日志文件，这是一个非常好的格式，以查看日志文件。

在此日志文件中，您可以看到以下内容：

• 由S3调用请求
• EventSource是KMS
• 此事件生成了数据密钥
• exple.jpg是加密的文件的名称
• 将显示加密密钥范围

任务6：管理加密密钥

在此任务中，您将管理用户和角色的加密密钥。

44. 在这一点 服务 菜单，点击 主要管理服务.

45. 点击 myfirstkey..

在此页面上，您可以更改键描述， 添加 或者 去掉 关键管理员和关键用户，允许外部用户访问密钥并将关键放入年度旋转。

46. 在里面 关键用户 部分，选择  您与之登录的用户或角色。

47. 点击 去掉

您已删除了用户使用此密钥的权限。

48. 在里面 关键用户 部分，单击 添加 然后：

• 选择  您与之登录的用户或角色
• 点击 添加

这展示了如何控制哪个IAM用户或角色可以使用您创建的KMS键。相同的添加和删除步骤用于控制哪些IAM用户可以管理KMS键。

结束实验室

按照以下步骤关闭控制台，结束您的实验室，并评估体验。

49. 返回AWS管理控制台。

50. 在导航栏上，单击 awsptudent @<AccountNumber>，然后单击 登出.

51. 点击 结束实验室

52. 点击 好的

53. （可选的）：

• 选择适用的星星数量 
• 输入评论

• 点击 提交

  • 1星=非常不满意
  • 2星=不满意
  • 3星=中性
  • 4星=满意
  • 5星=非常满意

如果你没有，你可以关闭对话'想要提供反馈。

结论

 恭喜！你现在知道如何：

• 创建了一个加密密钥
• 使用CloudTrail Logging功能创建了S3存储桶
• 加密和图像并将其存储在S3桶中
• 使用AWS管理控制台查看加密图像
• 使用CloudTrail监控加密密钥使用
• 用于用户和角色的托管加密密钥

额外资源

• 亚马逊重点管理服务定价
• AWS.培训& Certification

有关反馈，建议或更正，请发送电子邮件给我们 [email protected].