论坛

AWS.简介......
 
Notifications
清除所有

AWS.密钥管理服务简介


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

AWS.密钥管理服务简介

该实验室提供了AWS关键管理服务的基本理解和实践经验。它将展示从密钥管理服务启动所需的基本步骤,创建密钥,为键分配管理和使用权限,加密数据和监视键的访问和使用情况。对于实验室用作写入,请不要更改自动分配的区域。

 

AWS.密钥管理服务简介

SPL-87 - 版本2.0.9

©2020 Amazon Web Services,Inc。及其附属公司。版权所有。未经亚马逊Web服务,Inc。禁止商业复制,贷款或销售,全部或部分不得重现或重新分发或重新分配或重新分配这项工作。

错误或更正?给我们发电子邮件 [email protected].

其他问题?联系我们  //aws.amazon.com/contact-us/aws-training/

实验室概述

此实验室将您介绍了AWS密钥管理服务自定节目实验室的介绍。它将为您提供对AWS密钥管理服务的基本理解。它将展示从密钥管理服务启动所需的基本步骤,创建密钥,为键分配管理和使用权限,加密数据和监视键的访问和使用情况。

主题涵盖

在本实验室结束时,您将能够:

  • 创建加密密钥
  • 使用CloudTrail Logging功能创建S3存储桶
  • 使用加密密钥加密存储在S3存储桶中的数据
  • 使用CloudTrail监控加密密钥使用
  • 管理用户和角色的加密密钥

先决条件

一些熟悉访问控制管理。

强烈建议使用Google Chrome Web浏览器完成此实验室。如果您不能使用Google Chrome,那么您需要在计算机上有一个实用程序,可以打开Gzip压缩文件(* .gz)。

AWS.关键管理服务(KMS)

AWS.密钥管理服务(KMS)是一个托管服务,使您可以轻松创建和控制用于加密数据的加密密钥,并使用硬件安全模块(HSMS)保护键的安全性。 AWS密钥管理服务与其他一些AWS服务集成,以帮助您保护您存储的数据使用这些服务。 AWS密钥管理服务也与AWS CloudTrail集成,为您提供所有关键用法的日志,以帮助满足您的监管和合规需求。

AWS. CloudTrail.

AWS. CloudTrail.是一项服务,可实现您的AWS账户的治理,合规性,运营审核和风险审计。使用CloudTrail,您可以记录,持续监控和保留与AWS基础架构中的操作相关的帐户活动。 CloudTrail提供了AWS帐户活动的事件历史记录,包括通过AWS管理控制台,AWS SDK,命令行工具和其他AWS服务所采取的操作。此事件历史记录简化了安全性分析,资源更改跟踪和故障排除。

亚马逊S3

今天的公司需要能够以大规模的规模简单和安全地收集,存储和分析数据。 Amazon S3是用于存储和检索来自Anywhere - 网站和移动应用程序,企业应用程序以及IoT传感器或设备的数据的所有数据的对象存储。它旨在提供99.999999999%的耐用性,并将市场领导人在每个行业中使用的数百万应用的数据存储。 S3提供了符合最严格的监管要求的全面安全性和合规性功能。它使客户在他们管理成本优化,访问控制和合规性数据的方式方面提供了灵活性。 S3是具有查询功能的唯一云存储解决方案,允许您在S3中休息时直接运行强大的分析。 Amazon S3是最受支持的存储平台,具有最大的ISV解决方案和系统集成器合作伙伴生态系统。

  •  

任务1:创建您的KMS主密钥

在此任务中,您将创建一个KMS主密钥。 KMS Master键使您可以轻松地在AWS服务中加密数据以及在您自己的应用程序中。

  1. 在里面 AWS.管理控制台,在这方面 服务 菜单,点击 主要管理服务.

  2. 点击 创建一个钥匙 然后配置:

  • 在这一点 配置密钥 页面,选择  对称
  • 点击 下一页
  1. 在这一点 添加标签 页面配置:
  • 别名: 
  • 描述: 
  • 点击 下一页

描述加密密钥将在描述中关联的服务是一种很好的做法。

  1. 在这一点 定义关键管理权限, 选择  用户或角色'重新登录到控制台。

此用户显示在页面顶部,到该区域左侧。

  1. 点击 下一页

主要管理员 是将管理对加密密钥的访问的用户或角色。

  1. 在这一点 定义密钥使用权限 页面,选择  用户或角色'重新登录到控制台。

  2. 点击 下一页

关键用户 是将使用密钥加密和解密数据的用户或角色。

  1. 在这一点 查看和编辑关键策略 页:
  • 查看主要政策
  • 点击 结束
  1. 复制密钥ID myfirstkey. 到文本编辑器。

在查看此KMS密钥的日志活动时,您将使用key id。

任务2:配置CloudTrail以存储S3桶中的日志

在此任务中,您将配置CloudTrail以将日志文件存储在新的S3存储桶中。

  1. 在这一点 服务 菜单,点击 云Trail..

  2. 如果你看到了 现在就开始 按钮,单击它。如果没有,请继续下一步。

  3. 在左侧导航窗格中,单击 .

  4. 在里面  部分,点击 创造踪迹 然后配置:

  • 普通名称: 
  • 将足迹涂抹在所有地区:  
  • 创建一个新的S3桶:  是的
  • S3铲斗*: 
  • 代替 数字 随机数

randomnumber.

  • 点击 创造

任务3:将图像上传到S3桶并加密它

在此任务中,您将将图像文件上传到S3存储桶,并使用您之前创建的加密密钥加密。你'LL使用您在上一个任务中创建的S3存储桶来存储图像文件。

  1. 在这一点 服务 菜单,点击 S3.

  2. 点击 mycloudtrailbucket *.

  3. 点击  Upload

这将带你到 选择文件 对话框。

  1.  (1)选择文件:
  • 点击 添加文件
  • 浏览并在计算机上选择图像文件
  • 点击 下一页

这将带你到 (2)设置权限 对话框。

  1.  (2)设置权限, 点击 下一页

这将带你到 (3)设置属性 对话框。

  1.  (3)设置属性, 配置:
  • 加密:  AWS. KMS主键
  • 选择一个密钥: myfirstkey.
  • 点击 下一页

这将带你到 审查 对话框。

  1.  (4)审查, 点击 上传

图像文件将上载。

  1. 单击图像文件的名称。

  2. 在里面 概述选项卡 对于文件,记录 最后修改 时间到您的文本编辑器。

任务4:访问加密的图像

在此任务中,您将尝试通过AWS管理控制台和S3链接访问加密图像。

  1. 在里面 概述 选项卡,单击 打开

图像在新的选项卡/窗口中打开。

亚马逊S3和AWS KMS在请求解密数据时执行以下操作。

  • 亚马逊S3sends the encrypted data key to AWS KMS
  • AWS. KMS通过使用适当的主密钥解密密钥,并将明文键发送回Amazon S3
  • 亚马逊S3解密密文并尽快从内存中删除明文数据密钥
  1. 关闭显示图像的窗口/选项卡。

  2. 复制S3. 对象网址 在页面底部到文本编辑器。

S3对象URL应该看起来类似于 

  1. 将早期复制到新浏览器/窗口中的S3对象URL粘贴。

  2.  进入.

  3. 页面展示了什么?

它应该显示 拒绝访问。这是因为,不允许默认公共访问权限。

拒绝访问

  1. 在里面 S3管理控制台,在这方面 概述 为您的图像选项卡,单击 公之于众

  2. 刷新您之前打开的新选项卡/窗口的屏幕。

  3. 你看到了什么?

因为图像是加密的,所以您无法使用公共链接查看它。你应该看到一条消息说 请求使用AWS KMS管理密钥指定服务器侧加密需要AWS签名版本4。

如果您正在上传或访问由SSE-KMS加密的对象,则需要使用AWS签名版本4以增加安全性。签名版本4是将身份验证信息添加到AWS请求的过程。当您使用AWS命令行界面(AWS CLI)或一个AWS SDK来对AWS进行请求时,这些工具将使用您在配置工具时指定的Access键对您签署请求。当你使用这些工具时,你不要'需要学习如何自己签署请求。有关此过程的更多信息,请阅读此博客文章: 博客帖子

  1. 关闭新/选项卡窗口。

任务5:使用CloudTrail日志监控KMS活动

在此任务中,您将访问CloudTrail日志文件,并查看日志相关的加密操作。

  1. 在里面 AWS.管理控制台, 点击 亚马逊S3 链接返回S3根。

  2. 点击 mycloudtrailbucket *.

  3. 深入了解 Awslogs. 文件夹直到您到达包含日志文件的文件夹。

路径应该类似于: 亚马逊S3> AWSLogs > 197167081626 > CloudTrail > us-west-2 > 2019 > 07 > 10

如果你不't查看任何日志文件,单击 刷新  每隔几秒按钮,直到您看到日志文件。

日志文件将具有扩展名 * .json.gz.

日志

  1. 你看到了一个日志文件吗?'s 最后修改 日期晚于您下载的图像文件的时间戳?________

  2. 如果有没有't a log file who's 最后修改 数据晚于上传的成像文件的时间戳,继续单击 刷新  每隔几秒钟扣按钮。

最多可能需要5分钟才能看到具有一个的日志文件 最后修改 时间戳大于您上载的图像文件的时间戳。

  1. 单击列表中的最新日志文件。

  2. 在里面 概述 选项卡,单击 打开.

  3. 如果您看到弹出安全警告,请确认您要打开文件。如果没有,请继续下一步。

 您的浏览器安全设置可能只是忽略弹出窗口。如果您没有看到任何已打开的文件并且没有看到弹出警报,则应在浏览器中启用弹出窗口's settings section.

如果您没有使用Google Chrome或Firefox,则可能需要在您自己的计算机上使用本地实用程序下载和解压缩GZ压缩文件。一旦.gz文件被解压缩,您将需要在文本编辑器中打开它。

日志文件采用JSON格式,并包含CloudTrail已记录的每个API调用。根据您使用的浏览器,日志文件可能看起来略有不同。

  1. 在日志文件中搜索以下内容:
  • 您复制到文本编辑器的加密密钥ID
  • 您上传的文件的名称。 (您应该在包含加密密钥ID的相同日志文件中的文件名称)

 如果您无法找到上述项目,请等待五分钟以显示下一个日志文件以显示并打开该日志文件。第一个日志文件可能不包含您要查找的日志。

这是在Firefox中打开的日志文件。默认情况下,它以JSON格式显示日志文件,这是一个非常好的格式,以查看日志文件。

在此日志文件中,您可以看到以下内容:

  • 由S3调用请求
  • EventSource是KMS
  • 此事件生成了数据密钥
  • exple.jpg是加密的文件的名称
  • 将显示加密密钥范围

Firefox日志

任务6:管理加密密钥

在此任务中,您将管理用户和角色的加密密钥。

  1. 在这一点 服务 菜单,点击 主要管理服务.

  2. 点击 myfirstkey..

在此页面上,您可以更改键描述, 添加 或者 去掉 关键管理员和关键用户,允许外部用户访问密钥并将关键放入年度旋转。

  1. 在里面 关键用户 部分,选择  您与之登录的用户或角色。

  2. 点击 去掉

您已删除了用户使用此密钥的权限。

  1. 在里面 关键用户 部分,单击 添加 然后:
  • 选择  您与之登录的用户或角色
  • 点击 添加

这展示了如何控制哪个IAM用户或角色可以使用您创建的KMS键。相同的添加和删除步骤用于控制哪些IAM用户可以管理KMS键。

结束实验室

按照以下步骤关闭控制台,结束您的实验室,并评估体验。

  1. 返回AWS管理控制台。

  2. 在导航栏上,单击 awsptudent @<AccountNumber>,然后单击 登出.

  3. 点击 结束实验室

  4. 点击 好的

  5. (可选的):

  • 选择适用的星星数量 
  • 输入评论
  • 点击 提交

    • 1星=非常不满意
    • 2星=不满意
    • 3星=中性
    • 4星=满意
    • 5星=非常满意

如果你没有,你可以关闭对话'想要提供反馈。

结论

 恭喜!你现在知道如何:

  • 创建了一个加密密钥
  • 使用CloudTrail Logging功能创建了S3存储桶
  • 加密和图像并将其存储在S3桶中
  • 使用AWS管理控制台查看加密图像
  • 使用CloudTrail监控加密密钥使用
  • 用于用户和角色的托管加密密钥

额外资源

有关反馈,建议或更正,请发送电子邮件给我们 [email protected].

 

分享: