KMS信封加密

飞儿506

来历：知乎



Hello大师好，接待来到《AWS处理计划架构师认证 Professional(SAP)中文视频培训课程》，我们在前面的课程会商了AWS KMS办事，以及实操演示了利用KMS天生的CMK客户主密钥停止加密、解密的操纵。
关注微信公众号：AWS爱好者(iloveaws)明天的课程内容信封加密，是KMS部分比力重要的内容。
我们起头明天的课程内容。


什么是信封加密？

我们先看下什么是信封加密。信封加密是类似数字信封技术的一种加密手段。
这类技术将加密数据的数据密钥封入信封中存储、传递、和利用，不再利用主密钥间接加解密数据。也就是说，信封加密利用客户主密钥天生数据密钥，然后用离线的数据密钥在当地加密大量数据，而不再利用主密钥间接加解密数据。
我们上节课实操演示了利用KMS的客户主密钥也就是CMK停止加密，将需要加密的明文内容为“www.iloveaws.cn”间接发送到AWS KMS中停止加密。那什么情况下利用信封加密呢？我们来看下：

• 首先，AWS KMS支持发送最大4KB的数据停止间接加密，假如需要加密的数据比力大的话就需要信封加密。
  
• 其次，信封加密可供给庞大的性能上风，当利用 AWS KMS 间接加密数据时，全部数据必须经过收集停止传输。信封加密下降了收集负载，由于经过收集发送的只要请求，同时传输的数据密钥也更小。避免向 AWS KMS 发送全部数据块并遭受收集提早。
  
• 最初，将需要加密的数据经过收集传输至KMS，虽然是经过平安信道通讯，也有能够会在传输进程中存在诸多风险，如窃听、钓鱼，且一些构造的平安政策也不答利用户将数据传输至AWS停止加密。
  

以上就是信封加密的界说及首要上风，我们之前课程提到的集成了 AWS KMS 的 AWS 办事和客户端工具包，也是利用信封加密的方式来庇护数据的。
好的，我们继续。


信封加密的工作流程

我们来看下信封加密是若何工作的。
1、首先，我们建立一个客户主密钥，也就是CMK。
2、CMK天生后，我们利用CMK天生数据密钥，一旦请求KMS天生数据密钥时，用户可以获得一个明文数据密钥和一个密文的数据密钥，共2个数据密钥。
3、然后利用明文数据密钥加密您办事器上的文件，天生密文文件。
4、将密文文件和密文数据密钥一同存储到持久化存储装备或办事中。
完成加密后，将明文文件，以及明文数据密钥删除。
以上，是加密流程部分。
当您完成上述加密操纵后，只保存密文密钥和密文文件，这样即使密文密钥和密文文件被窃取，也没法解密获得用户的明文文件。


接下来我们看下解密的步调：
1、需要解密文件时，首先从持久化存储装备或办事中读取密文数据密钥和密文文件
2、然后，挪用KMS办事的Decrypt接口，解密数据密钥，获得明文数据密钥
3、最初，利用明文数据密钥解密文件
好的，以上就是信封加密的加密息争密的进程，下面的内容我们快速实操演示下利用CMK天生数据密钥的操纵。


实操演示：CMK天生数据密钥

首先，我们需要利用aws cli号令天生数据密钥，翻开aws cli的kms号令参考页面，在此页面的最初【可用号令】部分，翻开generate-data-key号令页面。
我们前面讲过了，经过挪用generate-data-key号令，KMS会返回明文数据密钥以及密文数据密钥，然后利用明文数据密钥加密您自己办事器上的数据。
我们看下这个号令的摘要，号令需要指定cmk的密钥ID
然后还需要一个号令参数—数据密钥的长度，数据密钥的长度我们测试就利用AES_256，天生256位密钥。
好的，号令我们看完了，我们先到KMS治理控制台复制下CMK的密钥ID，然后切换到终端。


输入号令：aws kms generate-data-key --key-id 231973f0-4cbe-4ef5-8ac3-0ef3f8164960 --key-spec AES_256
key-id前面指定CMK的密钥ID，我们粘贴下，然后key-spec 我们输入 AES_256 然后运转号令。
好的，可以看到，号令履行后，返回了明文数据密钥以及密文数据密钥，然后您便可以利用明文数据密钥对您的办事器上的文件停止加密，加密后您可以将密文数据密钥和密文文件一同存储到持久化存储装备或办事中。
需要解密文件时，利用KMS的decrypt接口，将密文数据密钥解密为明文数据密钥，在利用明文数据密钥为当地文件解密。
好的，以上就是我们明天的课程内容，我们明天讲了KMS-信封加密的内容以及加解密的流程，并对天生数据密钥停止了实操演示。
信封加密在KMS办事部分是很是重要的内容，在考试中也会有响应的考点，希望本节课程会为同学们了解信封加密带来帮助。


希望此系列教程能为您经过 AWS处理计划架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• AWS爱好者的网址是http://www.iloveaws.cn。
  
• 可以经过扫码加入【AWS爱好者】微信公众号，检察原创的AWS常识点相关文章
  
• 加入【AWS爱好者】微信群，和其他同学一路备考，以及探讨交换AWS相关常识
  
• 加入【AWS常识星球】延续进修。
  

我们明天的视频课程就到这里，感激大师的旁观，我们下一课程再会。
关注微信公众号：AWS爱好者(iloveaws)



原文地址：https://zhuanlan.zhihu.com/p/143681021
免责声明：
1、文章部分图片源于收集，均为表示图；
2、一切文章、图片、音频视频文件等材料版权归版权一切人一切；
3、因非原创文章及图片等内容没法和版权者联系，如原作者或编辑以为作品不宜上网供阅读，或不应无偿利用，请实时告诉我们，以敏捷采纳适当办法，避免给双方形成不需要的经济损失；
4、本页面内容由爬虫法式自动收集于互联网，如无意中加害了媒体或小我的常识产权，请电邮【E-Mail:cb@yoyodoc.com】告之，我们将于24小时内删除。