我想用存储在本地HSM中的密钥对一些Amazons服务(主要是RDS)中的数据进行加密。
如果要使用AWS正常进行此操作,则应将密钥带入客户管理的密钥库,并在加密服务时使用其ARN。
我试图跳过此步骤并托管自己的密钥,将其直接提供给服务,而不将其存储在AWS上。我知道您可以使用“ Use Your own Encryption Keys with S3’s Server-Side Encryption”中记录的S3存储桶来执行此操作,但是我无法找到如何使用其他服务执行此操作。
答案 0 :(得分:0)
支持加密的AWS服务与KMS集成。因此,简短的答案是,否,即使使用自己的导入密钥(您已经注意到的S3除外),也必须使用KMS。
这是一件好事,KMS是一项完全托管的服务,可以自动处理基础密钥管理基础结构(KMI)的可用性,可伸缩性,安全性和硬件维护。它还与AWS CloudTrail协同工作,为您提供详细的审核信息。当您全部添加时,您就可以更好地控制密钥的生命周期和耐用性。请在此处查看与KMS集成的服务列表: https://aws.amazon.com/kms/features/#AWS_Service_Integration
如果您必须满足特定的合规性要求,则KMS通过 KMS自定义密钥存储功能与 AWS CloudHSM 集成。
S3和RDS是不同类型的服务,并且对不同事物的加密方式也不同。
使用 S3 REST API,您可以选择在每次请求时发送自我管理的加密密钥,无论是写入还是读取对象。这些密钥最终由您负责,如果丢失了这些密钥,则会丢失数据。
更多内容:https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerSideEncryptionCustomerKeys.html
在 RDS 中,加密的使用方式有所不同。为RDS实例启用加密后,静态加密的数据包括数据库实例的基础存储,其自动备份,只读副本和快照。这不是简单的S3 PUT或GET。
您可能想看看对Oracle和SQL Server的透明数据加密(TDE)支持,该支持在数据库文件级别提供加密,对数据和日志文件执行实时I / O加密和解密(无论如何)底层存储)。