AWS KMS介绍及其用法

2016-07-06 本文已影响1259人 iambowen

什么是KMS

KMS是AWS提供的中心化的key托管服务，它使用硬件安全模块 (HSM)保护密钥安全。它可以被集成到其它的AWS服务中，如S3, EBS, RDS等，同时所有关于key的使用都会在CloudTrail中记录，以方便审计。

KMS的优点

基本上来自于文档，其好处有如下几点：

中心化的key托管服务。举个例子，对于不同的环境(staging/production)，我们需要维护不同private key 去做部署，调试等等，还得考虑定期rotate。出于安全考虑，这些private key不推荐和部署的repo放在一起。一般情况下你得把它们放在一个统一的地方去保存，如Rattic或者Vault去管理。这样的话，你的承担这些工具的维护任务。KMS可以让你免除维护的压力。
和 AWS 服务的集成。S3，EBS，RDS的数据加密，都可以使用KMS。同时，它也支持命令行或者API去管理key，进行key的rotate，加密解密等。
可伸缩性、耐用性和高可用性。KMS会自动帮你保存key多份拷贝，耐用性99.999999999%，同时KMS会在多个AZ部署，保证高可用性。
安全。KMS在服务端通过硬件加密，保证了你在上面存储的key的安全性。其实现的细节在这里
审计。对于key的请求，都会被记录在CloudTrail中，方便审计。

可以看到的好处有很多，比如直接把加密过后的private key或者密码扔到repo中，再也不用担心被别人拿去干坏事。

使用 KMS 服务

要使用KMS服务，首先得创建一个新的master key。key是按照region划分，自己创建key的价格是1刀一个月，每个月的前20000次请求是免费的。

创建新key

在AWS Console -> IAM界面的Encryption Keys中找到创建Key和Key管理的选项，如key的Enable、Disable或者删除等。当然，我们可以通过AWS CLI来创建key，这样可以将整个过程用代码管理起来:

假设AWS account为123456789,指定key policy并保存到文件(e.g policy.json)中


{

"Id": "KeyPolicy-1",

"Version": "2012-10-17",

"Statement": [

{

"Sid": "Allow access for Admin",

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::123456789:root"

},

"Action": [

"kms:Create*",

"kms:Describe*",

"kms:Enable*",

"kms:List*",

"kms:Put*",

"kms:Update*",

"kms:Revoke*",

"kms:Disable*",

"kms:Get*",

"kms:Delete*",

"kms:ScheduleKeyDeletion",

"kms:CancelKeyDeletion"

],

"Resource": "*"

}

]

}

创建key，并绑定对应的policy


~> aws kms create-key --key-usage "encryption key" --description "master key" --policy "$(cat policy.json)"

返回的内容可能如下


{

"KeyMetadata": {

"KeyId": "aabbccdd-4444-5555-6666-778899001122",

"Description": "master key",

"Enabled": true,

"KeyUsage": "encryption key",

"CreationDate": 2433401783.841,

"Arn": "arn:aws:kms:ap-southeast-2:123456789:key/aabbccdd-4444-5555-6666-778899001122",

"AWSAccountId": "123456789"

}

}

授权IAM user/role去使用或者管理key,这是除了policy之外的另一种访问管理控制的机制。


{

"Sid": "Allow use of the key",

"Effect": "Allow",

"Principal": {"AWS": [

"arn:aws:iam::111122223333:user/KMSUser",

"arn:aws:iam::111122223333:role/KMSRole",

]},

"Action": [

"kms:Encrypt",

"kms:Decrypt",

"kms:ReEncrypt*",

"kms:GenerateDataKey*",

"kms:DescribeKey"

],

"Resource": "*"

}

创建alias,可以作为keyid的替身使用


aws kms create-alias --alias-name "alias/test-encryption-key" --target-key-id aabbccdd-4444-5555-6666-778899001122

使用key去加密文件。加密后的输出为base64编码后的密文，可以进一步解码为二进制文件。


aws kms encrypt --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --plaintext fileb://ExamplePlaintextFile --output text --query CiphertextBlob | base64 --decode > ExampleEncryptedFile

解密文件，原理如加密的过程。


aws kms decrypt --ciphertext-blob fileb://ExampleEncryptedFile --output text --query Plaintext | base64 --decode > ExamplePlaintextFile

局限性

这种使用KMS的方式只能加密最多4KB的数据。想要加密更大的数据可以使用KMS去生成一个Data Key，然后利用Data Key去加密数据。

使用场景举例

在我们��项目中，在AWS上部署的大多数APP都是（尽量）遵循12factors原则的。应用运行时依赖的配

置是通过user-data传入环境变量设置。在一个instance上启动服务的过程大致如下：

在launchConfiguration中为instance添加instanceProfile，对应的role有使用KMS的权限；
在user-data中设置cypher text并且解密到环境变量中:


cipher="CiBwo3lXT5T+pTZu7P9Cqkh0Iolpaz9FMzha5jJb6kTdiBKNAQEBAgB4cKN5V0+U/qU2buz/QqpIdCKJaWs/RTM4WuYyW+pE3YgAAABkMGIGCSqGSIb3DQEHBqBVMFMCAQAwTgYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAwIxkIN0TeX1HiWyj0CARCAIVaSfD/spTBFAfBVIp/Wy6TadlwUKKz/oTMWUUob9fcxdg=="

cipher_blob=$(mktemp /tmp/blob.123)

echo -n "${cipher}" | base64 -D > cipher_blob

PASSWORD=$(aws kms decrypt --ciphertext-blob fileb://$cipher_blob \

--query "Plaintext"                        \

--output text                              \

--region ap-southeast-2  | \

base64 -D

)

docker run -d -e PASSWORD=$PASSWORD .......

Data Key的使用

KMS的data key其实比较简单，实际上是KMS生成一段密码，然后返回密码以及master key加密后的base64编码后的结果。Plaintext的内容是密码，CiphertextBlob是master key加密后base64编码的结果。


{

"Plaintext": "XaDqIbBq123456+bujcfVo8K/0l/jMjIu+EjRXVvEY=",

"KeyId": "arn:aws:kms:ap-southeast-2:351339750357:key/911014f9-7f4a-4327-9cca-2a71e09a103d",

"CiphertextBlob": "CiBrnpSZxaF1w99LXbTuTSya3234234234234aq/LVdsInxKnAQEBAwB4a56UmcWhdcPfS1207k0smt287Q0Rd+o3O2qvy1XbCJ8AAAB+MHwGCSqGSIb3DQEHBqBvMG0CAQAwaAYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAzKeSDehF9pXwNJuDYCARCAOwzn9T+s6yS2odh0WKIz98scxHnofzTyxAdpxyOit1Z6VSjv9KroTsqBX/bu+gX24NIoA2lLnN7mn1EY"

}

在本地用Plaintext作为密码，用对称性加密的方式加密文件，然后把密码的内容删掉，在有需要的时候用KMS把CiphertextBlob中的内容解密出来，再利用这个密码解密文件。


openssl enc -aes-256-cbc -salt -in SECRET_FILE -out SECRET_FILE.enc -pass pass:data_key_plain_text

openssl enc -aes-256-cbc -salt -in SECRET_FILE.enc -out SECRET_FILE -d -pass pass:data_key_plain_text