Suchen Sie nach einer Möglichkeit, Ihre Daten schnell zu verschlüsseln und zu entschlüsseln? Schauen Sie sich AWS Key Management an! Dieser Service bietet ein hohes Sicherheitsniveau für Ihre Daten, indem Sie kryptografische Schlüssel erstellen und verwalten können. Sie können auch kontrollieren, wer Zugriff auf Ihre Schlüssel hat und welche Aktionen sie damit ausführen können.
Dieses Tutorial deckt keineswegs alles ab, was es über AWS Key Management zu wissen gibt. Es gibt Ihnen jedoch einen guten Überblick über die Grundlagen der Verwendung dieses leistungsstarken Tools.
Lesen Sie weiter, um von den Sicherheitsvorteilen von AWS Key Management zu profitieren!
Voraussetzungen
Dieses Tutorial wird eine praktische Demonstration sein. Wenn Sie mitmachen möchten, stellen Sie sicher, dass Sie folgendes haben.
- Einen aktiven AWS-Account. Sie können ein AWS-Konto kostenlos hier erstellen. Die kostenlose Stufe enthält genügend Dienste, um mit diesem Tutorial zu beginnen.
- Sie haben AWS CLI auf Ihrem Rechner installiert und konfiguriert. Schauen Sie sich dieses Tutorial für weitere Informationen an.
Erstellen eines KMS-Schlüssels mit der AWS-Konsole
Lesen Sie weiter, wenn Sie die AWS-Konsole (GUI) anstelle der AWS CLI bevorzugen. Der folgende Abschnitt wird Sie durch die Erstellung eines KMS-Schlüssels mithilfe der Konsole führen.
Erstellen eines IAM-Benutzers
Um loszulegen, müssen Sie einen IAM-Benutzer erstellen, den Sie zur Verwendung des AWS Key Management Service von der AWS-Befehlszeilenschnittstelle (CLI) aus verwenden werden.
IAM-Benutzer sind separat von Ihren AWS-Stammkontozugriffsinformationen. Die Verwendung von IAM-Benutzern wird als bewährte Methode betrachtet, da sie es Ihnen ermöglicht, eine granulare Kontrolle darüber zu haben, wer auf welche Ressourcen in Ihrem AWS-Konto zugreifen kann.
Befolgen Sie diese Schritte, um einen IAM-Benutzer mit Passwortzugriff für den AWS Key Management Service zu erstellen:
1. Melden Sie sich beim AWS Management Console als Root-Benutzer an.
2. Geben Sie IAM in die Suchleiste für Dienste ein und wählen Sie IAM aus den Ergebnissen aus, um die IAM-Konsole zu öffnen. Diese Konsole ist der Ort, an dem Sie IAM-Benutzer und deren Berechtigungen verwalten können.
3. Navigieren Sie zu Benutzer → Benutzer hinzufügen, um einen neuen IAM-Benutzer hinzuzufügen.
4. Führen Sie auf der Seite „Benutzer hinzufügen“ die folgenden Schritte aus.
Geben Sie einen Namen für Ihren neuen Benutzer ein. In diesem Beispiel heißt er KMSUserConsole.
Wählen Sie die Option Passwort – Zugriff auf die AWS Management Console-Radiotaste > Automatisch generiertes Passwort. Diese Option generiert ein zufälliges Passwort für Ihren Benutzer.
Vergewissern Sie sich, dass das Kontrollkästchen Der Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen nicht aktiviert ist. Dadurch können Sie sich als dieser Benutzer anmelden, ohne das Passwort zuerst zurücksetzen zu müssen.
Klicken Sie auf Weiter: Berechtigungen, um fortzufahren.
5. Auf der Seite Berechtigungen festlegen wählen Sie Vorhandene Richtlinien direkt anhängen aus. Wählen Sie AdministratorAccess aus der Liste der verfügbaren Richtlinien aus. Diese Richtlinie gewährt dem Benutzer vollen Zugriff auf AWS, einschließlich der Fähigkeit, Schlüssel zu erstellen und zu verwalten.
Klicken Sie auf Weiter: Tags, um fortzufahren.
6. Auf der Seite Tags hinzufügen (optional) können Sie relevante Tags für Ihren Benutzer hinzufügen. Für dieses Tutorial fügen Sie keine Tags hinzu. Klicken Sie auf Weiter: Überprüfen, um die Berechtigungen und Informationen Ihres Benutzers zu überprüfen.
7. Stellen Sie sicher, dass die Richtlinie AdministratorAccess ausgewählt ist, und klicken Sie auf Benutzer erstellen, um die Erstellung Ihres neuen IAM-Benutzers abzuschließen.
8. Die Erstellung des IAM-Benutzers endet nach einigen Minuten, und Sie sehen eine Erfolgsmeldung.
Kopieren oder speichern Sie das Passwort an einem sicheren Ort, da Sie es später benötigen, um sich als dieser neue IAM-Benutzer anzumelden.
Klicken Sie auf die URL neben der Nachricht, um zur Anmeldeseite des IAM-Benutzers zu gelangen.
Klicken Sie auf Schließen, um das Fenster mit der Nachricht zu schließen.
9. Geben Sie auf der nächsten Seite den Benutzernamen und das gerade generierte Passwort ein und klicken Sie auf Anmelden, um sich als Ihr neuer IAM-Benutzer anzumelden.
Erstellen eines KMS-Schlüssels mit der AWS-Konsole
Nachdem Sie sich in der AWS Management Console als Ihr IAM-Benutzer angemeldet haben, sind Sie bereit, Ihren ersten KMS-Schlüssel zu erstellen.
Befolgen Sie diese Schritte, um einen KMS-Schlüssel mit der AWS-Konsole zu erstellen.
1. Geben Sie KMS in die Suchleiste für Dienste ein. Wählen Sie Key Management Service aus den Ergebnissen aus, um die KMS-Konsole zu öffnen.
2. Klicken Sie auf Kundengesteuerte Schlüssel in der linken Seitenleiste> Erstellen Sie einen Schlüssel, um einen neuen KMS-Schlüssel zu erstellen.
3. Führen Sie auf dem nächsten Bildschirm folgende Schritte aus.
Schlüsseltyp: Wählen Sie Symmetrisch. Diese Art von Schlüssel dient der Verschlüsselung und Entschlüsselung und eignet sich am besten für die meisten Anwendungsfälle.
Schlüsselverwendung: Wählen Sie Verschlüsselung und Entschlüsselung. Diese Schlüsselverwendung ermöglicht es Ihnen, Ihren Schlüssel zur Verschlüsselung und Entschlüsselung zu verwenden.
Behalten Sie alle anderen Einstellungen bei ihren Standardwerten und klicken Sie auf Weiter.
4. Geben Sie einen Alias für Ihren Schlüssel ein. Dieser Alias hilft Ihnen, Ihren Schlüssel schnell in der KMS-Konsole zu identifizieren. Der Alias muss zwischen 1 und 256 Zeichen lang sein und darf nur alphanumerische Zeichen, Bindestriche (-) und Unterstriche (_) enthalten.
Der Alias darf nicht mit aws/ beginnen, da dieses Präfix für von AWS verwaltete Schlüssel reserviert ist. Wenn Sie versuchen, dieses Präfix zu verwenden, erhalten Sie die folgende Fehlermeldung.
Geben Sie eine Beschreibung für Ihren Schlüssel ein. Dieses Feld ist optional, aber es ist immer eine gute Idee, eine Beschreibung einzuschließen, damit Sie sich später an die Verwendung des Schlüssels erinnern können.
Behalten Sie alle anderen Einstellungen bei ihren Standardwerten und klicken Sie auf Weiter, um fortzufahren.
5. Wählen Sie das Kontrollkästchen neben dem Benutzer aus, den Sie zuvor erstellt haben, KMSUserConsole. Dieser Benutzer wird der einzige sein, der Zugriff auf die Verwendung dieses Schlüssels hat.
Behalten Sie das Kontrollkästchen Bei der Erlaubnis für Schlüsseladministratoren, diesen Schlüssel zu löschen, nicht aktiviert, da Sie nicht möchten, dass jemand Ihren Schlüssel löscht.
Klicken Sie auf Weiter, um fortzufahren.
Wählen Sie den Benutzer aus, den Sie zuvor erstellt haben, KMSUserConsole, und klicken Sie auf Weiter. Durch diese Aktion kann Ihr Benutzer den Schlüssel bei kryptografischen Operationen verwenden, wie z. B. Daten zu verschlüsseln und zu entschlüsseln.
7. Klicken Sie abschließend auf die Schaltfläche Fertigstellen, um den Schlüsselerstellungsprozess abzuschließen.
Ihr neuer KMS-Schlüssel erscheint nun im Abschnitt für kundenverwaltete Schlüssel des KMS-Konsols. Hier können Sie Informationen zu Ihrem Schlüssel wie den Status, die Schlüssel-ID, das Alias usw. einsehen.
Verwalten von KMS-Schlüsseln mit der AWS-Konsole
Jetzt, da Sie einen KMS-Schlüssel erstellt haben, zeigen Ihnen die folgenden Abschnitte, wie Sie diese mit der AWS-Konsole verwalten können.
Bearbeiten eines KMS-Schlüssels
Sie können einen KMS-Schlüssel jederzeit bearbeiten, um seine Einstellungen zu ändern. Gehen Sie dazu wie folgt vor:
1. Klicken Sie auf den Hyperlink des Schlüssels, den Sie bearbeiten möchten. Diese Aktion öffnet die Detailseite des Schlüssels.
2. Klicken Sie oben rechts auf der Seite auf die Schaltfläche Bearbeiten.
3. Nehmen Sie die gewünschten Änderungen am Schlüssel vor und klicken Sie auf Speichern. Sie müssen wissen, dass Sie nur die Beschreibung ändern können.
Deaktivieren und Aktivieren eines KMS-Schlüssels
Sie können einen KMS-Schlüssel jederzeit deaktivieren und aktivieren. Standardmäßig sind alle Schlüssel beim ersten Erstellen aktiviert. Wenn ein Schlüssel kompromittiert sein könnte, ist es eine gute Idee, den Schlüssel zu deaktivieren, bis Sie weitere Untersuchungen durchgeführt haben.
1. Aktivieren Sie das Kontrollkästchen neben dem Schlüssel, den Sie deaktivieren möchten, und klicken Sie auf Schlüsselaktionen → Deaktivieren.
2. Ein Fenster fragt Sie, ob Sie den Schlüssel deaktivieren möchten. Klicken Sie auf das Kontrollkästchen neben Bestätigen, dass Sie diesen Schlüssel deaktivieren möchten, und klicken Sie auf Deaktivieren.
Der Schlüssel ist nun deaktiviert, und Sie sehen eine Nachricht auf der Detailseite des Schlüssels. Der Status des Schlüssels wird ebenfalls auf Deaktiviert geändert, wie unten gezeigt.
3. Wenn Ihre Untersuchung abgeschlossen ist, können Sie einen Schlüssel wieder aktivieren und sind bereit, ihn wieder zu verwenden. Aktivieren Sie das Kontrollkästchen neben dem Schlüssel, den Sie aktivieren möchten → Schlüsselaktionen → Aktivieren.
Erstellen eines KMS-Schlüssels mit der AWS CLI
Sie sind ein großer Fan der Verwendung der AWS CLI? Gut für Sie! Sie können auch einen KMS-Schlüssel mit der AWS CLI erstellen. In diesem Abschnitt erfahren Sie, wie Sie einen IAM-Benutzer mit programmgesteuertem Zugriff erstellen.
Nachdem Sie den Benutzer erstellt haben, speichern Sie die Anmeldeinformationen in einem AWS-Profil. Sie interagieren mit AWS mit diesem Profil, um einen KMS-Schlüssel zu erstellen.
Erstellen eines IAM-Benutzers mit programmgesteuertem Zugriff
Sie benötigen einen IAM-Benutzer mit programmgesteuertem Zugriff, um sich ohne Passwort mit der AWS CLI zu authentifizieren. Programmgesteuerter Zugriff verwendet Zugriffsschlüssel, eine Kombination aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, um API-Aufrufe zu tätigen.
Befolgen Sie diese Schritte, um einen IAM-Benutzer mit programmgesteuertem Zugriff zu erstellen
1. Erstellen Sie einen neuen IAM-Benutzer namens KMSUserCli in der AWS-Konsole. Siehe den vorherigen Abschnitt zur Erstellung eines IAM-Benutzers (Schritte 1 bis 4).
2. Wenn Sie den Punkt „AWS-Zugriffstyp auswählen“ erreichen, wählen Sie Programmaticher Zugriff und klicken Sie auf Weiter: Berechtigungen.
3. Wählen Sie Anhängen von vorhandenen Richtlinien direkt an. Aktivieren Sie das Kontrollkästchen neben AdministratorAccess und klicken Sie auf Weiter: Tags.
4. Überspringen Sie das Hinzufügen von Tags und klicken Sie auf Weiter: Überprüfen.
5. Klicken Sie schließlich auf Benutzer erstellen, um den Benutzer zu erstellen.
Nach Abschluss des Vorgangs sehen Sie einen Bildschirm ähnlich dem unten stehenden, mit der Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel für Ihren neuen Benutzer. Diese Schlüssel werden Sie verwenden, um die AWS CLI zu konfigurieren. Stellen Sie sicher, dass Sie diese Schlüssel an einem sicheren Ort aufbewahren, da Sie sie nach dieser Seite nicht mehr anzeigen können!
Teilen Sie diese Schlüssel nicht in öffentlichen CI/CD-Pipelines oder Kommentaren auf GitHub oder anderen öffentlichen Foren!
Konfigurieren des AWS CLI-Profils
Jetzt, da Sie einen IAM-Benutzer erstellt haben, müssen Sie Ihr AWS-Profil auf Ihrem Gerät einrichten, um auf den AWS Key Management Service mit den Anmeldeinformationen für diesen Benutzer zugreifen zu können.
Befolgen Sie diese Schritte, um Ihr AWS-Profil zu konfigurieren:
1. Öffnen Sie PowerShell oder die Eingabeaufforderung als Administrator.
2. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die AWS CLI installiert ist. Sie sehen etwas Ähnliches wie auf dem Screenshot unten, wenn sie installiert ist.
3. Führen Sie nun den folgenden Befehl aus, um Ihr neues Profil einzurichten.
4. Geben Sie am Prompt die folgenden Informationen ein.
- AWS Access Key ID: Geben Sie die Zugriffsschlüssel-ID für den zuvor erstellten IAM-Benutzer ein.
- AWS Secret Access Key: Geben Sie den geheimen Zugriffsschlüssel für den zuvor erstellten IAM-Benutzer ein.
- Standardregion: Geben Sie Ihre bevorzugte Region ein. Für dieses Tutorial verwenden Sie us-west-2.
- Standardausgabeformat: Geben Sie JSON ein. Das Ausgabeformat JSON ist einfacher zu lesen.
Erstellen eines KMS-Schlüssels mit der AWS CLI
Jetzt, da Sie einen IAM-Benutzer mit programmgesteuertem Zugriff haben, können Sie mit der Erstellung eines KMS-Schlüssels beginnen.
Führen Sie den folgenden Befehl aus, um einen neuen KMS-Schlüssel zu erstellen.
Sie erhalten eine Ausgabe, die der folgenden ähnelt. Die KeyId ist die Kennung Ihres neuen KMS-Schlüssels. Notieren Sie sich diese, da Sie sie später benötigen werden.
Da Sie keine Schlüsselrichtlinie explizit angeben, erstellt AWS KMS eine Standard-Schlüsselrichtlinie für den neuen Schlüssel. Diese Richtlinie gibt dem Root-Benutzer die volle Kontrolle über den Schlüssel, einschließlich der Möglichkeit, AWS Identity and Access Management (IAM)-Benutzer und -Rollen zu erstellen.
Führen Sie den folgenden Befehl aus, um die Schlüsselrichtlinie Ihres neuen KMS-Schlüssels abzurufen. Ersetzen Sie das Argument --key-id durch die tatsächliche KeyId Ihres neuen KMS-Schlüssels. Dieser Befehl gibt ein Textdokument zurück, das die Schlüsselrichtlinie Ihres neuen KMS-Schlüssels enthält.
Die Ausgabe sollte ungefähr wie folgt aussehen.
Verwaltung von KMS-Schlüsseln mit der AWS CLI
Jetzt, da Sie einen KMS-Schlüssel erstellt haben, können Sie lernen, wie Sie ihn mit der AWS CLI verwalten. In diesem Abschnitt erfahren Sie, wie Sie einen KMS-Schlüssel auflisten, deaktivieren und aktivieren können.
Sie können einen KMS-Schlüssel jederzeit deaktivieren und aktivieren. Das Deaktivieren eines KMS-Schlüssels ist nützlich, wenn Sie potenziellen Missbrauch untersuchen möchten oder wenn Sie den Schlüssel vorübergehend aus einem anderen Grund nicht verwenden möchten.
1. Führen Sie den folgenden Befehl aus, um einen KMS-Schlüssel zu deaktivieren. Ersetzen Sie das Argument -key-id durch die tatsächliche KeyId Ihres KMS-Schlüssels. Dieser Befehl gibt keine Ausgabe aus.
2. Um zu überprüfen, ob der Schlüssel deaktiviert ist, führen Sie den folgenden Befehl aus. Die Ausgabe sollte das Feld „KeyState“: „Disabled“ enthalten, wie gezeigt.
3. Um den Schlüssel zu aktivieren, führen Sie den folgenden Befehl aus. Auch dieser Befehl gibt keine Ausgabe aus.
4. Führen Sie abschließend den folgenden Befehl aus, um alle KMS-Schlüssel in Ihrem Konto aufzulisten. Die Ausgabe enthält Informationen wie die keyId und KeyArn jedes Schlüssels.
Schlussfolgerung
In diesem Artikel haben Sie gelernt, wie Sie KMS-Schlüssel mithilfe der AWS CLI und der AWS-Konsole erstellen und verwalten können. Sie haben auch gelernt, wie Sie einen IAM-Benutzer mit programmgesteuertem Zugriff erstellen, der es der AWS CLI ermöglicht, Ihre KMS-Schlüssel zu verwalten.
Die AWS-Schlüsselverwaltungsfähigkeit ist für jeden wichtig, der mit AWS arbeitet, insbesondere wenn Sie für die Verwaltung sensibler Daten verantwortlich sind. Indem Sie die Schritte in diesem Artikel befolgen, sollten Sie nun über die Fähigkeiten verfügen, die Sie benötigen, um AWS KMS zu verwenden.
Mit diesem neu gewonnenen Wissen, warum nicht AWS KMS-Ressourcen mit AWS CloudFormation erstellen, um Zeit und Mühe zu sparen?