השתמש במפתחות ההצפנה כמו מומחה עם ניהול מפתחות AWS

מדריכים
AWS

אתה מחפש דרך להצפין ולפענח מהירות של נתונים שלך? בדוק את AWS Key Management! שירות זה מספק אבטחה ברמה גבוהה עבור הנתונים שלך על ידי האפשרות ליצור ולנהל מפתחות קריפטוגרפיים. תוכל גם לשלוט על מי יש גישה למפתחות שלך ועל הפעולות שהם יכולים לבצע עם המפתחות.

המדריך הזה, בכל דרך, אינו מכסה הכול יש לדעת על AWS Key Management. אך הוא יעניק לך סקירה טובה על היסודות של שימוש בכלי עוצמתי זה.

המשך לקרוא כדי להנות מיתרונות האבטחה של AWS Key Management!

דרישות מוקדמות

המדריך הזה יהיה הדגמה ידיים. אם ברצונך לעקוב, הקפד לוודא שיש לך את הדברים הבאים.

  • חשבון AWS עם חיוב פעיל. ניתן ליצור חשבון AWS בחינם כאן. השכבה החינמית כוללת שירותים מספיקים כדי להתחיל עם המדריך הזה.
  • יש לך AWS CLI מותקן ומוגדר על המכונה שלך. ראה את המדריך הזה למידע נוסף.

קשור:AWS CLI ו-CloudFormation: תשתיות מוכחות

יצירת מפתח KMS באמצעות לוח הבקרה של AWS

קראו אם אתם מעדיפים את עיבוד ה-AWS (ממשק משתמש גרפי) במקום ב-CLI של AWS. הקטע הבא ידריך אתכם ביצירת מפתח KMS באמצעות הקונסול.

יצירת משתמש IAM

כדי להתחיל, עליכם ליצור משתמש IAM שתשתמשו בו כדי לגשת לשירות ניהול המפתחות של AWS מממשק השורת פקודה (CLI) של AWS.

משתמשי IAM הם נפרדים מהכתובת הראשית של חשבונכם ב- AWS. שימוש במשתמשי IAM נחשב כפרקטיקה מומלצת מכיוון שזה מאפשר לכם לשלוט באופן גרנולרי על מי משתמש במה בחשבון ה-AWS שלכם.

עקבו אחרי השלבים הבאים כדי ליצור משתמש IAM עם גישה באמצעות סיסמה לשירות ניהול המפתחות של AWS:

1. התחברו ל-AWS Management Console כמשתמש ראשי.

2. הקלידו IAM בתיבת החיפוש למציאת שירותים ובחרו את IAM מהתוצאות כדי לפתוח את קונסולת IAM. קונסולת זו היא המקום בו תוכלו לנהל משתמשי IAM ואת ההרשאות שלהם.

Opening the IAM console

3. נווטו אל משתמשים → הוספת משתמשים כדי להוסיף משתמש IAM חדש.

Adding a new IAM user

4. עשו את השלבים הבאים בדף הוספת משתמש.

הזינו שם עבור המשתמש החדש שלכם. בדוגמה זו, יש לו שם KMSUserConsole.

בחרו את האפשרות הרדיו סיסמה – גישה למסוף ניהול AWS > סיסמה אוטומטית. אפשרות זו תגרום ליצירת סיסמה אקראית עבור המשתמש שלכם.

ודאו שתיבת הסימון המשתמש חייב ליצור סיסמה חדשה בכניסה הבאה לא מסומנת. פעולה זו תאפשר לכם להתחבר כמשתמש זה מבלי להגדיר מחדש את הסיסמה תחילה.

לחץ על הבא: הרשאות כדי להמשיך.

Adding the IAM user details

5. בדף הגדרת ההרשאות, בחר לצרף מדיניות קיימת ישירות. בחר AdministratorAccess מתוך רשימת המדיניות הזמינות. מדיניות זו נותנת למשתמש גישה מלאה ל-AWS, כולל האפשרות ליצור ולנהל מפתחות.

לחץ על הבא: תגיות כדי להמשיך.

Setting permissions

6. בדף הוספת תגיות (אופציונלי), תוכל להוסיף תגיות רלוונטיות למשתמש שלך. למדריך זה, לא תוסיף תגיות. לחץ על הבא: ביקורת כדי לבדוק את ההרשאות והמידע של המשתמש שלך.

Viewing the Add tags (optional) page

7. ודא שהמדיניות AdministratorAccess נבחרה ולחץ על צור משתמש כדי לסיים את תהליך יצירת ה- IAM החדש שלך.

AdministratorAccess

8. יצירת המשתמש ב- IAM מסתיימת לאחר כמה דקות, ותראה הודעת באנר "הצלחה".

העתק או הורד את הסיסמה למקום בטוח משום שיהיה עליך להשתמש בה כדי להתחבר כמשתמש ה- IAM החדש שלך מאוחר יותר.

לחץ על ה-URL ליד ההודעה כדי לנווט לדף הכניסה של משתמש ה- IAM.

לחץ על סגור כדי לסגור את חלון ההודעות.

IAM User creation completion

9. בדף הבא, הזן את שם המשתמש והסיסמה שיצרת ולחץ על היכנס כדי להתחבר כמשתמש ה- IAM החדש שלך.

Signing in as the IAM user

יצירת מפתח KMS באמצעות לוח הבקרה של AWS

עכשיו שהתחברת ללוח הבקרה של AWS כמשתמש ה- IAM שלך, אתה מוכן ליצור את המפתח KMS הראשון שלך.

עקוב אחרי השלבים האלו כדי ליצור מפתח KMS באמצעות לוח הבקרה של AWS.

1. הקלד KMS בשורת חיפוש למציאת שירותים. בחר ב- Key Management Service מתוך התוצאות כדי לפתוח את לוח הבקרה של KMS.

Opening the KMS console

2. לחץ על "מפתחות באחריות הלקוח" בסרגל הצד השמאלי > צור מפתח כדי ליצור מפתח KMS חדש.

Creating a new key

3. בצע את השלבים הבאים במסך הבא.

סוג המפתח: בחר סימטרי. סוג המפתח הזה מיועד להצפנה ופיענוח ועובד הכי טוב עבור רוב המקרים.

שימוש במפתח: בחר הצפנה ופיענוח. שימוש במפתח זה מאפשר לך להשתמש במפתח שלך לצופנה ופיענוח.

השאר את שאר ההגדרות כמו שהן ולחץ על הבא.

Configuring keys

4. הזן שם נוסף למפתח שלך. הכינוי הזה יעזור לך לזהות מהר מפתח בלוח הבקרה של KMS. הכינוי יכול להכיל בין 1 ל-256 תווים ויכול לכלול רק תווים אלפאנומריים, מקפים (-) וקו תחתון (_).

הכינוי לא יכול להתחיל ב-aws/ מכיוון שהתחיליה הזו שומרת למפתחים שנשלטים על ידי AWS. תקבל את הודעת השגיאה הבאה אם תנסה להשתמש בתחיליה זו.

Getting the aws/ is a restricted prefix error.

הזן תיאור למפתח שלך. שדה זה אופציונלי, אך זה תמיד רעיון טוב לכלול תיאור כדי שתוכל לזכור את שימוש המפתח לטובת מאוחר יותר.

השאר את שאר ההגדרות כמו שהן ולחץ "הבא" כדי להמשיך.

Adding an alias

5. בחר בתיבת הסימון ליד המשתמש שיצרת לאחר כך, KMSUserConsole. משתמש זה יהיה היחיד שיש לו גישה להשתמש במפתח זה.

השאר את האפשרות למנהלי מפתחות למחוק את המפתח לא מסומנת מכיוון שלא תרצה שמישהו ימחק את המפתח שלך.

לחץ "הבא" כדי להמשיך.

Selecting key admin

בחר את המשתמש שיצרת בקודם, KMSUserConsole, ולחץ על המשך. פעולה זו מאפשרת למשתמש שלך להשתמש במפתח בפעולות קריפטוגרפיות, כגון הצפנה ופיענוח נתונים.

Selecting the IAM users and roles that can access the KMS key in cryptographic operations

7. לבסוף, לחץ על הכפתור "סיום" כדי להשלים את תהליך יצירת המפתח.

Completing the key creation process

המפתח החדש שלך יופיע כעת בקטע המפתחות של הלקוח בקונסולת KMS. תוכל לראות מידע על המפתח שלך, כגון המצב, מזהה המפתח, שמות נוספים, וכו'

Viewing your keys

ניהול מפתחות KMS באמצעות קונסולת AWS

כעת שיצרת מפתח KMS, הקטעים הבאים מראים איך לנהל אותם באמצעות קונסולת AWS.

עריכת מפתח KMS

ניתן לערוך מפתח KMS בכל עת כדי לשנות את ההגדרות שלו. כדי לעשות זאת, עקוב אחר השלבים הבאים:

1. לחץ על הקישור של המפתח שברצונך לערוך. פעולה זו תפתח את עמוד פרטי המפתח.

Opening the key details page.

2. לחץ על כפתור העריכה בפינה העליונה הימנית של העמוד.

Click on the Edit button.

3. בצע את השינויים שברצונך לבצע למפתח ולחץ על שמור. עליך לדעת שהדבר היחיד שאתה יכול לשנות הוא התיאור.

make to the key and click Save

ניטרול והפעלת מפתח KMS

ניתן לנטרל ולהפעיל מפתח KMS בכל עת. כברירת מחדל, כל המפתחות מופעלים כאשר הם נוצרים לראשונה. במידה ויש חשש שהמפתח נפגע, כדאי לנטרל אותו עד שתחקור נוסף.

1. סמן את תיבת הסימון ליד המפתח שברצונך לנטרל ולחץ על "פעולות מפתח" → נטרול.

Disabling a KMS Key

2. חלון ישאל אותך לאשר שאתה רוצה להשבית את המקש. לחץ על תיבת הסימון ליד אישור שאתה רוצה להשבית את המקש הזה ולחץ על השבת.

Confirming to disable a key

המקש מושבת כעת, ותראה הודעה בדף פרטי המקש. גם מצב המקש ישתנה למושבת, כפי שמוצג למטה.

Viewing your key is disabled

3. כשהחקירה שלך הסתיימה, אתה יכול לאפשר מחדש מקש, ואתה מוכן להתחיל להשתמש במקש שוב. סמן את תיבת הסימון ליד המקש שאתה רוצה לאפשר מחדש → פעולות מקש → הפעל.

Key actions → Enable.

יצירת מקש KMS באמצעות AWS CLI

אוהב להשתמש ב- AWS CLI? נהדר! תוכל גם ליצור מקש KMS באמצעות AWS CLI. הסעיף הזה ילמד אותך איך ליצור משתמש IAM עם גישה תכנתית.

לאחר שיצרת את המשתמש, תאחסן את הפרטים האימות בפרופיל של AWS. תיתקשר עם AWS באמצעות הפרופיל הזה כדי ליצור מקש KMS.

יצירת משתמש IAM עם גישה תכנתית

אתה צריך משתמש IAM עם גישה תכנתית כדי לאמת באמצעות AWS CLI בלעדי סיסמה. גישה תכנתית משתמשת במפתחות גישה, שלולטות על ידי זוג מפתח גישה ID ומפתח גישה סודי לביצוע קריאות API.

עקוב אחרי השלבים הבאים כדי ליצור משתמש IAM עם גישה תכנתית

1. צור משתמש IAM חדש בשם KMSUserCli בלוח הבקרה של AWS. הפנה לקטע יצירת משתמש IAM בקטע הקודם (שלבים 1 עד 4).

2. כאשר אתה מגיע לבחירת סוג גישה של AWS, בחר בגישה תכנתית ולחץ הבא: הרשאות.

Selecting Programmatic access

3. בחר "צרף מדיניות קיימת ישירות". סמן את תיק בית הסימון ליד AdministratorAccess ולחץ הבא: תגיות.

Selecting permissions

4. דילוג על הוספת תגיות ולחיצה על "הבא: ביקורת".

Skip adding tags

5. לבסוף, לחץ על "צור משתמש" כדי ליצור את המשתמש.

Creating an IAM user

לאחר שהתהליך הושלם, תראה מסך דומה לזה שמתואר למטה, עם מפתח גישה ID ומפתח גישה סודי חדשים עבור המשתמש החדש שלך. אלו המפתחות שתשתמש כדי להגדיר את AWS CLI. ודא שאתה שומר את המפתחות הללו במקום בטוח, מאחר ולא תוכל לראות אותם שוב אחרי דף זה!

אל תחלוק את המפתחות הללו בצינורות CI/CD ציבוריים או בתגובות ב-GitHub או בפורומים ציבוריים אחרים!

קשור:איך ליצור צינור CI/CD של Jenkins

Viewing your access keys

הגדרת פרופיל AWS CLI

עכשיו שיצרת משתמש IAM, עליך להגדיר את הפרופיל שלך ב- AWS על המחשב שלך כך שתוכל לגשת לשירות מנהל המפתחות של AWS באמצעות האישורים עבור משתמש זה.

עקוב אחר השלבים הבאים כדי להגדיר את פרופיל ה- AWS שלך:

1. פתח את PowerShell או Command Prompt כמנהל.

קשור:מהו PowerShell ולמה להשתמש בו?

2. הפעל את הפקודה למטה כדי לוודא אם ה- AWS CLI מותקן. תראה משהו דומה לצילום המסך למטה אם הוא מותקן.

aws --version
Verify if you have the AWS CLI installed.

3. כעת, הפעל את הפקודה למטה כדי להגדיר את הפרופיל החדש שלך.

aws configure

4. בפרומט, הזן את המידע הבא.

  • מזהה מפתח גישה של AWS: הזן את מזהה מפתח הגישה עבור המשתמש IAM שיצרת קודם.
  • מפתח גישה סודי של AWS: הזן את המפתח גישה סודי עבור המשתמש IAM שיצרת קודם.
  • שם אזור ברירת המחדל: הזן את אזור המועדף שלך. במדריך זה, תשתמש ב-us-west-2.
  • פורמט פלט ברירת המחדל: הזן JSON. הפלט בפורמט JSON נוח יותר לקריאה.
Configuring a profile in AWS CLI

יצירת מפתח KMS באמצעות ה-CLI של AWS

כעת שיש לך משתמש IAM עם גישה תכנותית, תוכל להתחיל ליצור מפתח KMS.

הפעל את הפקודה הבאה כדי ליצור מפתח KMS חדש.

aws km create-key

תראה פלט דומה לזה שמופיע למטה. ה-KeyId הוא זיהוי המפתח KMS החדש שלך. רשום אותו כי תצטרך אותו מאוחר יותר.

Creating a KMS Key Using The AWS CLI.

מאחר ואינך מציין באופן מפורש מדיניות מפתח, AWS KMS יוצרת מדיניות מפתח ברירת מחדל עבור המפתח החדש. מדיניות זו נותנת שליטה מלאה על המפתח למשתמש השורש, כולל היכולת ליצור משתמשי AWS Identity and Access Management (IAM) ותפקידים.

הפעל את הפקודה הבאה כדי לאחזר את מדיניות המפתח של המפתח KMS החדש שלך. החלף את הארגומנט --key-id במזהה המפתח KeyId הממשי של המפתח KMS החדש שלך. הפקודה הזו מחזירה מסמך טקסט המכיל את מדיניות המפתח של המפתח KMS החדש שלך.

aws km get-key-policy --key-id you_KeyId_here --policy-name default --output text

הפלט צריך להיראות משהו דומה לזה שמופיע למטה.

Retrieving the key policy of your new KMS key.

ניהול מפתחות KMS באמצעות CLI של AWS

עכשיו שיצרת מפתח KMS, תוכל ללמוד איך לנהל אותו באמצעות ה- AWS CLI. בסעיף זה תלמד כיצד לרשומים, לבטל ולהפעיל מפתח KMS.

ניתן לבטל ולהפעיל מפתח KMS בכל עת. בטילת מפתח KMS שימושית כאשר ברצונך לחקות בשימוש פוטנציאלי או אם יש צורך להפסיק להשתמש במפתח לזמן קצר מסוים מטרה כלשהי.

1. הפעל את הפקודה הבאה כדי לבטל מפתח KMS. החלף את הארגומנט –key-id עם ה-KeyId האמיתי שלך. לפקודה זו אין פלט.

aws aws kms disable-key --key-id you_KeyId_here
Disabling a KMS key.

2. כדי לוודא שהמפתח מבוטל, הפעל את הפקודה הבאה. הפלט צריך לכלול את השדה "KeyState": "Disabled", כפי שמוצג.

aws kms describe-key --key-id you_KeyId_here
Verifying that the key is disabled.

3. כדי להפעיל את המפתח, הפעל את הפקודה הבאה. שוב, לפקודה זו אין פלט.

aws kms enable-key --key-id you_KeyId_here
aws kms describe-key --key-id you_KeyId_here
Enabling the key.

4. לבסוף, הפעל את הפקודה הבאה כדי לרשום את כל מפתחי ה-KMS בחשבונך. הפלט כולל מידע כמו keyId ו-KeyArn של כל מפתח.

aws kms list-keys
Listing all the KMS keys in your account,

סיכום

במאמר זה, למדת כיצד ליצור ולנהל מפתחי KMS באמצעות ה- AWS CLI ולוח הבקרה של AWS. למדת גם כיצד ליצור משתמש IAM עם גישה תכניתית שמאפשרת ל- AWS CLI לנהל את מפתחי ה-KMS שלך.

מיומנות בניהול מפתחות AWS היא חשובה לכל מי שעובד עם AWS, במיוחד אם אתה אחראי על ניהול נתונים רגישים. בעקבות השלב במאמר זה, כעת יש לך את הכישורים שנדרשים כדי להתחיל להשתמש ב-AWS KMS.

עם הידע החדש שזכית, למה לא ליצור משאבי AWS KMS עם AWS CloudFormation כדי לחסוך זמן ומאמץ?

קשור:AWS CLI ו-CloudFormation: פרובן בפרקטיקה להקניית תשתיות

Source:
https://adamtheautomator.com/aws-key-management/