Stai cercando un modo per crittografare e decrittografare i tuoi dati rapidamente? Dai un’occhiata a AWS Key Management! Questo servizio offre un alto livello di sicurezza per i tuoi dati consentendoti di creare e gestire chiavi crittografiche. Puoi anche controllare chi ha accesso alle tue chiavi e quali azioni possono compiere con esse.
Questo tutorial, in nessun modo, copre tutto ciò che c’è da sapere su AWS Key Management. Tuttavia, ti darà una buona panoramica dei concetti di base per utilizzare questo potente strumento.
Continua a leggere per sfruttare i benefici in termini di sicurezza di AWS Key Management!
Prerequisiti
Questo tutorial sarà una dimostrazione pratica. Se desideri seguirci, assicurati di avere quanto segue.
- Un account AWS con fatturazione attiva. Puoi creare un account AWS gratuitamente qui. Il livello gratuito include abbastanza servizi per iniziare con questo tutorial.
- Hai AWS CLI installata e configurata sul tuo computer. Dai un’occhiata a questo tutorial per ulteriori informazioni.
Creare una chiave KMS utilizzando la console AWS
Leggi avanti se preferisci la console AWS (GUI) invece della AWS CLI. La sezione seguente ti guiderà nella creazione di una chiave KMS utilizzando la console.
Creazione di un utente IAM
Per iniziare, devi creare un utente IAM che utilizzerai per accedere al servizio di gestione chiavi AWS dalla AWS Command Line Interface (CLI).
Gli utenti IAM sono separati dalle credenziali del tuo account principale AWS. Utilizzare gli utenti IAM è considerata una pratica consigliata poiché consente un controllo granulare su chi ha accesso a quali risorse nel tuo account AWS.
Segui questi passaggi per creare un utente IAM con accesso tramite password al servizio di gestione chiavi AWS:
1. Accedi alla Console di gestione AWS come utente principale.
2. Digita IAM nella barra di ricerca dei servizi e seleziona IAM dai risultati per aprire la console IAM. Questa console è dove puoi gestire gli utenti IAM e le loro autorizzazioni.
3. Vai a Utenti → Aggiungi utenti per aggiungere un nuovo utente IAM.
4. Segui i passaggi seguenti nella pagina Aggiungi utente.
Inserisci un nome per il tuo nuovo utente. In questo esempio, è chiamato KMSUserConsole.
Seleziona il pulsante radio Password – Accesso alla console di gestione AWS > Password generata automaticamente. Questa opzione genererà una password casuale per il tuo utente.
Assicurati che la casella L’utente deve creare una nuova password al prossimo accesso non sia selezionata. Quest’azione ti permetterà di accedere come questo utente senza dover reimpostare la password prima.
Clicca Avanti: Autorizzazioni per continuare.
5. Nella pagina Imposta autorizzazioni, seleziona Allega direttamente le policy esistenti. Seleziona AdministratorAccess dalla lista delle policy disponibili. Questa policy conferisce all’utente pieno accesso ad AWS, compresa la capacità di creare e gestire chiavi.
Clicca Avanti: Tag per continuare.
6. Nella pagina Aggiungi tag (opzionale), puoi aggiungere eventuali tag rilevanti al tuo utente. Per questo tutorial, non aggiungerai alcun tag. Clicca Avanti: Rivedi per rivedere le autorizzazioni e le informazioni del tuo utente.
7. Assicurati che la policy AdministratorAccess sia selezionata e clicca su Crea utente per completare la creazione del tuo nuovo utente IAM.
8. La creazione dell’utente IAM si conclude dopo alcuni minuti, e vedrai un messaggio di successo.
Copia o scarica la password in un luogo sicuro perché ne avrai bisogno per accedere come questo nuovo utente IAM in seguito.
Clicca sull’URL accanto al messaggio per navigare alla pagina di accesso dell’utente IAM.
Clicca Chiudi per chiudere la finestra del messaggio.
9. Nella pagina successiva, inserisci il nome utente e la password appena generati e clicca su Accedi per accedere come il tuo nuovo utente IAM.
Creazione di una chiave KMS utilizzando la Console AWS
Ora che hai effettuato l’accesso alla Console di Gestione AWS come tuo utente IAM, sei pronto per creare la tua prima chiave KMS.
Segui questi passaggi per creare una chiave KMS utilizzando la console AWS.
1. Digita KMS nella barra di ricerca dei servizi. Seleziona Key Management Service dai risultati per aprire la console KMS.
2. Fare clic su Chiavi gestite dal cliente nella barra laterale sinistra > Crea chiave per creare una nuova chiave KMS.
3. Esegui le seguenti operazioni nella schermata successiva.
Tipo di chiave: Seleziona Simmetrica. Questo tipo di chiave è per la crittografia e decrittografia e funziona meglio per la maggior parte degli utilizzi.
Utilizzo della chiave: Seleziona Crittografia e decrittografia. Questo utilizzo della chiave ti permette di utilizzare la tua chiave per crittografare e decrittografare.
Mantieni tutte le altre impostazioni come i loro valori predefiniti e fai clic su Avanti.
4. Inserisci un Alias per la tua chiave. Questo alias ti aiuterà a identificare rapidamente la tua chiave nella console KMS. L’alias deve essere lungo tra 1 e 256 caratteri e può contenere solo caratteri alfanumerici, trattini (-) e underscore (_).
L’alias non può iniziare con aws/ poiché questo prefisso è riservato per le chiavi gestite da AWS. Otterrai il seguente messaggio di errore se provi a utilizzare questo prefisso.
Inserisci una descrizione per la tua chiave. Questo campo è facoltativo, ma è sempre una buona idea includere una descrizione in modo da poter ricordare l’uso della chiave in seguito.
Mantieni tutte le altre impostazioni come i loro valori predefiniti e fai clic su Avanti per continuare.
5. Seleziona la casella di controllo accanto all’utente che hai creato in precedenza, KMSUserConsole. Questo utente sarà l’unico a avere accesso all’uso di questa chiave.
Mantieni non selezionata la casella Consenti agli amministratori delle chiavi di eliminare questa chiave poiché non vorrai che nessuno elimini la tua chiave.
Fai clic su Avanti per continuare.
Seleziona l’utente che hai creato in precedenza, KMSUserConsole, e clicca su next. Questa azione permette al tuo utente di utilizzare la chiave nelle operazioni crittografiche, come la cifratura e la decifratura dei dati.
7. Infine, clicca sul pulsante Fine per completare il processo di creazione della chiave.
La tua nuova chiave KMS apparirà ora nella sezione delle chiavi gestite dal cliente della console KMS. Puoi vedere informazioni sulla tua chiave, come lo stato, l’ID della chiave, l’alias, ecc.
Gestire le Chiavi KMS Usando la Console AWS
Ora che hai creato una chiave KMS, le sezioni seguenti ti mostreranno come gestirle utilizzando la console AWS.
Modificare una Chiave KMS
Puoi modificare una chiave KMS in qualsiasi momento per cambiarne le impostazioni. Per farlo, segui questi passaggi:
1. Clicca sul collegamento ipertestuale della chiave che vuoi modificare. Questa azione apre la pagina dei dettagli della chiave.
2. Clicca sul pulsante Modifica nell’angolo in alto a destra della pagina.
3. Apporta tutte le modifiche che desideri alla chiave e clicca su Salva. Devi sapere che l’unica cosa che puoi cambiare è la descrizione.
Disabilitare e Abilitare una Chiave KMS
Puoi disabilitare e abilitare una chiave KMS in qualsiasi momento. Per impostazione predefinita, tutte le chiavi sono abilitate quando vengono create per la prima volta. Supponiamo che una chiave possa essere stata compromessa. È una buona idea disabilitare la chiave fino a quando non avrai condotto ulteriori indagini.
1. Segna la casella di controllo accanto alla chiave che vuoi disabilitare e clicca su Key actions → Disable.
2. Una finestra ti chiede di confermare che desideri disabilitare la chiave. Seleziona la casella accanto a Conferma che desideri disabilitare questa chiave e clicca su Disabilita.
La chiave è ora disabilitata e vedrai un messaggio sulla pagina dei dettagli della chiave. Lo stato della chiave cambierà anche in Disabilitato, come mostrato di seguito.
3. Quando la tua indagine è completa, puoi riabilitare una chiave e sei pronto a ricominciare a utilizzare la chiave. Seleziona la casella accanto alla chiave che desideri abilitare → Azioni sulla chiave → Abilita.
Creazione di una chiave KMS utilizzando AWS CLI
Grande fan dell’uso di AWS CLI? Ottimo per te! Puoi anche creare una chiave KMS utilizzando AWS CLI. Questa sezione ti insegnerà come creare un utente IAM con accesso programmatico.
Dopo aver creato l’utente, memorizzerai le credenziali in un profilo AWS. Interagirai con AWS con quel profilo per creare una chiave KMS.
Creazione di un utente IAM con accesso programmatico
Hai bisogno di un utente IAM con accesso programmatico per autenticarti usando AWS CLI senza una password. L’accesso programmato utilizza chiavi di accesso, una combinazione di un ID chiave di accesso e una chiave di accesso segreta per effettuare chiamate API.
Segui questi passaggi per creare un utente IAM con accesso programmatico
1. Crea un nuovo utente IAM chiamato KMSUserCli nella Console AWS. Fai riferimento alla precedente sezione Creazione di un utente IAM (passaggi da 1 a 4).
2. Quando raggiungi il tipo di accesso AWS Seleziona, seleziona Accesso programmatico e clicca su Avanti: Autorizzazioni.
3. Seleziona Allega direttamente le politiche esistenti. Seleziona la casella accanto a AdministratorAccess e clicca su Avanti: Tag.
4. Saltare l’aggiunta di tag e fare clic su Avanti: Revisione.
5. Infine, fare clic su Crea utente per creare l’utente.
Una volta completato il processo, vedrai uno schermo simile a quello riportato di seguito, con la chiave di accesso ID e la chiave di accesso segreta del tuo nuovo utente. Queste sono le chiavi che utilizzerai per configurare AWS CLI. Assicurati di conservare queste chiavi in un luogo sicuro, poiché non potrai visualizzarle di nuovo dopo questa pagina!
Non condividere queste chiavi in pipeline CI/CD pubbliche o commenti su GitHub o altri forum pubblici!
Configurazione del Profilo AWS CLI
Ora che hai creato un utente IAM, devi configurare il profilo AWS sulla tua macchina in modo che tu possa accedere al servizio di gestione chiavi AWS utilizzando le credenziali per quell’utente.
Segui questi passaggi per configurare il tuo profilo AWS:
1. Apri PowerShell o Prompt dei comandi come amministratore.
2. Esegui il comando sottostante per verificare se hai installato AWS CLI. Vedrai qualcosa di simile allo screenshot qui sotto se è installato.
3. Ora, esegui il comando sottostante per configurare il tuo nuovo profilo.
4. Alla richiesta, inserisci le seguenti informazioni.
- ID chiave di accesso AWS: Inserisci l’ID chiave di accesso per l’utente IAM che hai creato in precedenza.
- Chiave di accesso segreta AWS: Inserisci la chiave di accesso segreta per l’utente IAM che hai creato in precedenza.
- Nome della regione predefinita: Inserisci la tua regione preferita. Per questo tutorial, userai us-west-2.
- Formato di output predefinito: Inserisci JSON. Il formato di output JSON è più facile da leggere.
Creazione di una chiave KMS utilizzando AWS CLI
Ora che hai un utente IAM con accesso programmato, puoi iniziare a creare una chiave KMS.
Esegui il comando seguente per creare una nuova chiave KMS.
Vedrai un output simile a quello riportato di seguito. Il KeyId è l’identificatore della tua nuova chiave KMS. Annotalo perché ne avrai bisogno in seguito.
Dato che non specifici esplicitamente una policy chiave, AWS KMS crea una policy chiave predefinita per la nuova chiave. Questa policy concede il controllo totale della chiave all’utente principale, compresa la capacità di creare utenti e ruoli di AWS Identity and Access Management (IAM).
Esegui il comando seguente per recuperare la policy chiave della tua nuova chiave KMS. Sostituisci l’argomento --key-id con il KeyId effettivo della tua nuova chiave KMS. Questo comando restituisce un documento di testo che contiene la policy chiave della tua nuova chiave KMS.
L’output dovrebbe assomigliare a quanto riportato di seguito.
Gestione delle chiavi KMS utilizzando AWS CLI
Ora che hai creato una chiave KMS, puoi imparare come gestirla utilizzando AWS CLI. Questa sezione ti insegnerà come elencare, disabilitare e abilitare una chiave KMS.
Puoi disabilitare e abilitare una chiave KMS in qualsiasi momento. Disabilitare una chiave KMS è utile quando desideri investigare un possibile abuso o se devi smettere temporaneamente di utilizzare la chiave per qualsiasi altro motivo.
1. Esegui il seguente comando per disabilitare una chiave KMS. Sostituisci l’argomento –key-id con il vero KeyId della tua chiave KMS. Questo comando non ha alcun output.
2. Per verificare che la chiave sia disabilitata, esegui il seguente comando. L’output dovrebbe includere il campo “KeyState”: “Disabled”, come mostrato.
3. Per abilitare la chiave, esegui il seguente comando. Anche questo comando non ha alcun output.
4. Infine, esegui il seguente comando per elencare tutte le chiavi KMS nel tuo account. L’output include informazioni come keyId e KeyArn di ogni chiave.
Conclusione
In questo articolo hai imparato come creare e gestire le chiavi KMS utilizzando AWS CLI e la console AWS. Hai anche imparato come creare un utente IAM con accesso programmato consentendo ad AWS CLI di gestire le tue chiavi KMS.
La competenza nella gestione delle chiavi AWS è essenziale per chiunque lavori con AWS, specialmente se sei responsabile della gestione di dati sensibili. Seguendo i passaggi in questo articolo, ora dovresti avere le competenze necessarie per iniziare a utilizzare AWS KMS.
Con questa nuova conoscenza, perché non creare risorse AWS KMS con AWS CloudFormation per risparmiare tempo e sforzi?