Bent u op zoek naar een manier om uw gegevens snel te versleutelen en ontsleutelen? Bekijk AWS Key Management! Deze dienst biedt een hoog niveau van beveiliging voor uw gegevens door u in staat te stellen cryptografische sleutels te maken en te beheren. U kunt ook controleren wie toegang heeft tot uw sleutels en welke acties ze ermee kunnen ondernemen.
Deze tutorial dekt geenszins alles wat er te weten valt over AWS Key Management. Maar, het geeft u een goed overzicht van de basisprincipes van het gebruik van deze krachtige tool.
Lees verder om te profiteren van de beveiligingsvoordelen van AWS Key Management!
Vereisten
Deze tutorial zal een praktische demonstratie zijn. Als u wilt meedoen, zorg dan dat u het volgende heeft.
- Een AWS-account met actieve facturering. U kunt hier gratis een AWS-account aanmaken. De gratis tier omvat voldoende diensten om u op weg te helpen met deze tutorial.
- U heeft AWS CLI geïnstalleerd en geconfigureerd op uw machine. Bekijk deze tutorial voor meer informatie.
Een KMS-sleutel maken met behulp van de AWS-console
Lees verder als je de AWS-console (GUI) verkiest boven de AWS CLI. Het volgende gedeelte zal je door het maken van een KMS-sleutel met behulp van de console begeleiden.
Het maken van een IAM-gebruiker
Om te beginnen, moet je een IAM-gebruiker maken die je zult gebruiken om toegang te krijgen tot de AWS Key Management Service vanaf de AWS Command Line Interface (CLI).
IAM-gebruikers zijn gescheiden van de inloggegevens van je AWS-rootaccount. Het gebruik van IAM-gebruikers wordt beschouwd als een best practice omdat het je in staat stelt om nauwkeurige controle te hebben over wie toegang heeft tot welke bronnen in je AWS-account.
Volg deze stappen om een IAM-gebruiker met wachtwoordtoegang voor de AWS Key Management Service te maken:
1. Meld je aan bij de AWS Management Console als de rootgebruiker.
2. Typ IAM in de zoekbalk Zoeken naar services en selecteer IAM uit de resultaten om de IAM-console te openen. Deze console is waar je IAM-gebruikers en hun machtigingen kunt beheren.
3. Ga naar Gebruikers → Gebruiker toevoegen om een nieuwe IAM-gebruiker toe te voegen.
4. Voer de volgende stappen uit op de pagina Gebruiker toevoegen.
Voer een naam in voor je nieuwe gebruiker. In dit voorbeeld heet het KMSUserConsole.
Selecteer de optie Wachtwoord – toegang tot AWS Management Console radio-knop > Automatisch gegenereerd wachtwoord. Deze optie genereert een willekeurig wachtwoord voor je gebruiker.
Zorg ervoor dat het selectievakje De gebruiker moet bij het volgende aanmelden een nieuw wachtwoord maken niet is ingeschakeld. Hierdoor kun je je aanmelden als deze gebruiker zonder eerst het wachtwoord te hoeven resetten.
Klik op Volgende: Machtigingen om door te gaan.
5. Op de pagina Machtigingen instellen, selecteer Direct bestaande beleidsregels koppelen. Selecteer AdministratorAccess uit de lijst met beschikbare beleidsregels. Deze beleidsregel geeft de gebruiker volledige toegang tot AWS, inclusief de mogelijkheid om sleutels te maken en te beheren.
Klik op Volgende: Tags om door te gaan.
6. Op de pagina Tags toevoegen (optioneel) kunt u relevante tags toevoegen aan uw gebruiker. Voor deze handleiding voegt u geen tags toe. Klik op Volgende: Controleren om de machtigingen en informatie van uw gebruiker te controleren.
7. Zorg ervoor dat het beleid AdministratorAccess is geselecteerd en klik op Gebruiker maken om uw nieuwe IAM-gebruiker te voltooien.
8. Het maken van de IAM-gebruiker eindigt na een paar minuten en u ziet een succesbericht.
Kopieer of download het wachtwoord ergens veilig, want u heeft het nodig om later in te loggen als deze nieuwe IAM-gebruiker.
Klik op de URL naast het bericht om naar de aanmeldpagina van de IAM-gebruiker te gaan.
Klik op Sluiten om het berichtvenster te sluiten.
9. Op de volgende pagina voert u de gebruikersnaam en het wachtwoord in dat u zojuist heeft gegenereerd en klikt u op Aanmelden om in te loggen als uw nieuwe IAM-gebruiker.
Het maken van een KMS-sleutel met behulp van de AWS-console
Nu u bent ingelogd op de AWS-beheerconsole als uw IAM-gebruiker, bent u klaar om uw eerste KMS-sleutel te maken.
Volg deze stappen om een KMS-sleutel te maken met behulp van de AWS-console.
1. Typ KMS in de zoekbalk Zoek services. Selecteer Key Management Service uit de resultaten om de KMS-console te openen.
2. Klik op Beheerde sleutels van klanten in de linkerzijbalk > Maak sleutel aan om een nieuwe KMS-sleutel te maken.
3. Voer het volgende uit op het volgende scherm.
Sleuteltype: Selecteer Symmetrisch. Dit type sleutel is voor versleuteling en ontsleuteling en werkt het beste voor de meeste gebruiksgevallen.
Sleutelgebruik: Selecteer Versleuteling en ontsleuteling. Dit sleutelgebruik stelt u in staat uw sleutel te gebruiken voor versleuteling en ontsleuteling.
Houd alle andere instellingen op hun standaardwaarden en klik op Volgende.
4. Voer een Alias in voor uw sleutel. Deze alias helpt u uw sleutel snel te identificeren in de KMS-console. De alias moet tussen 1 en 256 tekens lang zijn en mag alleen alfanumerieke tekens, streepjes (-) en underscores (_) bevatten.
De alias mag niet beginnen met aws/ omdat deze prefix is gereserveerd voor door AWS beheerde sleutels. U krijgt het volgende foutbericht als u deze prefix probeert te gebruiken.
Voer een Beschrijving in voor uw sleutel. Dit veld is optioneel, maar het is altijd een goed idee om een beschrijving toe te voegen, zodat u zich de gebruiksdoelen van de sleutel later kunt herinneren.
Houd alle andere instellingen op hun standaardwaarden en klik op Volgende om door te gaan.
5. Selecteer het selectievakje naast de gebruiker die u eerder hebt aangemaakt, KMSUserConsole. Deze gebruiker zal de enige zijn die toegang heeft om deze sleutel te gebruiken.
Houd het selectievakje Toestaan dat sleutelbeheerders deze sleutel verwijderen niet aangevinkt, aangezien u niet wilt dat iemand uw sleutel verwijdert.
Klik op Volgende om door te gaan.
Gebruiker: Selecteer de eerder gemaakte gebruiker, KMSUserConsole, en klik op Volgende. Deze actie stelt je gebruiker in staat om de sleutel te gebruiken bij cryptografische operaties, zoals het versleutelen en ontsleutelen van gegevens.
7. Klik tot slot op de Voltooien-knop om het sleutelcreatieproces te voltooien.
Je nieuwe KMS-sleutel verschijnt nu in het gedeelte Klantbeheerde sleutels van de KMS-console. Hier kun je informatie zien over je sleutel, zoals wanneer de status, sleutel-ID, alias, enzovoort.
Het beheren van KMS-sleutels met behulp van de AWS-console
Nu je een KMS-sleutel hebt gemaakt, laten de volgende secties je zien hoe je ze kunt beheren met behulp van de AWS-console.
Een KMS-sleutel bewerken
Je kunt op elk moment een KMS-sleutel bewerken om de instellingen ervan te wijzigen. Volg hiervoor deze stappen:
1. Klik op de hyperlink van de sleutel die je wilt bewerken. Hiermee wordt de pagina met sleuteldetails geopend.
2. Klik op de knop Bewerken rechtsboven op de pagina.
3. Breng eventuele wijzigingen aan die je wilt maken aan de sleutel en klik op Opslaan. Houd er rekening mee dat je alleen de beschrijving kunt wijzigen.
Een KMS-sleutel uitschakelen en inschakelen
Je kunt op elk moment een KMS-sleutel uitschakelen en inschakelen. Standaard zijn alle sleutels ingeschakeld wanneer ze voor het eerst worden gemaakt. Als een sleutel mogelijk gecompromitteerd is, is het een goed idee om de sleutel uit te schakelen totdat je verder onderzoek hebt verricht.
1. Vink het vakje naast de sleutel aan die je wilt uitschakelen en klik op Sleutelacties → Uitschakelen.
2. Een venster vraagt u te bevestigen dat u de sleutel wilt uitschakelen. Vink het selectievakje naast Bevestig dat u deze sleutel wilt uitschakelen aan en klik op Uitschakelen.
De sleutel is nu uitgeschakeld en u ziet een bericht op de sleuteldetailpagina. De status van de sleutel zal ook veranderen in Uitgeschakeld, zoals hieronder weergegeven.
3. Wanneer uw onderzoek is afgerond, kunt u een sleutel opnieuw inschakelen en bent u klaar om de sleutel opnieuw te gebruiken. Vink het selectievakje naast de sleutel aan die u wilt inschakelen → Sleutelacties → Inschakelen.
Het maken van een KMS-sleutel met behulp van de AWS CLI
Groot fan van het gebruik van de AWS CLI? Goed voor jou! U kunt ook een KMS-sleutel maken met behulp van de AWS CLI. In dit gedeelte leert u hoe u een IAM-gebruiker met programmatische toegang kunt maken.
Na het maken van de gebruiker slaat u de referenties op in een AWS-profiel. U zult met dat profiel communiceren met AWS om een KMS-sleutel te maken.
Het maken van een IAM-gebruiker met programmatische toegang
U heeft een IAM-gebruiker met programmatische toegang nodig om te authenticeren met behulp van de AWS CLI zonder wachtwoord. Programmatische toegang maakt gebruik van toegangssleutels, een combinatie van een toegangssleutel-ID en een geheime toegangssleutel om API-oproepen te doen.
Volg deze stappen om een IAM-gebruiker met programmatische toegang te maken
1. Maak een nieuwe IAM-gebruiker met de naam KMSUserCli in de AWS Console. Raadpleeg het eerdere gedeelte Het maken van een IAM-gebruiker (stappen 1 tot 4).
2. Wanneer u de Selecteer AWS-toegangstype bereikt, selecteert u Programmatoegang en klikt u op Volgende: Machtigingen.
3. Selecteer Bestaande beleidsregels rechtstreeks koppelen. Vink het selectievakje naast AdministratorAccess aan en klik op Volgende: Tags.
4. Overslaan van het toevoegen van tags en klik op Volgende: Beoordelen.
5. Klik ten slotte op Gebruiker maken om de gebruiker aan te maken.
Zodra het proces is voltooid, ziet u een scherm dat lijkt op het onderstaande, met de toegangssleutel-ID en geheime toegangssleutel van uw nieuwe gebruiker. Dit zijn de sleutels die u zult gebruiken om de AWS CLI te configureren. Zorg ervoor dat u deze sleutels op een veilige plaats bewaart, want u kunt ze niet meer bekijken na deze pagina!
Deel deze sleutels niet in openbare CI/CD-pipelines of opmerkingen op GitHub of andere openbare forums!
Configuratie van het AWS CLI-profiel
Nu u een IAM-gebruiker heeft aangemaakt, moet u uw AWS-profiel instellen op uw machine, zodat u toegang heeft tot de AWS Key Management Service met de referenties van die gebruiker.
Volg deze stappen om uw AWS-profiel te configureren:
1. Open PowerShell of Command Prompt als beheerder.
2. Voer de onderstaande opdracht uit om te controleren of de AWS CLI is geïnstalleerd. Als het is geïnstalleerd, ziet u iets vergelijkbaars met de onderstaande schermafbeelding.
3. Voer nu de onderstaande opdracht uit om uw nieuwe profiel in te stellen.
4. Voer bij de prompt de volgende informatie in.
- AWS-toegangssleutel-ID: Voer de toegangssleutel-ID in voor de IAM-gebruiker die je eerder hebt aangemaakt.
- AWS Geheime toegangssleutel: Voer de geheime toegangssleutel in voor de IAM-gebruiker die je eerder hebt aangemaakt.
- Standaard regio-naam: Voer je voorkeursregio in. Voor deze handleiding gebruik je us-west-2.
- Standaard uitvoerformaat: Voer JSON in. Uitvoer in JSON-formaat is gemakkelijker te lezen.
Het maken van een KMS-sleutel met behulp van de AWS CLI
Nu je een IAM-gebruiker hebt met programmatische toegang, kun je beginnen met het maken van een KMS-sleutel.
Voer de volgende opdracht uit om een nieuwe KMS-sleutel te maken.
Je ziet een uitvoer vergelijkbaar met degene hieronder. De KeyId is de identificatie van je nieuwe KMS-sleutel. Noteer dit, want je hebt het later nodig.
Omdat je niet expliciet een sleutelbeleid opgeeft, maakt AWS KMS een standaard sleutelbeleid voor de nieuwe sleutel. Dit beleid geeft volledige controle over de sleutel aan de hoofdgebruiker, inclusief de mogelijkheid om AWS Identity and Access Management (IAM) gebruikers en rollen te maken.
Voer de volgende opdracht uit om het sleutelbeleid van je nieuwe KMS-sleutel op te halen. Vervang het --key-id-argument door de daadwerkelijke KeyId van je nieuwe KMS-sleutel. Deze opdracht retourneert een tekstbestand dat het sleutelbeleid van je nieuwe KMS-sleutel bevat.
De uitvoer zou er ongeveer uitzien zoals hieronder.
Het beheren van KMS-sleutels met behulp van de AWS CLI
Nu je een KMS-sleutel hebt aangemaakt, kun je leren hoe je deze kunt beheren met behulp van de AWS CLI. In deze sectie leer je hoe je een KMS-sleutel kunt vermelden, uitschakelen en inschakelen.
Je kunt op elk moment een KMS-sleutel uitschakelen en inschakelen. Het uitschakelen van een KMS-sleutel is handig wanneer je mogelijk misbruik wilt onderzoeken of als je tijdelijk wilt stoppen met het gebruik van de sleutel om een andere reden.
1. Voer de volgende opdracht uit om een KMS-sleutel uit te schakelen. Vervang het argument -key-id door de werkelijke KeyId van je KMS-sleutel. Deze opdracht geeft geen uitvoer.
2. Om te controleren of de sleutel is uitgeschakeld, voer je de volgende opdracht uit. De uitvoer moet het veld “KeyState”: “Disabled” bevatten, zoals getoond.
3. Om de sleutel in te schakelen, voer je de volgende opdracht uit. Ook deze opdracht geeft geen uitvoer.
4. Tenslotte, voer de volgende opdracht uit om alle KMS-sleutels in je account weer te geven. De uitvoer bevat informatie zoals de keyId en KeyArn van elke sleutel.
Conclusie
In dit artikel heb je geleerd hoe je KMS-sleutels kunt maken en beheren met behulp van de AWS CLI en de AWS-console. Je hebt ook geleerd hoe je een IAM-gebruiker kunt maken met programmatische toegang waarmee AWS CLI je KMS-sleutels kan beheren.
Vaardigheid in AWS-sleutelbeheer is essentieel voor iedereen die met AWS werkt, vooral als je verantwoordelijk bent voor het beheren van gevoelige gegevens. Door de stappen in dit artikel te volgen, zou je nu de vaardigheden moeten hebben die je nodig hebt om AWS KMS te gaan gebruiken.
Met deze nieuwe kennis, waarom zou je dan geen AWS KMS-resources maken met AWS CloudFormation om tijd en moeite te besparen?