Está procurando uma maneira de criptografar e descriptografar seus dados rapidamente? Confira o AWS Key Management! Este serviço oferece alta segurança para seus dados, permitindo que você crie e gerencie chaves criptográficas. Você também pode controlar quem tem acesso às suas chaves e quais ações podem realizar com elas.
Este tutorial, de forma alguma, abrange tudo o que há para saber sobre o AWS Key Management. No entanto, fornecerá uma boa visão geral dos princípios básicos de uso dessa ferramenta poderosa.
Continue lendo para aproveitar os benefícios de segurança do AWS Key Management!
Pré-requisitos
Este tutorial será uma demonstração prática. Se deseja acompanhar, certifique-se de ter o seguinte.
- Uma conta da AWS com faturamento ativo. Você pode criar uma conta AWS gratuitamente aqui. O nível gratuito inclui serviços suficientes para começar com este tutorial.
- Você tem o AWS CLI instalado e configurado em sua máquina. Confira este tutorial para mais informações.
Criando uma Chave KMS Usando o Console da AWS
Leia se preferir a console da AWS (GUI) em vez da AWS CLI. A seção a seguir o guiará na criação de uma chave KMS usando a console.
Criando um usuário IAM
Para começar, você deve criar um usuário IAM que será usado para acessar o Serviço de Gerenciamento de Chaves da AWS a partir da Interface de Linha de Comando (CLI) da AWS.
Os usuários IAM são separados das credenciais da sua conta raiz da AWS. O uso de usuários IAM é considerado uma prática recomendada porque permite ter controle granular sobre quem tem acesso a quais recursos em sua conta da AWS.
Siga estas etapas para criar um usuário IAM com acesso por senha para o Serviço de Gerenciamento de Chaves da AWS:
1. Faça login no Console de Gerenciamento da AWS como usuário raiz.
2. Digite IAM na barra de pesquisa Encontrar serviços e selecione IAM nos resultados para abrir a console do IAM. Esta console é onde você pode gerenciar usuários IAM e suas permissões.
3. Navegue até Usuários → Adicionar usuários para adicionar um novo usuário IAM.
4. Faça as seguintes etapas na página Adicionar usuário.
Insira um nome para o seu novo usuário. Neste exemplo, é chamado de KMSUserConsole.
Selecione o botão de rádio Acesso ao Console de Gerenciamento da AWS – Senha > Senha autogerada. Esta opção gerará uma senha aleatória para o seu usuário.
Certifique-se de que a caixa de seleção O usuário deve criar uma nova senha no próximo login esteja desmarcada. Essa ação permitirá que você faça login como este usuário sem precisar redefinir a senha primeiro.
Clique em Avançar: Permissões para continuar.
5. Na página Definir permissões, selecione Anexar diretamente políticas existentes. Selecione AdministratorAccess na lista de políticas disponíveis. Essa política dá ao usuário acesso total ao AWS, incluindo a capacidade de criar e gerenciar chaves.
Clique em Avançar: Tags para continuar.
6. Na página Adicionar tags (opcional), você pode adicionar quaisquer tags relevantes ao seu usuário. Para este tutorial, você não estará adicionando nenhuma tag. Clique em Avançar: Revisar para revisar as permissões e informações do seu usuário.
7. Verifique se a política AdministratorAccess está selecionada e clique em Criar usuário para concluir a criação do seu novo usuário IAM.
8. A criação do usuário IAM termina após alguns minutos e você verá uma mensagem de banner de Sucesso.
Copie ou baixe a senha para algum lugar seguro, pois você precisará dela para fazer login como esse novo usuário IAM posteriormente.
Clique na URL ao lado da mensagem para navegar até a página de login do usuário IAM.
Clique em Fechar para fechar a janela de mensagem.
9. Na próxima página, insira o nome de usuário e a senha que você acabou de gerar e clique em Entrar para fazer login como seu novo usuário IAM.
Criando uma Chave KMS Usando o Console da AWS
Agora que você fez login no Console de Gerenciamento da AWS como seu usuário IAM, você está pronto para criar sua primeira chave KMS.
Siga estas etapas para criar uma chave KMS usando o console da AWS.
1. Digite KMS na barra de pesquisa Encontrar serviços. Selecione Key Management Service nos resultados para abrir o console do KMS.
2. Clique em Chaves gerenciadas pelo cliente no menu lateral esquerdo > Crie uma chave para criar uma nova chave KMS.
3. Faça o seguinte na próxima tela.
Tipo de chave: Selecione Simétrica. Este tipo de chave é para criptografia e descriptografia e funciona melhor para a maioria dos casos de uso.
Uso da chave: Selecione Criptografia e descriptografia. Este uso da chave permite que você use a chave para criptografia e descriptografia.
Mantenha todas as outras configurações com seus valores padrão e clique em Avançar.
4. Insira um Alias para sua chave. Este alias ajudará você a identificar rapidamente sua chave no console KMS. O alias deve ter entre 1 e 256 caracteres e só pode conter caracteres alfanuméricos, hífens (-) e sublinhados (_).
O alias não pode começar com aws/ pois este prefixo é reservado para chaves gerenciadas pela AWS. Você receberá a seguinte mensagem de erro se tentar usar este prefixo.
Insira uma Descrição para sua chave. Este campo é opcional, mas é sempre uma boa ideia incluir uma descrição para que você possa lembrar do uso da chave mais tarde.
Mantenha todas as outras configurações com seus valores padrão e clique em Avançar para continuar.
5. Selecione a caixa de seleção ao lado do usuário que você criou anteriormente, KMSUserConsole. Este usuário será o único que terá acesso para usar esta chave.
Mantenha a opção Permitir que administradores de chave excluam esta chave desmarcada, pois você não desejará que ninguém exclua sua chave.
Clique em Avançar para continuar.
Selecione o usuário que você criou anteriormente, KMSUserConsole, e clique em próximo. Essa ação permite que seu usuário use a chave em operações criptográficas, como criptografar e descriptografar dados.
7. Finalmente, clique no botão Concluir para concluir o processo de criação da chave.
Sua nova chave do KMS agora aparecerá na seção de chaves gerenciadas pelo cliente no console do KMS. Você pode ver informações sobre sua chave, como status, ID da chave, alias, etc.
Gerenciando Chaves do KMS Usando o Console da AWS
Agora que você criou uma chave do KMS, as seções a seguir mostram como gerenciá-las usando o console da AWS.
Editando uma Chave do KMS
Você pode editar uma chave do KMS a qualquer momento para alterar suas configurações. Para fazer isso, siga estas etapas:
1. Clique no hiperlink da chave que deseja editar. Essa ação abre a página de detalhes da chave.
2. Clique no botão Editar no canto superior direito da página.
3. Faça as alterações que deseja na chave e clique em Salvar. Lembre-se de que a única coisa que você pode alterar é a descrição.
Desativando e Ativando uma Chave do KMS
Você pode desativar e ativar uma chave do KMS a qualquer momento. Por padrão, todas as chaves são ativadas quando são criadas pela primeira vez. Se uma chave pode ter sido comprometida, é uma boa ideia desativá-la até que você investigue mais a fundo.
1. Marque a caixa de seleção ao lado da chave que deseja desativar e clique em Ações da Chave → Desativar.
2. Uma janela solicita confirmação para desativar a tecla. Marque a caixa ao lado de Confirmar que deseja desativar esta tecla e clique em Desativar.
A tecla está agora desativada, e você verá uma mensagem na página de detalhes da tecla. O status da tecla também mudará para Desativado, conforme mostrado abaixo.
3. Quando sua investigação estiver completa, você pode reativar uma tecla e estar pronto para começar a usá-la novamente. Marque a caixa ao lado da tecla que deseja habilitar → Ações da tecla → Habilitar.
Criando uma Chave KMS Usando o AWS CLI
Grande fã do uso do AWS CLI? Bom para você! Você também pode criar uma chave KMS usando o AWS CLI. Esta seção irá ensinar como criar um usuário IAM com acesso programático.
Após criar o usuário, você armazenará as credenciais em um perfil AWS. Você interagirá com a AWS usando esse perfil para criar uma chave KMS.
Criando um Usuário IAM com Acesso Programático
Você precisa de um usuário IAM com acesso programático para autenticar usando o AWS CLI sem senha. O acesso programático utiliza chaves de acesso, uma combinação de um ID de chave de acesso e uma chave de acesso secreta para fazer chamadas de API.
Siga estas etapas para criar um usuário IAM com acesso programático
1. Crie um novo usuário IAM chamado KMSUserCli no Console da AWS. Consulte a seção anterior de Criação de um Usuário IAM (etapas 1 a 4).
2. Quando chegar à seleção do tipo de acesso AWS, escolha Acesso programático e clique em Avançar: Permissões.
3. Selecione Anexar políticas existentes diretamente. Marque a caixa ao lado de AdministratorAccess e clique em Avançar: Tags.
4. Pular adição de tags e clicar em Avançar: Revisar.
5. Por fim, clique em Criar usuário para criar o usuário.
Assim que o processo for concluído, você verá uma tela semelhante à mostrada abaixo, com a chave de ID de acesso e a chave de acesso secreta do seu novo usuário. Essas são as chaves que você usará para configurar a AWS CLI. Certifique-se de armazenar essas chaves em um local seguro, pois você não poderá visualizá-las novamente após esta página!
Não compartilhe essas chaves em pipelines CI/CD públicos ou em comentários no GitHub ou outros fóruns públicos!
Configurando o Perfil da AWS CLI
Agora que você criou um usuário IAM, precisa configurar o perfil da AWS em sua máquina para poder acessar o Serviço de Gerenciamento de Chaves da AWS usando as credenciais desse usuário.
Siga estas etapas para configurar o perfil da AWS:
1. Abra o PowerShell ou o Prompt de Comando como administrador.
2. Execute o comando abaixo para verificar se você tem o AWS CLI instalado. Você verá algo semelhante à captura de tela abaixo se estiver instalado.
3. Agora, execute o comando abaixo para configurar seu novo perfil.
4. Na solicitação, insira as seguintes informações.
- ID da Chave de Acesso AWS: Insira o ID da chave de acesso para o usuário IAM que você criou anteriormente.
- Chave de Acesso Secreta AWS: Insira a chave de acesso secreta para o usuário IAM que você criou anteriormente.
- Nome da região padrão: Insira sua região preferida. Para este tutorial, você usará us-west-2.
- Formato de saída padrão: Insira JSON. A saída no formato JSON é mais fácil de ler.
Criando uma Chave KMS Usando o AWS CLI
Agora que você possui um usuário IAM com acesso programático, pode começar a criar uma chave KMS.
Execute o seguinte comando para criar uma nova chave KMS.
Você verá uma saída semelhante à mostrada abaixo. O KeyId é o identificador da sua nova chave KMS. Anote-o, pois você precisará dele posteriormente.
Como você não especifica explicitamente uma política de chave, a AWS KMS cria uma política de chave padrão para a nova chave. Esta política concede controle total da chave ao usuário root, incluindo a capacidade de criar usuários e funções do AWS Identity and Access Management (IAM).
Execute o seguinte comando para recuperar a política de chave da sua nova chave KMS. Substitua o argumento --key-id pelo KeyId real da sua nova chave KMS. Este comando retorna um documento de texto que contém a política de chave da sua nova chave KMS.
A saída deve se parecer com algo como mostrado abaixo.
Gerenciando Chaves KMS Usando o AWS CLI
Agora que você criou uma chave KMS, você pode aprender como gerenciá-la usando a AWS CLI. Esta seção irá te ensinar como listar, desabilitar e habilitar uma chave KMS.
Você pode desabilitar e habilitar uma chave KMS a qualquer momento. Desabilitar uma chave KMS é útil quando você deseja investigar uso indevido potencial ou se precisar parar de usar a chave temporariamente por qualquer outro motivo.
1. Execute o seguinte comando para desabilitar uma chave KMS. Substitua o argumento –key-id pelo KeyId real da sua chave KMS. Este comando não tem nenhum resultado.
2. Para verificar se a chave está desabilitada, execute o seguinte comando. A saída deve incluir o campo “KeyState”: “Disabled”, como mostrado.
3. Para habilitar a chave, execute o seguinte comando. Novamente, este comando não tem nenhum resultado.
4. Por fim, execute o seguinte comando para listar todas as chaves KMS na sua conta. A saída inclui informações como keyId e KeyArn de cada chave.
Conclusão
Neste artigo, você aprendeu como criar e gerenciar chaves KMS usando a AWS CLI e o console AWS. Você também aprendeu como criar um usuário IAM com acesso programático permitindo que a AWS CLI gerencie suas chaves KMS.
A habilidade de gerenciamento de chaves da AWS é essencial para quem trabalha com a AWS, especialmente se você é responsável por gerenciar dados sensíveis. Seguindo os passos deste artigo, você agora deve ter as habilidades necessárias para começar a usar o AWS KMS.
Com esse novo conhecimento, por que não criar recursos do AWS KMS com o AWS CloudFormation para economizar tempo e esforço?