Está procurando uma maneira de criptografar e descriptografar seus dados rapidamente? Confira o AWS Key Management! Este serviço oferece alta segurança para seus dados, permitindo que você crie e gerencie chaves criptográficas. Você também pode controlar quem tem acesso às suas chaves e quais ações podem ser realizadas com elas.
Este tutorial, de maneira alguma, abrange tudo o que há para saber sobre o AWS Key Management. No entanto, fornecerá uma boa visão geral dos conceitos básicos de uso desta poderosa ferramenta.
Continue lendo para aproveitar os benefícios de segurança do AWS Key Management!
Pré-requisitos
Este tutorial será uma demonstração prática. Se você deseja acompanhar, certifique-se de ter o seguinte.
- Uma conta AWS com faturamento ativo. Você pode criar uma conta AWS gratuitamente aqui. A camada gratuita inclui serviços suficientes para começar este tutorial.
- Você tem o AWS CLI instalado e configurado em sua máquina. Confira este tutorial para obter mais informações.
Criando uma Chave KMS Usando o Console da AWS
Leia se preferir o console da AWS (GUI) em vez da AWS CLI. A seguinte seção irá guiá-lo na criação de uma chave KMS usando o console.
Criando um usuário IAM
Para começar, você deve criar um usuário IAM que você usará para acessar o Serviço de Gerenciamento de Chaves da AWS a partir da Interface de Linha de Comando da AWS (CLI).
Os usuários IAM são separados das credenciais da sua conta raiz da AWS. Usar usuários IAM é considerado uma prática recomendada porque permite que você tenha controle granular sobre quem tem acesso a quais recursos em sua conta da AWS.
Siga estas etapas para criar um usuário IAM com acesso por senha para o Serviço de Gerenciamento de Chaves da AWS:
1. Faça login no Console de Gerenciamento da AWS como usuário raiz.
2. Digite IAM na barra de pesquisa Encontrar serviços e selecione IAM nos resultados para abrir o console IAM. Este console é onde você pode gerenciar usuários IAM e suas permissões.
3. Navegue até Usuários → Adicionar usuários para adicionar um novo usuário IAM.
4. Execute as seguintes etapas na página Adicionar usuário.
Insira um nome para o seu novo usuário. Neste exemplo, é chamado de KMSUserConsole.
Selecione o botão de opção Acesso ao Console de Gerenciamento da AWS – senha > Senha autogerada. Esta opção gerará uma senha aleatória para o seu usuário.
Verifique se a caixa de seleção O usuário deve criar uma nova senha no próximo login está desmarcada. Esta ação permitirá que você faça login como este usuário sem ter que redefinir a senha primeiro.
Clique em Avançar: Permissões para continuar.
5. Na página Definir permissões, selecione Anexar diretamente políticas existentes. Selecione AdministratorAccess na lista de políticas disponíveis. Esta política concede ao usuário acesso total ao AWS, incluindo a capacidade de criar e gerenciar chaves.
Clique em Avançar: Tags para continuar.
6. Na página Adicionar tags (opcional), você pode adicionar tags relevantes ao seu usuário. Para este tutorial, você não adicionará nenhuma tag. Clique em Avançar: Revisar para revisar as permissões e informações do seu usuário.
7. Certifique-se de que a política AdministratorAccess está selecionada e clique em Criar usuário para concluir a criação do novo usuário do IAM.
8. A criação do usuário do IAM será concluída após alguns minutos, e você verá uma mensagem de sucesso no banner.
Copie ou baixe a senha para um local seguro, pois você precisará dela para fazer login como este novo usuário do IAM mais tarde.
Clique na URL ao lado da mensagem para navegar até a página de login do usuário do IAM.
Clique em Fechar para fechar a janela de mensagem.
9. Na próxima página, insira o nome de usuário e a senha que você acabou de gerar e clique em Entrar para fazer login como seu novo usuário do IAM.
Criando uma Chave KMS Usando o Console da AWS
Agora que você está logado no Console de Gerenciamento da AWS como seu usuário do IAM, você está pronto para criar sua primeira chave KMS.
Siga estas etapas para criar uma chave KMS usando o console da AWS.
1. Digite KMS na barra de pesquisa Encontrar serviços. Selecione Serviço de Gerenciamento de Chaves nos resultados para abrir o console KMS.
2. Clique em Chaves gerenciadas pelo cliente na barra lateral esquerda> Criar chave para criar uma nova chave KMS.
3. Faça o seguinte na próxima tela.
Tipo de chave: Selecione Simétrica. Esse tipo de chave é para criptografia e descriptografia e funciona melhor para a maioria dos casos de uso.
Uso da chave: Selecione Criptografia e descriptografia. Esse uso da chave permite que você use sua chave para criptografia e descriptografia.
Mantenha todas as outras configurações com seus valores padrão e clique em Avançar.
4. Digite um Alias para sua chave. Este alias ajudará você a identificar rapidamente sua chave no console KMS. O alias deve ter entre 1 e 256 caracteres de comprimento e só pode conter caracteres alfanuméricos, hífens (-) e sublinhados (_).
O alias não pode começar com aws/ pois este prefixo é reservado para chaves gerenciadas pela AWS. Você receberá a seguinte mensagem de erro se tentar usar este prefixo.
Informe uma Descrição para sua chave. Este campo é opcional, mas é sempre uma boa ideia incluir uma descrição para que você possa lembrar do uso da chave mais tarde.
Mantenha todas as outras configurações com seus valores padrão e clique em Avançar para continuar.
5. Selecione a caixa de seleção ao lado do usuário que você criou anteriormente, KMSUserConsole. Este usuário será o único que terá acesso para usar esta chave.
Mantenha a opção Permitir que os administradores de chave excluam esta chave desmarcada, pois você não desejará que ninguém exclua sua chave.
Clique em Avançar para continuar.
selecione o usuário que você criou anteriormente, KMSUserConsole, e clique em Avançar. Essa ação permite que seu usuário utilize a chave em operações criptográficas, como a criptografia e descriptografia de dados.
7. Por fim, clique no botão Concluir para finalizar o processo de criação da chave.
Sua nova chave KMS agora aparecerá na seção de chaves gerenciadas pelo cliente no console KMS. Você pode ver informações sobre sua chave, como status, ID da chave, alias, etc.
Gerenciando Chaves KMS Usando o Console da AWS
Agora que você criou uma chave KMS, as seções a seguir mostram como gerenciá-las usando o console da AWS.
Editando uma Chave KMS
Você pode editar uma chave KMS a qualquer momento para alterar suas configurações. Para fazer isso, siga estas etapas:
1. Clique no hiperlink da chave que deseja editar. Essa ação abre a página de detalhes da chave.
2. Clique no botão Editar no canto superior direito da página.
3. Faça as alterações que deseja na chave e clique em Salvar. Lembre-se de que a única coisa que você pode alterar é a descrição.
Desativando e Ativando uma Chave KMS
Você pode desativar e ativar uma chave KMS a qualquer momento. Por padrão, todas as chaves estão ativadas quando são criadas pela primeira vez. Se uma chave pode ter sido comprometida, é uma boa ideia desativá-la até que você investigue mais a fundo.
1. Marque a caixa ao lado da chave que deseja desativar e clique em Ações da chave → Desativar.
2. Uma janela pede para confirmar se você deseja desativar a tecla. Clique na caixa de seleção ao lado de Confirmar que você deseja desativar esta tecla e clique em Desativar.
A tecla está agora desativada e você verá uma mensagem na página de detalhes da tecla. O status da tecla também mudará para Desativado, como mostrado abaixo.
3. Quando sua investigação estiver completa, você pode reabilitar uma tecla e estará pronto para começar a usar a tecla novamente. Marque a caixa ao lado da tecla que deseja habilitar → Ações da tecla → Habilitar.
Criando uma Chave KMS Usando o AWS CLI
Grande fã do uso do AWS CLI? Bom para você! Você também pode criar uma chave KMS usando o AWS CLI. Esta seção irá ensinar como criar um usuário IAM com acesso programático.
Após criar o usuário, você armazenará as credenciais em um perfil AWS. Você interagirá com a AWS com esse perfil para criar uma chave KMS.
Criando um Usuário IAM com Acesso Programático
Você precisa de um usuário IAM com acesso programático para autenticar usando o AWS CLI sem senha. O acesso programático usa chaves de acesso, uma combinação de um ID de chave de acesso e uma chave de acesso secreta para fazer chamadas de API.
Siga estas etapas para criar um usuário IAM com acesso programático
1. Crie um novo usuário IAM chamado KMSUserCli no Console da AWS. Consulte a seção Criando um Usuário IAM anterior (passos 1 a 4).
2. Quando chegar à etapa Selecionar tipo de acesso da AWS, selecione Acesso programático e clique em Avançar: Permissões.
3. Selecione Anexar diretamente políticas existentes. Marque a caixa ao lado de AdministratorAccess e clique em Avançar: Tags.
4. Ignorando adicionar tags e clicando em Avançar: Revisão.
5. Por fim, clique em Criar usuário para criar o usuário.
Assim que o processo estiver completo, você verá uma tela semelhante à abaixo, com o ID da chave de acesso do seu novo usuário e a chave de acesso secreta. Essas são as chaves que você usará para configurar a AWS CLI. Certifique-se de armazenar essas chaves em um local seguro, pois você não poderá visualizá-las novamente após esta página!
Não compartilhe essas chaves em pipelines CI/CD públicos ou comentários no GitHub ou outros fóruns públicos!
Configurando o Perfil da AWS CLI
Agora que você criou um usuário IAM, precisa configurar seu perfil AWS em sua máquina para que possa acessar o serviço de Gerenciamento de Chaves da AWS usando as credenciais desse usuário.
Siga estas etapas para configurar seu perfil AWS:
1. Abra o PowerShell ou o Prompt de Comando como administrador.
2. Execute o comando abaixo para verificar se você tem a AWS CLI instalada. Você verá algo semelhante à captura de tela abaixo se estiver instalada.
3. Agora, execute o comando abaixo para configurar seu novo perfil.
4. No prompt, insira as seguintes informações.
- Identificação da Chave de Acesso AWS: Insira a identificação da chave de acesso para o usuário IAM que você criou anteriormente.
- Chave de Acesso Secreta AWS: Insira a chave de acesso secreta para o usuário IAM que você criou anteriormente.
- Nome da região padrão: Insira sua região preferida. Para este tutorial, você usará us-west-2.
- Formato de saída padrão: Insira JSON. A saída no formato JSON é mais fácil de ler.
Criando uma Chave KMS Usando o AWS CLI
Agora que você possui um usuário IAM com acesso programático, pode começar a criar uma chave KMS.
Execute o seguinte comando para criar uma nova chave KMS.
Você verá uma saída semelhante à mostrada abaixo. O KeyId é o identificador da sua nova chave KMS. Anote-o, pois você precisará dele posteriormente.
Como você não especifica explicitamente uma política de chave, a AWS KMS cria uma política de chave padrão para a nova chave. Essa política concede controle total da chave ao usuário root, incluindo a capacidade de criar usuários e funções do AWS Identity and Access Management (IAM).
Execute o seguinte comando para recuperar a política de chave da sua nova chave KMS. Substitua o argumento --key-id pelo KeyId real da sua nova chave KMS. Este comando retorna um documento de texto que contém a política de chave da sua nova chave KMS.
A saída deve se parecer com algo semelhante ao mostrado abaixo.
Gerenciando Chaves KMS Usando o AWS CLI
Agora que você criou uma chave KMS, pode aprender como gerenciá-la usando o AWS CLI. Esta seção irá ensinar como listar, desativar e ativar uma chave KMS.
Você pode desativar e ativar uma chave KMS a qualquer momento. Desativar uma chave KMS é útil quando você deseja investigar um possível uso indevido ou se precisar parar temporariamente de usar a chave por qualquer outro motivo.
1. Execute o seguinte comando para desativar uma chave KMS. Substitua o argumento –key-id pelo KeyId real da sua chave KMS. Este comando não tem saída.
2. Para verificar se a chave está desativada, execute o seguinte comando. A saída deve incluir o campo “KeyState”: “Desativado”, conforme mostrado.
3. Para ativar a chave, execute o seguinte comando. Novamente, este comando não tem saída.
4. Finalmente, execute o seguinte comando para listar todas as chaves KMS na sua conta. A saída inclui informações como keyId e KeyArn de cada chave.
Conclusão
Neste artigo, você aprendeu como criar e gerenciar chaves KMS usando o AWS CLI e o console AWS. Você também aprendeu como criar um usuário IAM com acesso programático permitindo que o AWS CLI gerencie suas chaves KMS.
A habilidade de gerenciamento de chaves da AWS é essencial para quem trabalha com a AWS, especialmente se for responsável por gerenciar dados sensíveis. Seguindo os passos deste artigo, agora você deve ter as habilidades necessárias para começar a usar o AWS KMS.
Com este conhecimento recém-adquirido, por que não criar recursos AWS KMS com AWS CloudFormation para economizar tempo e esforço?