Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
云密钥管理服务 作为 加密密钥 的安全存储,这些密钥对于 加密和解密敏感数据 的操作至关重要。这些密钥被组织在密钥环中,便于结构化管理。此外,访问控制可以在单个密钥级别或整个密钥环上进行精细配置,确保权限与安全要求精确对齐。
KMS 密钥环默认创建为 全球,这意味着该密钥环内的密钥可以从任何区域访问。然而,可以在 特定区域 创建特定的密钥环。
软件密钥:软件密钥完全由 KMS 在软件中 创建和管理。这些密钥 不受任何硬件安全模块 (HSM) 保护,可用于 测试和开发目的。软件密钥 不推荐用于生产,因为它们提供的安全性较低,容易受到攻击。
云托管密钥:云托管密钥由 KMS 在云中 创建和管理,使用高度可用和可靠的基础设施。这些密钥 受 HSM 保护,但 HSM 并不专门为特定客户提供。云托管密钥适用于大多数生产用例。
外部密钥:外部密钥在 KMS 之外 创建和管理,并导入到 KMS 中以用于加密操作。外部密钥 可以存储在硬件安全模块 (HSM) 或软件库中,具体取决于客户的偏好。
对称加密/解密:用于 使用单个密钥进行数据的加密和解密。对称密钥在加密和解密大量数据时快速高效。
非对称签名:用于在不共享密钥的情况下在两方之间进行安全通信。非对称密钥成对出现,包括 公钥和私钥。公钥与他人共享,而私钥则保密。
非对称解密:用于验证消息或数据的真实性。使用私钥创建数字签名,并可以使用相应的公钥进行验证。
MAC 签名:用于通过使用秘密密钥创建消息认证码 (MAC) 来确保 数据的完整性和真实性。HMAC 通常用于网络协议和软件应用中的消息认证。
默认情况下,每 90 天,但可以 轻松 和 完全自定义。
“程序化销毁”周期是 用户请求删除密钥后的时间,直到密钥被 删除。在密钥创建后无法更改(默认 1 天)。
每个 KMS 密钥可以有多个版本,其中一个必须是 默认 版本,当与 KMS 密钥交互时未指定版本时将使用该版本。
拥有 列出密钥的权限,可以通过以下方式访问它们:
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
