如何在 AWS 中管理非对称 (Public/Private) 密钥
How to manage Asymmetric (Public/Private) Keys in AWS
我需要开发一个解决方案来在 AWS 中安全地存储对称和非对称密钥。这些密钥将由 EC2 和 Lambda 上 运行 的应用程序使用。应用程序需要设置策略,以允许应用程序或 lambda 从密钥库中提取密钥。密钥库还应该管理密钥过期,在密钥即将过期时通知不同的人。初始密钥交换是在我的公司与其合作伙伴之间进行的,这意味着我们可能拥有 public 或密钥对的私钥,具体取决于数据传输方向。
我们查看了 KMS,但据我所知,KMS 不支持非对称密钥。我也在网上看到有人使用S3(受KMS保护)或参数存储来存储密钥,但这并没有解决密钥管理问题。
大家对此有什么看法吗?甚至 SaaS/PaaS 个建议?
我的建议是为此使用 AWS Secrets Manager。 Secrets Manager 允许您存储任何类型的 credential/key,您可以为机密设置细粒度的跨帐户权限,使用静态加密(通过 KMS),并且可以自动轮换机密(通过提供到期时间以及您拥有的 AWS Lambda 函数来执行轮换)。
有关官方文档的更多详细信息:
我需要开发一个解决方案来在 AWS 中安全地存储对称和非对称密钥。这些密钥将由 EC2 和 Lambda 上 运行 的应用程序使用。应用程序需要设置策略,以允许应用程序或 lambda 从密钥库中提取密钥。密钥库还应该管理密钥过期,在密钥即将过期时通知不同的人。初始密钥交换是在我的公司与其合作伙伴之间进行的,这意味着我们可能拥有 public 或密钥对的私钥,具体取决于数据传输方向。
我们查看了 KMS,但据我所知,KMS 不支持非对称密钥。我也在网上看到有人使用S3(受KMS保护)或参数存储来存储密钥,但这并没有解决密钥管理问题。
大家对此有什么看法吗?甚至 SaaS/PaaS 个建议?
我的建议是为此使用 AWS Secrets Manager。 Secrets Manager 允许您存储任何类型的 credential/key,您可以为机密设置细粒度的跨帐户权限,使用静态加密(通过 KMS),并且可以自动轮换机密(通过提供到期时间以及您拥有的 AWS Lambda 函数来执行轮换)。
有关官方文档的更多详细信息: