是否可以将非对称密钥作为您自己的密钥 (BYOK) 提供给任何云提供商的云 KMS(密钥管理服务)?
Is it possible to provide asymmetric keys as your own keys (BYOK) to a cloud KMS (key management service) for any cloud providers?
我想使用客户提供的密钥加密 storage/volumes。我见过可以导入对称客户密钥并用于加密卷的示例,例如 AWS 中的 EBS 卷。但是没有客户可以提供非对称密钥的示例,例如 public 密钥驻留在云 kms 中并且私钥仅由客户持有。
是否可以通过提供非对称密钥将您自己的密钥导入到云 KMS 中?
您可以通过导入对称或私有非对称密钥将您自己的密钥“带入”Google Cloud KMS:文档在此处 - https://cloud.google.com/kms/docs/key-import. AWS has a similar feature for symmetric keys only, the documentation is here - https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html.
但是,在这两种情况下,无论是对称的还是非对称的,KMS 都持有私钥,以便您可以在 KMS 内部进行安全操作。当您想保留私钥并只向 KMS 发送 public 密钥时,我不确定您想要什么架构。
如果您想保留对密钥 material 的私人控制权,GCP 通过“外部密钥管理器”支持它,它允许您“持有自己的密钥”。文档在这里:https://cloud.google.com/kms/docs/ekm。据我所知,亚马逊没有同类产品。
披露:我在 Google Cloud 工作,负责密钥管理解决方案,包括 KMS 和 EKM。
我想使用客户提供的密钥加密 storage/volumes。我见过可以导入对称客户密钥并用于加密卷的示例,例如 AWS 中的 EBS 卷。但是没有客户可以提供非对称密钥的示例,例如 public 密钥驻留在云 kms 中并且私钥仅由客户持有。 是否可以通过提供非对称密钥将您自己的密钥导入到云 KMS 中?
您可以通过导入对称或私有非对称密钥将您自己的密钥“带入”Google Cloud KMS:文档在此处 - https://cloud.google.com/kms/docs/key-import. AWS has a similar feature for symmetric keys only, the documentation is here - https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html.
但是,在这两种情况下,无论是对称的还是非对称的,KMS 都持有私钥,以便您可以在 KMS 内部进行安全操作。当您想保留私钥并只向 KMS 发送 public 密钥时,我不确定您想要什么架构。
如果您想保留对密钥 material 的私人控制权,GCP 通过“外部密钥管理器”支持它,它允许您“持有自己的密钥”。文档在这里:https://cloud.google.com/kms/docs/ekm。据我所知,亚马逊没有同类产品。
披露:我在 Google Cloud 工作,负责密钥管理解决方案,包括 KMS 和 EKM。