AWS KMS 之 EBS 和 S3 加密最佳实践

本篇主要从AWS安全视角中的数据保护层面对S3和EBS进行加密管理，并结合CloudTrail 和 CloudWatch相结合做到数据加密中的可追溯性，并阐述EBS加密与解密的过程。另外通过本篇你将掌握利用AWS Key Management Service (KMS) 去创建和管理密钥，并管理AWS 服务和应用程序中加密的使用方式，这里主要围绕生产场景常用的AWS服务EBS和S3的最佳实践方法供其参考。

首先我们在此先启用CloudTrail，让其提供给密钥加密管理有对应的记录，方便密钥的监管的合规性要求。

启用与配置CloudTrail 日志功能

登陆AWS管理控制台，点击服务并选中CloudTrail

指定跟踪名称，选择跟踪到所有的区域；并输入对应跟踪器名称：kms-trail，指定对应S3存储桶，如下图

配置CloudWatch与IAM策略

CloudTrail 与S3存储配置好后；在CloudTrail界面，配置其CloudWatch日志，以及IAM策略。

创建KMS Master key

在控制台的服务选项中，选择KMS服务，创建一个Master key，

定义管理权限

指定哪个账户具有管理密钥的权限

定义密钥使用权限

指定哪个账户具有使用密钥的权限

如果这里想通过脚本的方式进行，也可参考下面的json文件配置：

{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountID:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam:: AccountID:user/awsent"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam:: AccountID:user/awsent"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam:: AccountID:user/awsent"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}

启用密钥轮换功能

在创建Master Key后，需要开启密钥轮换功能，从AWS安全角度以及最佳实践角度，需要将其开启。

AWS EBS 与KMS 集成示例

Amazon EBS 可通过AWS KMS 提供卷加密功能。每个卷均使用 AES-256-XTS 进行加密。这需要两个256位密钥,您可以将它们视为一个512 位密钥。数据密钥在您账户中的客户主密钥下加密。要使Amazon EBS为您加密卷,它必须能够访问账户中的CMK。您可以通过向Amazon EBS 提供对 CMK 的授权来创建数据密钥以及加密和解密这些数据密钥。

以下是加密/解密EBS 卷数据的基本步骤:

Amazon EBS 通过AWS KMS 在 CMK 下获取加密数据密钥,并将加密密钥与卷元数据一起存储。
托管 EC2 实例的服务器从存储中检索加密数据密钥。
通过 SSL 调用AWS KMS 以解密加密的数据密钥。AWS KMS 识别 CMK,向队列中的HSA 发出内部请求以解密数据密钥,并通过 SSL 会话将密钥返回给客户。
已解密数据密钥存储在内存中,用于加密和解密传入和传出附加的 EBS 卷的所有数据。Amazon EBS 保留加密数据密钥以供以后使用,以防内存中的数据密钥不再可用。