KMS key建立
先决条件
你的帐号必须要有几个IAM的Policy,包含kms:CreateKey 、 kms:CreateAlias 让你在每个新的 KMS 金钥都需要一个alias、kms:TagResource 让你加上 tags 、iam:CreateServiceLinkedRole 可以让你建立多区域的 primary keys。
建立对称式金钥
1.找到KMS,并按下Create a key,这里的key指的是CMK
2.选Symmetric,按Next
3.输入Key的alias名称,这边记得你无法输入"aws/",作为开头,这是AWS预设为AWS 托管的金钥名称。
Despription可以输入这把key的相关资讯,例如:什麽时候建立、公用维和、什麽时候需要替换等讯息。Tags可以选填,填完就按Next
4.这边要选择谁有权限来管理这把key。下面选择管理者是否可以删除这把key,选完就按Next
5.这边要选择谁有权限来使用这把key,如果是有跨帐号使用的需求在下面输入,选完按Next
6.最後会显示建立资讯,可以做最後确认,确认完毕按finish就完成了
建立非对称式金钥
步骤几乎跟对称式金钥一样,差别在步骤二的地方选Asymmetric,要为Public key加密,选择Encrypt and decrypt。 要创建用於签署消息和验证签名选择Sign and verify,下面会列出加密方法,你可以选择适合你的
如何启用KMS金钥轮换
1.找到你想要进行KMS金钥轮换的那把key,点进去
2.在Key rotation的地方勾选Automatically rotate this KMS key every year,接着按save就完成了
Secrets Manager secret建立
1.找到Secrets Manager,按Store a new secret
2.这里可以选择DB的类型并输入名称以及密码。如果选Other type of secret,可自行输入key/value
3.接下来选要用哪把key来进行加密,下面选择要轮换secret的资料库,选完按Next
4.输入secret的名称。下面叙述、tag、资源许可以及要不要复制secret到其他region都是选填,填完按Next
5.接下来这边可以选要不要启用secret的轮换,多久轮换一次,最长可设定365。
6.密码的轮换是由Lambda来执行的这边可以选择新建或是使用已经建好的。下面要选择谁执行轮换的secret,如果你是super user就选一个,如果是功能性使用选下面的选项,功能执行时他会有暂时的super user权限
7.最後会列出所有资讯没问题就按save就完成了
如果没有在一开始启用secret rotate该如何设定?
1.点进你想启用secret rotate的secret manager
2.找到Rotation configuration,按Edit rotation
3.接下来的步骤跟上面的5跟6一样,设定完成之後按save就完成罗
小结
透过KMS来建立key rotate以及透过secret manager来执行secret的轮换是非常重要的一件事,当key以及secret过期对於资料的加密性质几乎等於失效。透过定期的轮换也可以减少被字典喷洒式攻击的可能性。下一篇我们将进到五大面向的最後一个面向:事件回应。
昨天把购物车的资料表建好了(表 car)。 今天购物车制作的理想步骤应该是: 按下"加到购...
如果有错误,欢迎留言指教~ Q_Q 没写完啦 当每次 action 被 dispatch, sta...
点击File→Build Settings...会跳出Build Settings视窗,在Platf...
现在使用智慧型手机比率最高,手机画面很小,所以在制作网页时应注意以下细节 只显示重要的资讯及减少栏位...
今天在思考。。。我要乖乖照着上课的笔记打吗?想想,我还是随我自已的意思讲好了,啊呜~ 来人~请播放『...