如何安全地存储amazon KMS的Amazon访问令牌

Question

我正在探索amazon管理的服务，它似乎是安全的存储主密钥和数据密钥。我能够使用AWS KMS API / CLI从加密的数据密钥中将数据密钥解密为纯文本。

但是我有一个问题，要访问用于解密数据密钥的amazon，我需要传递访问令牌和加密的数据密钥。

那么，我可以在哪里安全地存储amazon访问令牌和加密的数据密钥？

任何想法都很感激。

谢谢,

哈里

Answer 1

我需要传递访问令牌和加密的数据密钥。

实际上，在调用任何AWS服务之前，您需要对客户端进行身份验证和授权。

也许您可以详细说明amazon访问令牌的含义。实际上，您需要存储访问密钥和访问秘密的(临时)会话令牌，以正确地授权服务。我想，在"amazon访问令牌“下，您指的是客户端凭据。

我可以在哪里安全地存储amazon访问令牌和加密的数据密钥？

对于数据密钥-加密的数据密钥可以随数据一起存储/发送(如果您为每次加密生成一个新密钥)或作为配置(如果您计划重用该密钥)，这是安全加密的。

如果您的客户端(使用KMS的代码)在AWS基础结构上运行，您可以使用服务角色来允许服务访问KMS服务，而无需显式地存储身份凭据。如果客户端也运行在AWS上，这是默认的(也是最好的)方式。

如果要从AWS外部访问KMS服务，则应用程序需要具有客户端凭据。如前所述，理论上您也可以使用秘密管理器，但无论如何，您需要凭据才能访问该服务。