AWS的密鑰管理服務是個很好的云加密密鑰管理工具。專家Dave Shackleford帶你檢視AWS KMS的細節及其對企業的益處。

亞馬遜Web服務(AWS)最近發布了嶄新的加密管理平臺，AWS密鑰管理服務(KMS)。AWS KMS允許用戶在幾個AWS最熱門的功能中加密數據和管理加密密鑰。

這篇技巧文將仔細檢視在云端方面越來越重要的加密密鑰管理，尤其是AWS KMS。它的原理是什么，以及這個新的云服務所帶來的好處及缺點。

云端加密密鑰管理

密鑰管理的重要性不容忽視。對很多組織來說，適當的在云中加密數據，安全的創建并保留加密密鑰，還有在理論上，防止任何云供應商的管理人員訪問這些密鑰等需求，在任何的云計算環境里，尤其是基礎架構即服務(IaaS)領域方面，都是一些最搶手最重要的安全機制。理論上，所有的密鑰都應該在服務實例化時產生，然后從云中移除并由用戶管理。很不幸，大部分云環境并沒有完全支持客戶端的密鑰管理，而云中服務器端的密鑰管理也不允許用戶完全擁有及控制，雖然這通常是一個很基本的遵守規范。

AWS KMS的使用

Amazon在2013年發布了他們的CloudHSM服務，目的是允許客戶在虛擬私有云(VPC)環境中使用一個用于密鑰管理的專屬硬件存儲裝置，但這個服務并沒有與所有的AWS服務完全整合，并且需要很大量的手動配置及操作才能正常運行。

隨著KMS的發布，Amazon很明顯在加密密鑰管理上下了重注。他們在CloudHSM服務上增加了更細致并強大的密鑰創建，循環，及整合工具和功能，可用于現今使用的大部分AWS主要服務。當中的硬件模塊符合業界標準所要求的，絕不將全部密鑰存在硬盤或內存，以及任何一個客戶HSM的訪問需要多層的審查和批準。這允許顧客將密鑰存在AWS 云中，使得來自其他服務和系統的訪問變得容易許多。

AWS的主要服務如S3、EBS和Redshift現在可以使用由AWS KMS控制的密鑰來加密離線數據。顧客們可以在每個服務中使用主密鑰，也就是當一個用戶開始使用服務時生成的默認密鑰，或者顧客們也可以按需使用AWS KMS來創建并管理新的密鑰。用戶也可以替每個Amazon里單獨的服務，應用種類或數據分類層分別定義密鑰。

KMS好處

要開始使用AWS KMS時，管理員要先訪問Amazon AWS控制臺里，“IAM”服務類別下的“加密密鑰”部分。新的密鑰管理配置文件及政策也可以在此處定義，這也同Amazon的IAM規則的標準模型相符合，并與所有標準AWS應用程序界面(API)整合。事實上，這是KMS所帶來的其中一個最立竿見影的優點之一，同所有AWS服務API的完全集成。此外，還提供新的密鑰管理API，可以很容易的為開發人員和運營團隊在密鑰管理和密鑰訪問，使用和生命周期管理的整合上提供更實用的體驗。

另一個能夠讓團隊們覺得欣賞的KMS安全要素是，在所有有關于AWS CloudTrail里服務的活動都有完全的記錄。安全團隊可以分析KMS記錄來找出特定的密鑰在何時及如何被使用，以及哪些服務和用戶訪問并使用了這些密鑰。

以每月每個密鑰版本1美金的價格，這個新服務很可能是現今云計算中最能承受的密鑰管理產品。API請求也只需要每10000次請求3美分的價格。

結論

KMS很可能會成為現有AWS顧客覺得馬上可用的一個服務，而安全團隊也會看到使用KMS帶來的立竿見影的好處，因為所有的AWS服務都支持它。這個服務沒有明顯的缺點，現有的客戶在密鑰及加強安全過程方面獲得更多的控制權，而潛在的云服務客戶也許將能夠實施之前因為加密和密鑰管理需求而不得不放棄的云項目。