問題タブ [amazon-kms]

AWS Elastic Beanstalk でホストされているアプリケーションに取り組んでいます。Elastic Beanstalk 内にいくつかのキーとパスワードを環境変数として保存しています。これらの変数は、@data および @value アノテーションを使用して Java 変数に格納されます。KMS を使用してこれらの環境変数を暗号化し、変数に格納する前に復号化したいと考えています。

どうすればこれを達成できますか?

S3 バケットを作成し、KMS を使用するようにデフォルトの SSE を設定しました。

フラグ aws-cliを渡せば、バケットにファイルをアップロードできます。--sse aws:kms aws s3 cp --sse aws:kms test.txt s3://my-bucket

ただし、これはデフォルトの暗号化であるため、フラグなしで機能すると予想してい--sse aws:kmsます。つまり、暗号化ヘッダーが指定されていない場合に適用する必要があります。

ヘッダーなしで試すと失敗します： aws s3 cp test.txt s3://my-bucket upload failed: ./test.txt to s3://my-bucket/test.txt An error occurred (AccessDenied) when calling the PutObject operation: Access Denied

AWS KMS の使用から S3 管理の SSE に変更すると、--sseフラグなしで機能しますが、AWS KMS を使用する必要があります。リクエストを行っている IAM ユーザーに次のポリシーを追加しようとしましたが、それでも失敗します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:*", "kms:*" ], "Resource": [ "arn:aws:s3:::my-bucket", "arn:aws:s3:::my-bucket/*", "arn:aws:kms:eu-west-2:1111112222:key/aaaabbbb-1122-2222-4444-eeeeff3333" ] } ] }

これを機能させるために何が欠けていますか？

AWS KMS を使用して PdfDocument の SHA256 ダイジェストに署名して取得した署名を使用して、PDF 自体に署名を適用しようとしています。正しい方向に進んでいるかどうかさえわかりません。

すべてが正しく実行されますが、生成されたファイルの署名はエラーをスローします:

重要な場合は、AWS から公開キーを取得できますが、秘密キーは AWS 側で保持されます。私がオンラインで見たドキュメントのほとんどは、秘密鍵へのアクセスを前提としています。さらに、AWS が署名を処理するため、証明書チェーンを取得する方法や場所がわかりません。私が見つけたすべてのドキュメントには、その証明書チェーンも必要です。

コード

まず、ほとんどのドキュメントで指示されているように、空の署名フィールドを作成します。問題があるかもしれないと思いますが、PdfName.Adbe_pkcs7_detachedそれが間違っている場合、他に何を配置すればよいかわかりません。

次に、ドキュメントに署名しようとします。

参考までに、 kmsBackedSignatureContainer を以下に示します。 ドキュメントで定義されているようにfileSigner.sign、AWS KMS a から返されます。byte[]

この値は、ANS X9.62–2005 および RFC 3279 セクション 2.2.3 で定義されている DER エンコード オブジェクトです。