問題タブ [aws-kms]

Amazon Key Management Service では、カスタマー マスター キーの付与を一覧表示できません。これは、GrantListEntry オブジェクトのリストを返します。それぞれに、 に似た文字列を返す getGranteePrincipal() メソッドがありますAIDAJBVZPN4EIJ44R7AZM。これは、この許可が関連するユーザー/ロールにマップされるはずですが、この文字列をユーザーにマップする方法がわかりません。これは IAM キーまたは ARN ではありません。この文字列を元のユーザーに関連付ける方法はありますか?

Heroku で AWS KMS を使用しようとした人はいますか?

一方では、Heroku は AWS で実行されるため、おそらく動作するはずです。

一方、Heroku で使用されたという文献は見たことがありません。

私の主な目標は、ハードウェアのセキュア モジュールから暗号化キーを取得できるようにすることです (コードにハードコーディングするか、環境変数に入れるのではなく)。

AWS Key Management Service をセットアップしてメソッドを呼び出していますgenerateDataKey。このメソッドは機能しており、CiphertextBlob と Plaintext Blob を返しています。

ただし、ブロブは次のようにフォーマットされます。

ドキュメントによると、APIを使用しているため、エンコードされていません。平文をPHPで何らかの方法で「デコード」できるかどうかを理解しようとしているので、奇妙に見えるASCII文字なしで保存/使用できます。私が期待していたのは、上記の特殊文字ではなく、長い文字列でした。シンプルなものが欠けているような気がします。

ありがとうございました！

.NET 4.0 用の AWS SDK v2.3.44.0 を使用しており、クライアントがオブジェクトをダウンロードするための署名付き URL を生成しようとしています。すべてのオブジェクトは S3 バケットに保存され、aws:kmsサーバー側の暗号化方式を使用して暗号化されます。

AmazonS3ClientのGetPreSignedURLメソッドを使用して URL を生成しています。

私のAmazonS3Clientオブジェクトは次のように作成されます:

私のGetPresignedUrlRequestオブジェクトは次のように作成されます:

実行すると、次client.GetPreSignedURL(request)のような URL が生成されます (読みやすいようにフォーマットされ、サニタイズされています)。

この URL に移動すると、エラーの XML 内訳が表示されます: SignatureDoesNotMatch.

この URL は、Amazonがドキュメントで説明している URL とは異なります。また、AWS プラグインを使用して Visual Studio から URL を生成すると、次のような作業URL が生成されます (ここでもフォーマットとサニタイズが行われています)。

aws:kms暗号化されたファイルをダウンロードするために署名済みの URL が適切に生成されないというのは、何が問題なのですか?

AWS のサービス、特に AWS Lambda を使い始めたばかりです。Lambda コード (Java) 内から AWS KMS サービスを使用する方法はありますか? KMS を使用して、暗号化された外部化された (プロパティから読み取られた) シークレットを復号化したいと考えています。私の Lambda コードは Java です。前もって感謝します。