問題タブ [aws-kms]

サードパーティのライブラリを使用する API を実装しています。

サードパーティ ライブラリは、入力として渡す必要があるキーを提供します。キーは動的であり、消費者/ビジネス シナリオに基づいて変更できます。ラムダ関数はキーを復号化できる必要があります。

誰かがキーを解読する方法を提案できますか? 側で aws-kms アプローチを検討しています。

注意してください：私はそれを達成する.envの方法を書き留めました。しかし、今日、私の API は 1 つのコンシューマーによって消費されているため、1 つの API キーです。明日、その数は増加し (結果として複数のキーになります)、関数を保存/更新する場所に i がない可能性があります。

編集:ペイロードを介して機密情報を渡す必要があります。これは、英数字の値にすることができます。例 {"sender": "+123", "secret": "encrypted_value"} クライアントとサーバーは、クライアントが情報を暗号化できるキーを共有する必要があり、サーバー (ラムダ関数) はそれを復号化する必要があります。

どんな提案も素晴らしいでしょう！ありがとう！

KMS と AWS 暗号化 SDK を使用してデータを暗号化しようとしています。AWS ドキュメントで提供されている例を見ると、データ キーを明示的に設定する場所がないように見えます。

EncryptionMaterialsRequest関連するビルダー クラス を使用してプレーンテキスト キーを設定できるクラスの API ドキュメントを見つけました。EncryptionMaterialsRequest.Builderこのクラスには のインスタンスを返すメソッドがありますEncryptionMaterials。EncryptionMaterials暗号化操作の実行時にインスタンスを使用する場所が見つかりません。

ここに私がこれまでに持っているコードがあります。EncryptionMaterialsインスタンスはリクエストで使用されないことに注意してください。

KMS によって生成されたデータキーで AWS 暗号化 SDK を使用してデータを暗号化する推奨されるアプローチは何ですか?

AWS EC2 インスタンスで実行されている Python アプリケーションで、AWS の「KMS キー」をハードコーディングしないようにしています。AWS EC2 インスタンスには、特定の KMS キーへのアクセスが定義されている IAM ロールが割り当てられています。インスタンスには、リストへのアクセス権がありません。アカウント内のすべての KMS キーが、1 つだけにアクセスできます.アプリケーションからアクセスできる KMS キー名を取得する方法はありますか (boto3 を使用しますか?) KMS キー IAM ロールの定義は次のようになります: