問題タブ [aws-kms]

私はboto3クライアントを持っています:

しかし、それは新しいマシンで起こります. それらは動的に開閉します.

なぜこうなった？そして、なぜ一部の時間だけですか？

DynamoDB: 暗号化とクロスリージョン レプリケーションを一緒に使用できますか?

新しいアプリケーションの DynamoDB を評価しています。私たちの要件は次のとおりです。

• 保存時のデータ暗号化
• ディザスター リカバリーのためのクロスリージョン レプリケーション。地域のアプリは、その地域のサービスのみに依存する必要があります

私たちの要件は、AWS が提供する Java ライブラリを使用することで個別に満たすことができます。解決策は次のとおりです。

• Amazon DynamoDB のクライアント側の暗号化
• DynamoDB クロスリージョン レプリケーション

ただし、これらのソリューションが連携できるかどうかはわかりません。リージョン間でレプリケートされたレコードを復号化できないことを懸念しています。クライアント側の暗号化ソリューションでは、ルートに KMS で管理されたキーを使用してキー階層を確立することをお勧めします。KMS は地域固有であるため、レコードを別の地域にレプリケートすると、レコードを復号化できなくなります。暗号化キーは、別のリージョンではアクセスできません。

質問は次のとおりです。

• 暗号化キーが KMS にある場合、復号化またはクロスリージョン レプリケートされたレコードが不可能であるというのは本当ですか?
• 暗号化された DynamoDB レコードをレプリケートするための推奨されるアプローチはありますか? 誰もこれを以前にやったことがありますか？
• 検討すべき代替案はありますか？

AWS CLI を使用してコマンドラインから暗号文を復号化すると、暗号文は問題なく復号化されます。

この復号化操作は、js スクリプトから実行しようとすると、ローカルでも機能します。

ただし、AWS Lambda 関数のコンテキスト内から上記とほぼ同じコードを使用してこれを実行しようとすると、関数の呼び出しでタイムアウトが発生します。

タイムアウト ログ:

ノート：

• への呼び出しをコメントアウトして実際に何かkms.decryptを試みたconsole.log場合、値は問題なく出力されます。params呼び出しに何らかの問題があるようでkms.decrypt、タイムアウトを超えた実際のエラーは返されません。
• ラムダ関数が呼び出されるロールにアタッチされたポリシーには、アタッチされたポリシーAWSLambdaVPCAccessExecutionRoleと、次のアタッチされたインライン ポリシーも含まれます。

policygen-lambda_basic_execution_and_kms_decrypt-201611131221:

• コードから識別情報を削除しました。

AWS KMS を使用してテキストを暗号化し、powershell スクリプトを作成しようとしています。そのため、出力で返される KMS マスター キーをNew-KMSDataKey暗号化していました。plaintextDataKeyciphertextblob

現在plaintextDataKey、平文を暗号化するために使用してInvoke-KMSEncryptいますが、以下に示すように無効な操作エラーが発生します。

以下は私のスクリプトです：

正しくするにはどうすればよいですか？私はここで何か悪いことをしていますか? データを暗号化するためのコマンドレットは他にありません: http://docs.aws.amazon.com/powershell/latest/reference/Index.html

誰でもここで助けてもらえますか？上記のプレーンテキスト データ キーを使用してコンテンツを暗号化するにはどうすればよいですか?

AWS Lambda 関数には、マスター db パスワードなどの機密値を含む環境変数を入力する必要があります。

Lambda の新しい環境変数機能により、これが非常にシンプルになります。しかし、ベスト プラクティスとは何か、またはそれを達成する方法については、少しあいまいです。

Lambda FAQ では、次のように述べています。

Q: 機密情報を環境変数に保存できますか? データベースのパスワードなどの機密情報については、AWS Key Management Service を使用してクライアント側の暗号化を使用し、結果の値をcipher text環境変数として保存することをお勧めします。これらの値を復号化するには、AWS Lambda 関数コードにロジックを含める必要があります。

したがって、彼らは基本的に、自分で値を暗号化し、暗号化された値を Lambda 関数の環境変数に入力する必要があると言っています。次に、インスタンス化時に値を復号化するロジックを関数に含める必要があります。擬似コードでは、次のようになります。

ラップトップで

Lambda 関数で

そして、あなたの関数では、インスタンス化時にそれを解読するロジックがあります:

シンプルですが、入力した値は入力時にすでに暗号化されており、値の暗号化に使用する KMS キーを選択できます。独自の KMS キーを作成して、「デフォルト」の代わりにそれを使用できます。 " 鍵。

では、入力前に値を暗号化するポイントは何ですか? 暗号化にキーを使用するように Lambda に指示できる場合、それはキーを使用してラップトップの値を暗号化してから Lambda に送信するmy-lambda-env-keyのと同じではありませんか?my-lambda-env-key

AWS SDK を使用すると、プログラムで新しい CMK を作成できます。

ただし、特定の CMK が既に作成されているかどうかを確認したいと思います。作成されている場合は、再作成する代わりにそれを使用してください。

私が知る限り、説明とエイリアスの両方が一意の識別子ではなく、S3 とは異なり、一意の名前がないため、コード内の他のどのプロパティを使用して特定のCMK が存在します。

どうすればこれを行うことができるかについてのアイデアはありますか? 不足している CMK プロパティはありますか?