当我们使用AWS KMS的时候,我们可以选择三种 Key material的来源,当然最简单的是KMS,完全由AWS提供,我们也可以选择External,也就是从第三方平台导入,下面看看如何实现。
进入KMS,新建一个CMK, 选择 Symmetric和 External
添加名字
选择Key 的管理员和用户
Review一下
选择算法为SHA1,因为之后我用openssl,他只支持这个,下载我们的wrapping key和 token
下一步 需要提交我们加密之后的key material和 token
切换到我们的电脑上,看看下载的文件,他包括了2个重要的文件,一个importToken,一个wrapping key
看看如何使用openssl 进行 wrapping key material。 参考文件为
https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys-encrypt-key-material.html
我是直接用WSL ( windows subsystem for Linux ) 打开一个Debian的界面,然后执行
首先生成一个256 位 的key material
然后用我们下载的public key 去加密他,他会生成一个加密文件
看看我们生成的加密文件
上传
成功的生成了新的CMK
接下来就可以用我们的CMK来加密EBS或者S3了
来源:oschina
链接:https://my.oschina.net/u/4286372/blog/4883611