我需要开发一种解决方案,以在AWS中安全地存储对称密钥和非对称密钥。这些密钥将由在EC2和Lambda上运行的应用程序使用。应用程序将需要使用允许应用程序或lambda将密钥从密钥存储中拉出的策略进行设置。密钥存储区还应管理密钥的到期时间,并在密钥即将到期时通知各个人。初始密钥交换在我公司及其合作伙伴之间进行,这意味着我们可以根据数据传输方向为密钥对使用公钥或私钥。
我们已经看过KMS,但从我看到的内容来看,KMS不支持非对称密钥。我还在网上看到有人使用S3(受KMS保护)或参数存储区来存储密钥,但这不能解决密钥管理问题。
你们对此有什么想法吗?甚至SaaS / PaaS建议?
最佳答案
我的建议是为此使用AWS Secrets Manager。 Secrets Manager允许您存储任何类型的凭据/密钥,您可以为秘密设置细粒度的交叉帐户权限,可以使用静态加密(通过KMS),并且可以自动旋转秘密(通过提供到期时间和您拥有的AWS Lambda函数来执行轮换)。
有关官方文档的更多详细信息:
Basic tutorial on how to use AWS Secrets Manager
Encryption at rest on Secrets Manager
Secrets rotation
Managing secrets policies