将 AWS Encryption SDK 与 AWS KMS 结合使用 - AWS Encryption SDK

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 AWS Encryption SDK 与 AWS KMS 结合使用

要使用 AWS Encryption SDK,您需要为密钥环主密钥提供程序配置包装密钥。如果您没有密钥基础设施,我们建议使用 AWS Key Management Service (AWS KMS)。AWS Encryption SDK 中的很多代码示例需要使用 AWS KMS key

为了与 AWS KMS 交互,AWS Encryption SDK 需要使用适用于您的首选编程语言的 AWS SDK。AWS Encryption SDK 客户端库与 AWS SDK 一起使用以支持 AWS KMS 中存储的主密钥。

准备将 AWS Encryption SDK与 AWS KMS 一起使用
  1. 创建 AWS 账户。要了解操作方法,请参阅 AWS 知识中心的如何创建并激活新的 Amazon Web Services 账户?

  2. 创建对称加密 AWS KMS key。有关帮助信息,请参阅《AWS Key Management Service 开发人员指南》中的创建密钥

    提示

    要以编程方式使用 AWS KMS key,您需要具有 AWS KMS key 的密钥 ID 或 Amazon 资源名称 (ARN)。要获得有关查找 AWS KMS key ID 和 ARN 的帮助,请参阅《AWS Key Management Service 开发人员指南》中的查找密钥 ID 和 ARN

  3. 生成访问密钥 ID 和安全访问密钥。您可以使用 IAM 用户的访问密钥 ID 和秘密访问密钥,也可以通过 AWS Security Token Service 使用临时安全凭证(包括访问密钥 ID、秘密访问密钥和会话令牌)创建新会话。作为最佳安全实践,我们建议您使用临时凭证,而不是 IAM 用户或AWS(根)用户账户关联的长期凭证。

    要创建具有访问密钥的 IAM 用户,请参阅《IAM 用户指南》中的创建 IAM 用户

    要生成临时安全凭证,请参阅《IAM 用户指南》中的请求临时安全凭证

  4. 使用 AWS SDK for JavaAWS SDK for JavaScriptAWS SDK for Python (Boto)AWS SDK for C++(对于 C)中的说明以及您在步骤 3 中生成的访问密钥 ID 和秘密访问密钥来设置您的 AWS 凭证。如果您生成了临时凭证,还需要指定会话令牌。

    该过程允许 AWS 开发工具包对发送到 AWS 的请求进行签名。AWS Encryption SDK中的代码示例与 AWS KMS 交互,这些示例假定您已完成该步骤。

  5. 下载并安装 AWS Encryption SDK。要了解操作方法,请参阅要使用的编程语言的安装说明。