Step Functions 中的静态数据加密 - AWS Step Functions

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Step Functions 中的静态数据加密

阅读博客

在 “使用客户管理的密钥加强数据安全” 中了解客户管理 AWS KMS 的密钥

AWS Step Functions 始终使用透明的服务器端加密来加密您的静态数据。默认情况下,静态数据加密可减少保护敏感数据所涉及的操作开销和复杂性。您可以构建符合严格加密合规性和监管要求的安全敏感型应用程序。

尽管您无法禁用此加密层或选择其他加密类型,但您可以在创建状态机和活动资源时选择客户管理的密钥,从而在现有 AWS 拥有的加密密钥上添加第二层加密:

  • 客户托管密钥 — Step Functions 支持使用您创建、拥有和管理的对称客户托管密钥,以便在现有 AWS 拥有的加密基础上添加第二层加密。由于您可以完全控制这层加密,因此可以执行以下任务:

    • 制定和维护关键策略

    • 制定和维护IAM政策及补助金

    • 启用和禁用密钥策略

    • 轮换加密材料

    • 添加标签

    • 创建密钥别名

    • 安排密钥删除

    有关信息,请参阅《AWS Key Management Service 开发人员指南》中的客户托管密钥

您可以使用客户管理的 AWS Step Functions 状态机和活动密钥对数据进行加密。在创建或更新状态机以及创建 Act ivit y 时,您可以配置对称 AWS KMS 密钥和数据密钥的重复使用周期。执行历史和状态机定义将使用应用于状态机的密钥进行加密。活动输入将使用应用于活动的密钥进行加密。

使用客户托管 AWS KMS 密钥,您可以保护包含受保护健康信息 (PHI) 的客户数据免遭未经授权的访问。Step Functions 与集成 CloudTrail,因此您可以在 CloudTrail 控制台中查看和审核事件历史记录中的最新事件。

有关信息 AWS KMS,请参阅什么是 AWS Key Management Service?

注意

Step Functions 使用 AWS 自有密钥自动启用静态加密,不收取任何费用。但是,使用客户管理的密钥需要 AWS KMS 付费。有关定价的信息,请参阅 AWS Key Management Service 定价

使用客户管理的密钥进行加密

Step Functions 使用您的客户托管 AWS KMS 密钥解密负载数据,然后将其传递给其他服务以执行任务。数据在传输过程中使用传输层安全 (TLS) 进行加密。

当从集成服务返回数据时,Step Functions 会使用您的客户托管 AWS KMS 密钥对数据进行加密。您可以使用相同的密钥对许多 AWS 服务进行一致的加密。

您可以将客户托管密钥与以下资源配合使用:

  • State Mac hine-标准和快速工作流程类型

  • 活动

您可以通过输入密钥 ID 来指定数据密钥,St KMS e p Functions 使用该密钥来加密您的数据。

  • KMS密钥 ID — AWS KMS 客户托管密钥的密钥标识符,其形式为密钥 ID、密钥ARN、别名或别名ARN。

使用客户管理的密钥创建状态机

先决条件:在使用客户托管 AWS KMS 密钥创建状态机之前,您的用户或角色必须拥有DescribeKey和的 AWS KMS 权限GenerateDataKey

您可以在 AWS 控制台中、通过或通过 AWS CloudFormation 资源配置基础架构来执行以下步骤。API(CloudFormation 示例将在本指南的后面部分介绍。)

步骤 1:创建 AWS KMS 密钥

您可以使用 AWS KMS 控制台或 AWS KMS APIs创建对称的客户托管密钥。

创建对称的客户托管密钥

按照《AWS Key Management Service 开发人员指南》中创建对称的客户托管密钥的步骤进行操作。

注意

可选:创建密钥时,您可以选择密钥管理员。选定的用户或角色将被授予管理密钥的访问权限,例如通过启用或禁用密钥API。您也可以选择 “关键用户”。这些用户或角色将被授予在加密操作中使用 AWS KMS 密钥的能力。

步骤 2:设置 AWS KMS 密钥策略

密钥策略控制对客户托管密钥的访问。每个客户托管式密钥必须只有一个密钥政策,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥政策。有关信息,请参阅《AWS Key Management Service 开发人员指南》中的管理客户托管密钥的访问权限

以下是控制台中的 AWS KMS 密钥策略示例,不包括密钥管理员密钥用户

{ "Version": "2012-10-17", "Id": "key-consolepolicy-1", "Statement": [ { "Sid": "Enable IAM User Permissions for the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" } ] }

有关在策略中指定权限和对密钥访问进行故障排除的信息,请参阅《AWS Key Management Service 开发人员指南》

步骤 3:(可选)添加密钥策略以加密 CloudWatch 日志

Step Functions 与集成在一起, CloudWatch 用于记录和监控。您可以选择对发送到 Logs 的数据进行加 CloudWatch 密。要使用加密日志记录,您必须在状态机密钥策略中为 AWS KMS 操作提供对日志传输服务的访问权限。您可以使用状态机密钥加密日志组,也可以为日志组选择其他专用的密钥(例如,“日志组密钥”)。

要为状态机启用加密 CloudWatch 日志集成,您必须在 AWS KMS 密钥策略中添加以下内容:

{ "Id": "key-consolepolicy-logging", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable log service for a single log group", "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*", "Condition": { "ArnEquals": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:region:account-id:log-group:log-group-name" } } } ] }
注意

Condition部分将 AWS KMS 密钥限制为单个日志组ARN。

您还必须启用日志服务交付才能与以下密钥策略集成:

{ "Sid": "Enable log service delivery for integrations", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "kms:Decrypt*", "Resource": "*" }

步骤 4:创建状态机

创建密钥并设置策略后,您可以使用密钥创建新的状态机。

创建状态机时,选择其他配置,然后选择使用客户管理的密钥进行加密。然后,您可以选择密钥并将数据密钥的重复使用时间从 1 分钟设置为 15 分钟。

或者,您可以通过设置日志级别并选择使用您的密 AWS KMS 钥加密日志组来启用日志记录。

注意

您只能在 Step Functions 控制台中对新的日志组启用加密。要了解如何将 AWS KMS 密钥与现有日志组关联,请参阅将 AWS KMS 密钥与日志组关联。

第 5 步:调用用您的 AWS KMS 密钥加密的状态机

您可以像往常一样调用加密状态机,您的数据将使用您的客户托管密钥进行加密。

要使用客户托管密钥开始执行标准工作流程和异步快递工作流程,您的执行角色需要kms:Decryptkms:GenerateDataKey权限。同步快速执行的执行角色需要kms:Decrypt。当您在控制台中创建状态机并选择创建新角色时,这些权限将自动包含在内。

使用客户管理的密钥创建活动

使用客户管理的密钥创建 Step Functions 活动与使用客户管理的密钥创建状态机类似。在使用客户托管 AWS KMS 密钥创建活动之前,您的用户或角色只需要 AWS KMS 权限DescribeKey。在创建活动期间,您可以选择密钥并设置加密配置参数。

请注意,Step Functions 活动资源保持不可变。您无法更新现有encryptionConfigurationARN活动的活动;必须创建新的活动资源。活动API端点的来电者必须拥有成功使用 AWS KMS 密钥创建活动的kms:DescribeKey权限。

在活动任务上启用客户托管密钥加密后,状态机执行角色将需要kms:GenerateDataKey活动密钥的kms:Decrypt权限。如果您是从 Step Functions 控制台创建此状态机,则自动角色创建功能将添加这些权限。

用条件缩小 AWS KMS 权限策略的范围

您可以使用密钥策略和IAM策略中的加密上下文conditions来控制对称客户托管密钥的访问权限。要将 AWS KMS 密钥的使用限制为代表特定角色从 Step Functions 发出的请求,您可以使用kms:ViaService条件。

使用加密上下文进行范围界定

加密上下文是一组可选的键值对,包含有关数据的其他上下文信息。

AWS KMS 使用加密上下文作为其他经过身份验证的数据来支持经过身份验证的加密。当您在加密数据的请求中包含加密上下文时,会将加密上下文 AWS KMS 绑定到加密数据。要解密数据,您必须在请求中包含相同的加密上下文。

Step Functions 提供了 AWS KMS 加密操作中的加密上下文,其中密钥aws:states:stateMachineArnaws:states:activityArn用于状态机或活动,值为资源 Amazon 资源名称 (ARN)。

"encryptionContext": {"aws:states:stateMachineArn": "arn:aws:states:region:123456789012:stateMachine:state_machine_name"}
"encryptionContext": {"aws:states:activityArn": "arn:aws:states:region:123456789012:activity:activity_name"}

以下示例说明如何使用aws:states:stateMachineArn上下文 AWS KMS 密钥将执行角色的密钥限制在特定的状态机上:kms:EncryptionContext

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow KMS Permissions for StepFunctionsWorkflowExecutions", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:aa-example-1:1234567890:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ], "Condition": { "StringEquals": { "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:aa-example-1:1234567890:stateMachine:MyStateMachine" } } } ] }

使用 kms 进行范围界定:ViaService

kms:ViaService条件密钥将密 AWS Key Management Service 钥的使用限制为来自指定 AWS 服务的请求。

以下示例策略使用kms:ViaService条件,仅当请求来自该区域的 Step Functions 时,才允许将 AWS KMS 密钥用于特定操作,并代表该ca-central-1区域的 Step Functions: ExampleRole

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for Key Administrators in a region", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::1234567890:role/ExampleRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "states.ca-central-1.amazonaws.com" } } } ] }
注意

kms:ViaService条件仅在API调用者需要 AWS KMS 权限时适用(例如CreateStateMachineCreateActivityGetActivityTask、等)。向执行角色添加kms:ViaService条件可能会阻止新的执行开始或导致正在运行的执行失败。

来API电者所需的权限

要调用返回加密数据的 Step Functions API 操作,调用者需要 AWS KMS 权限。或者,某些API操作具有仅返回元数据的选项 (METADATA_ONLY),从而取消了对 AWS KMS 权限的要求。有关信息,请参阅 Step Func API tions。

为了在使用客户托管密钥加密时成功完成执行,需要授予执行角色kms:GenerateDataKey以及状态机使用的 AWS KMS 密钥的kms:Decrypt权限。

下表显示了为Step Functions 状态机API调用者提供所需的 AWS KMS 权限。您可以在密钥策略或IAM策略中为角色提供权限。

APIs使用状态机的密 AWS KMS 钥 来电者必填
CreateStateMachine kms:DescribeKey,kms: GenerateDataKey
UpdateStateMachine kms:DescribeKey,kms: GenerateDataKey
DescribeStateMachine kms:Decrypt
DescribeStateMachineForExecution kms:Decrypt
StartExecution --
StartSyncExecution kms:Decrypt
SendTaskSuccess --
SendTaskFailure --
StopExecution --
RedriveExecution --
DescribeExecution kms:Decrypt
GetExecutionHistory kms:Decrypt

下表显示了向 Step Functions Act ivity API 调用者提供所需的 AWS KMS 权限。您可以在密钥策略或IAM策略中为角色提供权限。

APIs使用活动密 AWS KMS 钥 来电者必填
CreateActivity kms: DescribeKey
GetActivityTask kms:Decrypt
我何时向调用者或执行角色授予权限?

当IAM角色或用户调用 Step Functions 时API,Step Functions 服务会 AWS KMS 代表调API用者进行调用。在这种情况下,您必须向API呼叫者授予 AWS KMS 权限。当执行角色 AWS KMS 直接调用时,必须授予对执行角色的 AWS KMS 权限。

AWS CloudFormation 用于加密配置的资源

AWS CloudFormation Step Functions 的资源类型可以使用加密配置来配置状态机和活动资源。

默认情况下,Step Functions 提供透明的服务器端加密。两者都AWS::StepFunctions::ActivityAWS::StepFunctions::StateMachine接受一个可选EncryptionConfiguration属性,该属性可以为服务器端加密配置客户托管 AWS KMS 密钥。

先决条件:在使用客户托管 AWS KMS 密钥创建状态机之前,您的用户或角色必须拥有DescribeKey和的 AWS KMS 权限GenerateDataKey

更新到 StateMachine 需要不中断。更新活动资源需要:替换

要在 AWS CloudFormation 模板中声明EncryptionConfiguration属性,请使用以下语法:

JSON

{ "KmsKeyId" : String, "KmsDataKeyReusePeriodSeconds" : Integer, "Type" : String }

YAML

KmsKeyId: String KmsDataKeyReusePeriodSeconds: Integer Type: String

属性

  • 类型-状态机或活动的加密选项。允许的值CUSTOMER_MANAGED_KMS_KEY | AWS_OWNED_KEY

  • KmsKeyId-加密数据密钥的对称加密密钥ARN的别名ARN、别名、 AWS KMS 密钥 ID 或密钥。要在其他 AWS 账户中指定 AWS KMS 密钥,客户必须使用该密钥ARN或别名ARN。有关信息 kmsKeyId,请参阅 AWS KMS 文档KeyId中的。

  • KmsDataKeyReusePeriodSeconds-重复使用数据密钥的最长持续时间。SFN期限到期后,Step Functions 将调用GenerateDataKey。只有当 “类型” 为时才能设置此设置CUSTOMER_MANAGED_KMS_KEY。该值的范围可以介于 60-900 秒之间。默认为 300 秒。

AWS CloudFormation 例子

示例: StateMachine 使用客户托管密钥

AWSTemplateFormatVersion: '2010-09-09' Description: An example template for a Step Functions State Machine. Resources: MyStateMachine: Type: AWS::StepFunctions::StateMachine Properties: StateMachineName: HelloWorld-StateMachine Definition: StartAt: PassState States: PassState: Type: Pass End: true RoleArn: !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:role/example" EncryptionConfiguration: KmsKeyId: !Ref MyKmsKey KmsDataKeyReusePeriodSeconds: 100 Type: CUSTOMER_MANAGED_KMS_KEY MyKmsKey: Type: AWS::KMS::Key Properties: Description: Symmetric KMS key used for encryption/decryption

示例:使用客户托管密钥的活动

AWSTemplateFormatVersion: '2010-09-09' Description: An example template for a Step Functions Activity. Resources: Activity: Type: AWS::StepFunctions::Activity Properties: Name: ActivityWithKmsEncryption EncryptionConfiguration: KmsKeyId: !Ref MyKmsKey KmsDataKeyReusePeriodSeconds: 100 Type: CUSTOMER_MANAGED_KMS_KEY MyKmsKey: Type: AWS::KMS::Key Properties: Description: Symmetric KMS key used for encryption/decryption

更新活动的加密需要创建新资源

活动配置是不可变的,资源名称必须是唯一的。要为加密设置客户管理的密钥,您必须创建新的活动。如果您尝试更改CFN模板中现有活动的配置,则会收到ActivityAlreadyExists异常消息。

要更新您的活动以包含客户管理的密钥,请在CFN模板中设置一个新的活动名称。以下示例显示了使用客户托管密钥配置创建新活动的示例:

现有活动定义

AWSTemplateFormatVersion: '2010-09-09' Description: An example template for a new Step Functions Activity. Resources: Activity: Type: AWS::StepFunctions::Activity Properties: Name: ActivityName EncryptionConfiguration: Type: AWS_OWNED_KEY

新的活动定义

AWSTemplateFormatVersion: '2010-09-09' Description: An example template for a Step Functions Activity. Resources: Activity: Type: AWS::StepFunctions::Activity Properties: Name: ActivityWithKmsEncryption EncryptionConfiguration: KmsKeyId: !Ref MyKmsKey KmsDataKeyReusePeriodSeconds: 100 Type: CUSTOMER_MANAGED_KMS_KEY MyKmsKey: Type: AWS::KMS::Key Properties: Description: Symmetric KMS key used for encryption/decryption

监控您的加密密钥使用情况

当你使用 AWS KMS 客户管理的密钥来加密你的 Step Functions 资源时,你可以用它 CloudTrail来跟踪 Step Functions 发送到的请求 AWS KMS。

您还可以在审核记录和日志中使用加密上下文来确定客户托管密钥的使用情况。加密上下文还会显示在生成的日志中AWS CloudTrail

以下示例是DecryptDescribeKey、和GenerateDataKey监控 Step Functions 为访问由客户托管密钥加密的数据而调用的 AWS KMS 操作 CloudTrail 的事件:

Decrypt

当您访问加密状态机或活动时,Step Functions 会调用该Decrypt操作以使用存储的加密数据密钥来访问加密数据。

以下示例事件记录了 Decrypt 操作:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "111122223333:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "111122223333:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "attributes": { "creationDate": "2024-07-05T21:06:27Z", "mfaAuthenticated": "false" } }, "invokedBy": "states.amazonaws.com" }, "eventTime": "2024-07-05T21:12:21Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "aa-example-1", "sourceIPAddress": "states.amazonaws.com", "userAgent": "states.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:aa-example-1:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "encryptionContext": { "aws:states:stateMachineArn": "arn:aws:states:aa-example-1:111122223333:stateMachine:example1" } }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:aa-example-1:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
DescribeKey

Step Functions 使用该DescribeKey操作来验证账户和区域中是否存在与您的状态机或活动关联的 AWS KMS 客户托管密钥。

以下示例事件记录了 DescribeKey 操作:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "111122223333:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "111122223333:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "attributes": { "creationDate": "2024-07-05T21:06:27Z", "mfaAuthenticated": "false" } }, "invokedBy": "states.amazonaws.com" }, "eventTime": "2024-07-05T21:12:21Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "aa-example-1", "sourceIPAddress": "states.amazonaws.com", "userAgent": "states.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:aa-example-1:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:aa-example-1:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
GenerateDataKey

当您为状态机或活动启用 AWS KMS 客户托管密钥时,Step Functions 会发送GenerateDataKey请求以获取加密状态机定义或执行数据的数据密钥。

以下示例事件记录了 GenerateDataKey 操作:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "111122223333:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "111122223333:Sampleuser01", "arn": "arn:aws:iam::111122223333:role/Admin", "accountId": "111122223333", "userName": "Admin" }, "attributes": { "creationDate": "2024-07-05T21:06:27Z", "mfaAuthenticated": "false" } }, "invokedBy": "states.amazonaws.com" }, "eventTime": "2024-07-05T21:12:21Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "aa-example-1", "sourceIPAddress": "states.amazonaws.com", "userAgent": "states.amazonaws.com", "requestParameters": { "keySpec": "AES_256", "encryptionContext": { "aws:states:stateMachineArn": "arn:aws:states:aa-example-1:111122223333:stateMachine:example1" }, "keyId": "arn:aws:kms:aa-example-1:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:aa-example-1:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }

FAQs

如果我的密钥被标记为删除或删除,会发生 AWS KMS什么?

如果密钥在中被删除或标记为删除 AWS KMS,则任何相关的运行执行都将失败。在您移除或更改与工作流程关联的密钥之前,无法开始新的执行。删除 AWS KMS 密钥后,与工作流程执行相关的所有加密数据都将保持加密状态,无法再解密,从而使数据无法恢复。

如果 AWS KMS 密钥在中被禁用会 AWS KMS怎样?

如果在中禁用了 AWS KMS 密钥 AWS KMS,则任何相关的运行执行都将失败。无法开始新的处决。在重新启用该禁用密 AWS KMS 钥之前,您无法再解密使用该禁用密钥加密的数据。

发送到的执行状态变更事件会怎 EventBridge样?

使用您的客户托管 AWS KMS 密钥加密的工作流程的执行状态更改事件将不包括执行输入、输出、错误和原因。

了解更多

有关静态数据加密的信息,请参阅《AWS Key Management Service 开发人员指南》 AWS Key Management Service中的AWS Key Management Service 概念安全最佳实践