【发布时间】:2020-11-23 00:45:49
【问题描述】:
我想使用客户提供的密钥加密存储/卷。我已经看到可以导入对称客户密钥并用于加密卷的示例,例如在 AWS 中的 EBS 卷的情况下。但是没有客户可以提供非对称密钥的示例,例如公钥驻留在云 kms 中,而私钥仅由客户持有。 是否可以通过提供非对称密钥将自己的密钥导入云 KMS?
【问题讨论】:
标签: encryption encryption-asymmetric aws-kms google-cloud-kms
【发布时间】:2020-11-23 00:45:49
【问题描述】:
您可以通过导入对称或非对称私有密钥“将自己的密钥”引入 Google Cloud KMS:文档在此处 - https://cloud.google.com/kms/docs/key-import。 AWS 仅针对对称密钥具有类似功能,文档在此处 - https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html。
但是,在这两种情况下,KMS 都拥有一个私钥,无论是对称的还是非对称的,以便您可以在 KMS 内进行安全操作。当您想保留私钥并且只向 KMS 发送公钥时,我不确定您想要什么架构。
如果您想保留对密钥材料的私有控制,GCP 通过“外部密钥管理器”支持它,它允许您“持有自己的密钥”。文档在这里:https://cloud.google.com/kms/docs/ekm。据我所知,亚马逊没有同类产品。
披露:我在 Google Cloud 工作,负责密钥管理解决方案,包括 KMS 和 EKM。
【讨论】:
-
感谢您的回复。所以如果我理解正确的话,如果将非对称密钥导入谷歌 KMS,只需要将私钥导入 KMS,而公钥在客户端?
-
由于您使用 EKM,如果您能告诉我在使用 EKM 的情况下,是否可以使用外部管理的密钥来加密持久存储/卷以防谷歌 kubernetes 引擎( GKE)?
-
Re: KMS,是的,您可以导入私钥(例如私钥 RSA 密钥),同时将公钥保留在外部。回复:EKM 对 GKE 的支持——我现在找不到支持集成的公共文档,但我相信它应该可以正常工作。