我需要开发一种解决方案,以便在AWS中安全地存储对称和非对称密钥。这些密钥将由EC2和Lambdas上运行的应用程序使用。应用程序需要设置策略,以允许应用程序或lambda将密钥从密钥库中提取出来。密钥存储还应该管理密钥到期,在密钥到期时通知各个人。最初的密钥交换是在我公司与其合作伙伴之间进行的,这意味着我们可能拥有密钥对的公钥或私钥,具体取决于数据传输方向。
我们已经看过KMS但是从我所看到的KMS不支持非对称密钥。我也在网上看到有些人使用S3(受KMS保护)或参数存储来存储密钥,但这并没有解决密钥管理的问题。
你们对此有什么想法吗?甚至是SaaS / PaaS建议?
答案 0 :(得分:0)
我的建议是为此使用AWS Secrets Manager。 Secrets Manager允许您存储任何类型的凭据/密钥,您可以为秘密设置细粒度的跨帐户权限,可以使用静态加密(通过KMS),并且可以自动旋转秘密(通过提供到期时间和您拥有的AWS Lambda函数执行轮换)。
有关官方文档的更多详细信息: