解密AWS托管密钥

时间:2019-11-12 13:03:46

标签: amazon-web-services key managed

有没有办法解密AWS托管密钥?

AWS托管密钥已默认用作根卷/ EBS和AMI,这将阻止在其他AWS账户和区域之间共享AMI /快照。

如何创建未加密的AMI或解密AWS托管密钥?

1 个答案:

答案 0 :(得分:1)

可以在多个帐户之间共享加密的AMI,我将在下面详细介绍。 要回答原始问题:您不能解密加密的AMI,也不能解密AWS托管密钥。

您可以做的是创建一个CMK(客户主密钥),用新密钥重新加密您的图像,然后与您想要的帐户共享。

  

如果要从使用默认EBS CMK(具有密钥别名aws / ebs)加密的快照开始,请复制这些快照,并在您在KMS中创建的自定义CMK下对其重新加密。然后,您将能够在自定义CMK上修改密钥策略,从而能够将密钥访问权限授予任意数量的外部帐户。

  1. 创建一个AWS KMS客户主密钥(CMK)
  2. 使用ec2 ModifyImageAttribute操作在源帐户中创建具有共享AMI权限的策略
  3. 将目标帐户添加到在步骤1中创建的CMK中。(在其他AWS帐户小节中)
  4. 在目标帐户上创建AWS KMS操作的策略。允许kms操作-DescribeKeyReEncrypt*CreateGrantDecrypt
  5. 然后可以使用如下CLI命令共享密钥:
    aws ec2 modify-image-attribute --image-id <ami-12345678> --launch-permission "Add=[{UserId=<target account number>}]"

随附的参考文献对此过程进行了更详细的介绍。

参考
How To Share Encrypted AMIs Across Accounts
How To Create a Custom AMI with Encrypted EBS and Share It