Amazon ec2 可以在EC2密钥对中注册kms密钥对吗?
我可以将kms的密钥对注册为EC2节点上SSH登录的密钥对吗Amazon ec2 可以在EC2密钥对中注册kms密钥对吗?,amazon-ec2,terraform,terraform-provider-aws,aws-kms,key-pair,Amazon Ec2,Terraform,Terraform Provider Aws,Aws Kms,Key Pair,我可以将kms的密钥对注册为EC2节点上SSH登录的密钥对吗 我想使用Terraform来管理它。从2020年6月20日起,AWS KMS不能直接用于管理SSH密钥 您可以使用KMS生成RSA和ECC数据密钥,用于客户端加密操作,但您必须自己管理这些密钥 AWS KMS目前支持: 使用对称密钥加密(仅限2020-06-20年) 使用非对称密钥的数字签名(自2020年6月20日起,RSA和ECC都有) (对于SSH客户机的实际使用而言,成本高昂且延迟可能过高): AWS KMS支持对称和非对称CM
我想使用Terraform来管理它。从2020年6月20日起,AWS KMS不能直接用于管理SSH密钥 您可以使用KMS生成RSA和ECC数据密钥,用于客户端加密操作,但您必须自己管理这些密钥 AWS KMS目前支持:
- 对称CMK:表示一个256位秘密加密密钥,该密钥不会使AWS KMS未加密。要使用对称CMK,必须调用AWS KMS李>
- 非对称CMK:表示数学上相关的公钥和私钥对,可以用于加密和解密或签名和验证,但不能同时用于加密和解密或签名和验证。私钥从不让AWS KMS未加密。您可以通过调用AWS KMS API操作在AWS KMS内使用公钥,也可以下载公钥并在AWS KMS外使用
- 对称数据密钥-可用于加密AWS KMS以外数据的对称加密密钥。此密钥由AWS KMS中的对称CMK保护。 *非对称数据密钥对-由公钥和私钥组成的RSA或椭圆曲线(ECC)密钥对。您可以在AWS KMS之外使用数据密钥对加密和解密数据,或对消息签名和验证签名。私钥由AWS KMS中的对称CMK保护
这是非常复杂的,不值得这么复杂。您最好在本地使用ssh-keygen。如何工作?KMS上的非对称密钥不允许您访问私钥,因此您无法使用该密钥进行SSH登录。您能否详细说明您试图实现的目标,并解释一下您目前阅读的内容,从而得出此决定?@ydaetskcoR您对CMK是正确的,但对数据键则不正确。KMS可以生成可用于客户端操作的非对称数据密钥。这会很尴尬,但肯定不是不可能。