Encryption 如何在云上管理加密密钥？

我想从软件即服务（SaaS）提供商处提供服务。 这是一个多租户环境（多家公司将使用一个应用程序实例和一个数据库，运行在同一硬件和同一操作系统上）

我们公司要求对我们的静态数据进行加密

我读过的大部分指南都指出，密钥应该由客户或第三方保管，而不是由云提供商保管

如果我有钥匙；那么我公司的每个用户登录后都需要密钥才能访问文件存储？这实际上是如何工作的？密钥是否与我的用户用户名和密码绑定

另一种选择是将密钥存储在云平台上的配置文件中，并由云提供商管理。但这会造成另一个问题，即保护配置文件的安全，以及将密钥放在共享平台上的风险

云提供商在哪里可以安全地存储密钥，以便只有我和我的员工才能使用它

在云上拥有加密数据时，在密钥管理方面的最佳实践是什么

我的研究得出的最佳实践如下：

•与客户或第三方一起存储密钥

•只有授权人员才能使用钥匙

•不要将密钥存储在与数据相同的平台上

我读过的大部分指南都指出，密钥应该由客户或第三方保管，而不是由云提供商保管

做出这样的声明很容易，但很难实现

然而，如果一切都在云上，数据需要共享，你也必须以某种方式共享密钥。我宁愿声明密钥应该与加密数据分开存储。然后您需要指定“单独”是什么

如果我有钥匙；那么我公司的每个用户登录后都需要密钥才能访问文件存储？ 这实际上是如何工作的？密钥是否与我的用户用户名和密码绑定

加密静止数据时-提供内容的服务需要密钥，而不是最终用户本身。我看不出最终用户需要加密密钥进行“静态”加密的原因。例外情况是，如果密钥使用非对称加密进行加密，并且需要用户的私钥来解密密钥和数据

云提供商在哪里可以安全地存储密钥，以便只有我和我的员工才能使用它？ 在云上拥有加密数据时，在密钥管理方面的最佳实践是什么？ 我的研究中的最佳实践规定如下：，与客户或第三方一起存储密钥，仅授权人员访问密钥。不要将密钥存储在与数据相同的平台上

基本上你列出了你的选择。这取决于什么对你来说“足够好”，以及你是否必须遵守一些规定

也许你不应该重新发明一个轮子，看看其他聪明人做了什么。看看大型云提供商（AWS、Azure、谷歌等）是如何解决这个问题的。你不是第一个也不是最后一个有这个要求的人

每个更大的云提供商都有一个地方来管理机密和访问机密（例如AWS提供KMS和Secret Manager，Azure提供KeyVault等）

您也可以使用第三方凭据保险库，但也需要将服务凭据存储在某个位置