AWS KMS - 导入 Key material

当咱们使用AWS KMS的时候，咱们能够选择三种 Key material的来源，固然最简单的是KMS，彻底由AWS提供，咱们也能够选择External，也就是从第三方平台导入，下面看看如何实现。

进入KMS，新建一个CMK， 选择 Symmetric和 External

添加名字

选择Key 的管理员和用户

Review一下

选择算法为SHA1，由于以后我用openssl，他只支持这个，下载咱们的wrapping key和 token

下一步 须要提交咱们加密以后的key material和 token

切换到咱们的电脑上，看看下载的文件，他包括了2个重要的文件，一个importToken，一个wrapping key

看看如何使用openssl 进行 wrapping key material。 参考文件为

https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys-encrypt-key-material.html

我是直接用WSL ( windows subsystem for Linux ) 打开一个Debian的界面，而后执行

首先生成一个256 位 的key material

而后用咱们下载的public key 去加密他，他会生成一个加密文件

看看咱们生成的加密文件

上传

成功的生成了新的CMK

接下来就能够用咱们的CMK来加密EBS或者S3了