KMS

Nos permite crear y administrar con facilidad las claves y controlar el uso del cifrado en una amplia variedad de servicios de AWS y en sus aplicaciones. Utiliza módulos de seguridad de hardware que sirven para proteger sus claves y que han sido validados según las normas FIPS 140–2.

Integración con los servicios:

  • EBS : Cifra los volúmenes

Laboratorio

Creación de clave administrada por KMS, encriptación de bucket (incluido objetos) y encriptación de texto

2. Ingresar a la consola de AWS, e ingresamos al servicio KMS

3. En la opción Claves administradas por el cliente, clic en Crear clave.

4. Seleccionamos el tipo Simétrico, KMS y clic en Siguiente.

5. vamos a crear un bucket en S3 encriptado con KMS.

6. El nombre del bucket: aws-kms-lmgs (los últimos caracteres que sean las iniciales de nuestros nombres)

7. Seleccionamos el check de Cifre los objetos automáticamente y buscamos la clave que hemos creado en KMS -> bigdata_clases

8. Clic en Crear bucket.

9. Crear carpeta data y dentro subir el archivo descargado mensaje-kms.txt

10. Creamos una nueva función Lambda, para poder leer el contenido del archivo mensaje-kms.txt que está dentro del bucket encriptado con KMS.

El nombre del lambda: ReadObjectKMS

Lenguaje : Python 3.7

11. Copiar y pegar el código del archivo lambda.txt, y modificar la línea 8 con el nombre de nuestro bucket.

12. Clic en Probar.

13. Le ponemos en el campo Nombre del evento : test y guardamos.

14. Le damos clic en Probar y nos saldrá un error ya que el rol asociado a la función Lambda no tiene permiso para acceder al bucket S3 : aws-kms-XXXX

15. Entrar al rol asociado a la función Lambda.

16. Entrar al rol asociado a la función Lambda.

17. Clic en la flecha para expandir los permisos asociados al rol.

18. Clic en Editar la política.

En la sig uiente ventana, seleccione Añadir permisos adicionales.

Seleccione el servicio : S3

Acciones : *

Recursos : Todos los recursos.

19. Clic en Revisar la política.

20. Probamos de nuevo la función Lambda y se vuelve a caer, esto porque no solo basta darle el permiso hacia S3, sino que también hace falta agregar el permiso de KMS.

21. Probar de nuevo la función Lambda y nos mostrará el contenido del texto que contiene el archivo mensaje-kms.txt.

22. desactivamos y programamos la eliminación de la clave generado en KMS.

Prueba del curso

Autores:

  • Santiago Camacho

Conoce más: bootcampai.org/aws-big-data

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store