0
使用云KMS加密数据是否足以阻止我的组织员工访问加密数据?有什么最佳实践可以避免不必要的暴露?如何防止内部人员访问使用Cloud KMS加密的数据或秘密?
A
回答
0
Cloud KMS中的资源是Google Cloud Platform资源,可以使用IAM管理访问权限,使用Cloud Audit Logging审核访问权限。您应该设置权限,以将加密密钥的使用限制为只有那些应该有权访问的个人。
您可以应用职责分离原则 - 管理加密密钥的个人不应该是访问这些密钥保护内容的个人,例如秘密。实际上,您应该给予一个人重要的管理权限,如密钥轮换等(IAM角色:云KMS管理员);和另一个人的密钥使用权,例如对访问数据进行加密/解密(IAM角色:云KMS CryptoKey加密器/解密器)。
有关云职责分离进一步讨论KMS:https://cloud.google.com/kms/docs/separation-of-duties
为了让用户能够管理与角色云KMS管理的一个关键的能力,使用gcloud运行:
gcloud beta kms cryptokeys add-iam-policy-binding \
CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \
--member user:[email protected] \
--role roles/cloudkms.admin
授予服务帐户使用具有角色Cloud KMS CryptoKey加密器/解密器的密钥进行加密和解密的能力,使用gcloud运行:
gcloud beta kms cryptokeys add-iam-policy-binding \
CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \
--member serviceAccount:[email protected] \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter
相关问题
- 1. 如何使用AWS Powershell脚本中的KMS密钥加密数据
- 2. 如何使用java生成s3样式访问/秘密密钥
- 3. 如何防止本地管理员用户访问使用EFS加密的数据库文件?
- 4. 加密 - 秘密密钥拆分部分
- 5. 使用AWS KMS加密数据的目的是什么?
- 6. 我需要加密秘密访问密钥吗?
- 7. AWS:解密SES/KMS加密邮件
- 8. botocore.exceptions.ClientError:客户端KMS加密
- 9. 使用自定义KMS密钥访问AWS参数存储值
- 10. 如何指定AWS访问密钥ID和秘密访问密钥作为亚马逊S3N URL的一部分
- 11. 加密访问数据库
- 12. 如何获得的秘密你的面料API密钥或内部gradle.properties文件
- 13. 如何加密数据以便管理员无法访问它?
- 14. 如何解密给定加密密钥的文本内的秘密消息
- 15. 网络存储本地数据加密或访问阻止
- 16. 部署,而无需使用AWS秘密访问密钥和AWS EC2实例访问密钥
- 17. 如何使用facebook-api访问秘密组的帖子?
- 18. AWS:使用KMS加密的主密码创建RDS实例
- 19. 如何将加密的SQLite数据库解密到内存中并访问它?
- 20. 限制AWS API密钥仅从EB环境或VPC访问KMS
- 21. 加密或部分加密核心数据数据库?
- 22. AWS Educate帐户的访问密钥ID和秘密访问密钥
- 23. 使用AWS KMS在powershell中加密/解密整个文件夹的内容
- 24. 在服务器上存储开发人员API密钥/秘密
- 25. Flex加密秘密值
- 26. 什么是访问令牌与访问令牌的秘密和消费者密钥与消费者的秘密
- 27. aws kms解密ciphertextblob
- 28. 多用户访问加密数据
- 29. Rails秘密令牌
- 30. Spring Cloud Config - 加密密码