Подключиться
Yandex Key Management Service

Шифрование данных

Статья создана

В сервисе KMS с помощью CLI и API вы можете шифровать и расшифровывать данные небольшого размера (до 32 КБ). Подробнее о возможных способах шифрования читайте в разделе Какой способ шифрования выбрать?

Перед началом работы

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

Зашифруйте данные

Команда зашифрует открытый текст, переданный в файле --plaintext-file, и запишет полученный шифртекст в файл --ciphertext-file.

  • --id — идентификатор ключа KMS, должен быть указан один из флагов: --id или --name.
  • --name — название ключа KMS, должен быть указан один из флагов: --id или --name.
  • --version-id — (опционально) версия ключа KMS, которая будет использоваться для шифрования. По умолчанию используется основная.
  • --plaintext-file — входной файл с открытым текстом.
  • --aad-context-file — (опционально) входной файл с AAD-контекстом.
  • --ciphertext-file — выходной файл с шифртекстом.
yc kms symmetric-crypto encrypt \
  --id abj76v82ficsmn446ri7 \
  --plaintext-file plaintext-file \
  --ciphertext-file ciphertext-file

Воспользуйтесь методом encrypt для ресурса SymmetricCrypto.

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). Terraform и его провайдеры распространяются под лицензией Mozilla Public License.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы зашифровать данные:

  1. Опишите в конфигурационном файле параметры ресурса yandex_kms_secret_ciphertext с указанием на ключ KMS в поле key_id:

    resource "yandex_kms_secret_ciphertext" "password" {
  key_id      = "<идентификатор ключа>"
  aad_context = "additional authenticated data"
  plaintext   = "strong password"
}

    Где:

    • key_id — идентификатор ключа KMS.
    • aad_context — (AAD-контекст).
    • plaintext — строка, которую нужно зашифровать.

    Важно

    Использование yandex_kms_secret_ciphertext позволяет скрыть секреты при разворачивании инфраструктуры, но в общем случае указание plaintext и aad_context в конфигурационном файле в открытом виде небезопасно. Секреты могут быть прочитаны из файла конфигурации, могут попасть в Terraform-state или могут быть прочитаны из логов выполнения.

    Более подробную информацию о параметрах ресурсов в Terraform см. в документации провайдера.

  2. Проверьте конфигурацию командой:

    terraform validate

    Если конфигурация является корректной, появится сообщение:

    Success! The configuration is valid.

  3. Выполните команду:

    terraform plan

    В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Примените изменения конфигурации:

    terraform apply

  5. Подтвердите изменения: введите в терминал слово yes и нажмите Enter.

    После этого доступ к шифртексту можно получить через переменную ciphertext, а к зашифрованным данным — plaintext.

    Для проверки вы можете добавить в файл конфигурации следующий код с выходной переменной decrypted_pass.

    Внимание

    Это небезопасно и может быть использовано только для тестирования.

    output "decrypted_pass" {
  sensitive = true
  value     = yandex_kms_secret_ciphertext.password.plaintext
}

    После обновления конфигурации можно проверить зашифрованные данные командой:

    terraform output decrypted_pass

    Результат:

    "strong password"

О том, как шифровать и расшифровывать данные с помощью SDK Yandex Cloud читайте в разделе Шифрование данных с помощью SDK Yandex Cloud.

О том, как шифровать и расшифровывать данные с помощью AWS Encryption SDK читайте в разделе Шифрование данных с помощью AWS Encryption SDK.

О том, как шифровать и расшифровывать данные с помощью Google Tink читайте в разделе Шифрование данных с помощью Google Tink.

Расшифруйте данные

Команда расшифрует шифртекст, переданный в файле --ciphertext-file, и запишет полученный открытый текст в файл --plaintext-file:

  • --id — идентификатор ключа KMS, должен быть указан один из флагов: --id или --name.
  • --name — название ключа KMS, должен быть указан один из флагов: --id или --name.
  • --ciphertext-file — входной файл с открытым текстом.
  • --aad-context-file — (опционально) входной файл с AAD-контекстом.
  • --plaintext-file — выходной файл с шифртекстом.
yc kms symmetric-crypto decrypt \
  --id abj76v82ficsmn446ri7 \
  --ciphertext-file ciphertext-file \
  --plaintext-file decrypted-file

Воспользуйтесь методом decrypt для ресурса SymmetricCrypto.

О том, как шифровать и расшифровывать данные с помощью SDK Yandex Cloud читайте в разделе Шифрование данных с помощью SDK Yandex Cloud.

О том, как шифровать и расшифровывать данные с помощью AWS Encryption SDK читайте в разделе Шифрование данных с помощью AWS Encryption SDK.

О том, как шифровать и расшифровывать данные с помощью Google Tink читайте в разделе Шифрование данных с помощью Google Tink.

См. также

В этой статье: