Подключиться
Yandex Key Management Service

Как начать работать c Key Management Service

В этой инструкции вы создадите свой первый ключ, а также зашифруете и расшифруете текст с помощью сервиса KMS.

Подготовка к работе

Чтобы начать работать с Key Management Service:

  1. Войдите в консоль управления. Если вы еще не зарегистрированы, перейдите в консоль управления и следуйте инструкциям.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.
  3. Убедитесь, что в нужном облаке у вас есть роль owner или editor.
  4. Если у вас еще нет интерфейса командной строки Яндекс.Облака (CLI), установите и инициализируйте его.

Создайте ключ симметричного шифрования

Создайте ключ симметричного шифрования:

  1. В консоли управления выберите каталог, в котором хотите создать ключ.
  2. Выберите сервис Key Management Service.
  3. На вкладке Ключи нажмите кнопку Создать и задайте параметры ключа:
    • В поле Имя укажите my-first-key.
    • В поле Алгоритм шифрования укажите AES-256.
    • В поле Период ротации, дни оставьте значение Нет ротации.
    • Нажмите кнопку Создать.
  4. Нажмите на строку с именем ключа и убедитесь, что в блоке Версии есть первая версия ключа.

Зашифруйте текст с помощью ключа

Придумайте секретный текст, например Запуск состоится 42 мартобря.. Размер текста не должен превышать 32 КБ, для шифрования больших объемов данных используйте шифрование по схеме envelope encryption.

Зашифруйте текст:

  1. Запишите секретный текст в файл plaintext.txt.

  2. Из консоли управления скопируйте идентификатор ключа, созданного ранее.

    1. В консоли управления перейдите в каталог, в котором был создан ключ.
    2. Выберите сервис Key Management Service.
    3. В открывшемся окне скопируйте ключ из поля ID.

  3. Зашифруйте текст:

    yc kms symmetric-crypto encrypt \
 --id <ID ключа> \
 --plaintext-file plaintext.txt \
 --ciphertext-file ciphertext

Результат работы команды — это бинарный файл ciphertext, содержащий шифртекст.

Расшифруйте текст

Расшифруйте бинарный файл ciphertext, полученный на предыдущем шаге.

Расшифруйте текст:

yc kms symmetric-crypto decrypt \
--id <ID ключа> \
--ciphertext-file ciphertext \
--plaintext-file decrypted.txt

В результате файл ciphertext будет расшифрован, и в decrypted.txt будет записан расшифрованный текст: Запуск состоится 42 мартобря..

См. также