從KMS獲取KMS密鑰CipherTextBlob

Question

如何從密文blob獲取KMS密鑰信息？

以從AWS網站

AWS KMS doc

aws kms encrypt --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --plaintext fileb://ExamplePlaintextFile --output text --query CiphertextBlob | base64 --decode > ExampleEncryptedFile 

的例子有什麼辦法看ExampleEncryptedFile並找出哪些KMS密鑰用於加密呢？

我問，因爲我在閱讀我加密的東西時遇到問題，我想驗證它是用我認爲是的密鑰加密的。

Answer 1

恐怕你無法做到這一點。 encrypt API使用客戶主密鑰（CMK）來加密數據，並且該密鑰永遠不會離開AWS。除非您將密鑰ID保存在某個地方（這不是一個好習慣），否則您將無法從加密文件中派生出密鑰ID。

有兩件事情，可以幫助，如果你有到AWS控制檯管理訪問：

• 字面上嘗試使用你的主鍵調用aws kms decrypt（假設他們沒有很多與原來的有沒有已被刪除）;
• 看着你的CloudTrail日誌，如果你對使用時間有一個大概的瞭解（假設你有CloudTrail enabled on your KMS operations），你也許能夠弄清楚使用了哪個密鑰。