个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
40
4
我有一个将数据写入 DynamoDB 的 Lambda(NodeJS) 函数。其中一些数据需要加密。我正在使用 KMS 加密和存储进行加密。当我使用不同的 Lambda 函数从 Dynamo 检索并尝试解密时,我收到错误消息。如果我加密然后转身解密,我可以做到这一点,但如果我从数据库中读取加密值,它不会解密。我的加密/存储代码如下:
console.log('Loading event');
var AWS = require('aws-sdk');
var keyId = "arn:aws:kms:us-east-1:5423542542:key/xxxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxxx";
var tableName = "person";
var dynamoDBConfiguration = {
"region": "us-west-2"
};
AWS.config.update(dynamoDBConfiguration);
var dynamodb = new AWS.DynamoDB({apiVersion: '2012-08-10'});
var kms = new AWS.KMS({region: 'us-east-1'});
var newId = "1234-56789-101112-13141516";
var item = {};
exports.handler = function (event, context) {
console.log('ssn');
//encrypt it
var ssnParams = {
KeyId: keyId,
Plaintext: "123-45-6789"
};
kms.encrypt(ssnParams, function (err, data) {
if (err) {
console.log(err, err.stack);
}
else {
console.log(' ssn encrypted');
var enc_ssn = data.CiphertextBlob;
item["SSN"] = {"Value": {"B": enc_ssn}};
item["First_Name"] = {"Value": {"S": "Joe"}};
item["Last_Name"] = {"Value": {"S": "Blow"}};
dynamodb.updateItem({
"TableName": tableName,
"AttributeUpdates": item,
"ReturnValues": "ALL_NEW",
"Key": {
"id": {"S": newId}
}
}, function (err, data) {
if (err) {
context.done(err);
}
else {
console.log('great success: %j', data);
context.succeed("Person Successfully Inserted");
}
});
}
});
};
我的检索/解密代码如下:
console.log('Loading event');
var AWS = require('aws-sdk');
var dynamoDBConfiguration = {
"region": "us-west-2"
};
AWS.config.update(dynamoDBConfiguration);
var dynamodb = new AWS.DynamoDB({apiVersion: '2012-08-10'});
var keyId = "arn:aws:kms:us-east-1:5423542542:key/xxxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxxx";
var tableName = "person";
var kms = new AWS.KMS({region: 'us-east-1'});
exports.handler = function (event, context) {
console.log(JSON.stringify(event, null, ' '));
var params = {};
var id = event.id;
console.log(id);
if (id && id !== '') {
params = {
"TableName": tableName,
KeyConditionExpression: "id = :id",
ExpressionAttributeValues: {
':id': {'S': id}
}
};
dynamodb.query(params, function (err, data) {
if (err) {
context.done(err);
}
else {
var person = data.Items[0];
console.log('query success');
console.log(person);
if (person.SSN) {
console.log('have ssn');
var b_ssn = person.SSN;
console.log(b_ssn);
person.SSNtext = "";
var encryptedParams = {
CiphertextBlob: Buffer(b_ssn, 'base64'),
};
kms.decrypt(encryptedParams, function (err, decrypteddata) {
if (err) {
console.log(err, err.stack);
//context.done(err);
}
else {
person.SSNtext = decrypteddata.Plaintext.toString();
console.log(decrypteddata.Plaintext.toString());
context.succeed(person);
}
});
}
}
});
}
else {
params = {
"TableName": tableName
};
dynamodb.scan(params, function (err, data) {
if (err) {
context.done(err);
}
else {
console.log('scan success');
context.succeed(data);
}
});
}
};
当我运行此代码时,我收到以下错误:
START RequestId: 639590ac-cb95-11e5-91e4-d706c725f529 Version: $LATEST
2016-02-04T23:16:58.713Z 639590ac-cb95-11e5-91e4-d706c725f529 Loading event
2016-02-04T23:17:00.215Z 639590ac-cb95-11e5-91e4-d706c725f529 {
"id": "1234-56789-101112-13141516"
}
2016-02-04T23:17:00.215Z 639590ac-cb95-11e5-91e4-d706c725f529 1234-56789-101112-13141516
2016-02-04T23:17:00.954Z 639590ac-cb95-11e5-91e4-d706c725f529 query success
2016-02-04T23:17:00.954Z 639590ac-cb95-11e5-91e4-d706c725f529 { Last_Name: { S: 'Blow' },
id: { S: '1234-56789-101112-13141516' },
First_Name: { S: 'Joe' },
SSN: { B: <Buffer 0a 20 ec 00 75 21 f2 61 7d ba 2e 38 7e c6 fd 24 6d 32 b4 c2 b3 29 47 9e 9b 97 f2 a8 46 f2 d0 38 da 37 12 92 01 01 01 02 00 78 ec 00 75 21 f2 61 7d ba 2e ...> } }
2016-02-04T23:17:00.956Z 639590ac-cb95-11e5-91e4-d706c725f529 have ssn
2016-02-04T23:17:00.956Z 639590ac-cb95-11e5-91e4-d706c725f529 { B: <Buffer 0a 20 ec 00 75 21 f2 61 7d ba 2e 38 7e c6 fd 24 6d 32 b4 c2 b3 29 47 9e 9b 97 f2 a8 46 f2 d0 38 da 37 12 92 01 01 01 02 00 78 ec 00 75 21 f2 61 7d ba 2e ...> }
2016-02-04T23:17:01.573Z 639590ac-cb95-11e5-91e4-d706c725f529 { [InvalidCiphertextException: null]
message: null,
code: 'InvalidCiphertextException',
time: Thu Feb 04 2016 23:17:01 GMT+0000 (UTC),
我可以加密和解密加密的值,但是当我存储该值,检索它并尝试解密它时,它失败了。任何帮助将不胜感激。
最佳答案
好的 - 我已经完成了这项工作,我想在这里发帖,以防其他人可能会遇到同样的事情。当您将数据放入 DynamoDB 时,您会使用如下内容:
item["First_Name"] = {"Value":{"S": "Joe"}};
当我检索它时,我没有得到一个字符串,我得到了一个对象。因此,当我刚刚检索到名为 person 的行时,我必须得到这样的值:
first_name = person.First_Name.S;
//results in first_name = "Joe";
所以我遇到的问题是我试图将对象 person.First_Name 传递给解密方法,而不是 person.First_Name.S 的值
关于node.js - 使用 Amazon KMS 加密值,使用 DynamoDB 和 Lambda (NodeJS) 存储/检索,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35213615/
40
4
0
我的 aws 帐户位于 us-west-2 区域。并且在该账户中创建的 KMS key 具有 ARN arn:aws:kms:us-east-1::key/。在我的节点模块中,我使用 Credstas
当encrypting symmetrically使用 Google Cloud 的 KMS,Google Cloud automatically选择主键版本: Each symmetric encr
我需要使用客户端 key 加密一些文本字符串,然后使用与客户端加密相同的 key 在服务器端解密此加密字符串。 据我了解,AWS KMS 是建立在 AES 之上的。 那么我可以使用 CryptoJS
我已经创建了一个谷歌云项目并启用了 谷歌云 key 管理服务 (KMS) API。我创建了两个 key 圈。 keyring1位于us-east1,keyring2位于global。我创建了以下 ja
使用 Cloudformation 创建新的 KMS key 时,我在“状态原因”列中看到此消息: Did not have IAM permissions to process tags on AW
在阅读Cloudera KMS Installation procedure时,我发现 Cloudera strongly recommends not using Java Keystore KMS
Amazon Key Management Services 背后使用哪些算法或加密方法? 我搜索了它,但只找到了与配置相关的信息,而不是集成信息。 最佳答案 我会在这个答案的开头说,如果你真的感兴趣
我必须将.Net Core应用程序从Google App Engine移至Google Kubernetes Engine,因为我需要静态IP,可惜Google App Engine没有该选项。 我设
我使用 AWS SDK iOS v2.6.21 以编程方式将 KMS (SSE-KMS) 加密添加到 AWS S3 存储桶。我使用以下 Objective-C 代码执行此操作: AWSS3 *awsC
我正在寻求帮助,使用 KMS 在 Hive 中实现列级加密(与 https://issues.apache.org/jira/browse/HIVE-7934 完全相似)。虽然我清楚所引用 URL 中
我是 hadoop KMS 的新手,我已经使用 hadoop 启动了 KMS。现在我尝试运行这个 curl 命令 curl -i --header "Accept:application/json"
我不确定为什么我们需要这个 Hadoop KMS 正是为了?我浏览了 Apache Hadoop 的官方文档,并没有确切提到为什么我们需要这个概念。我唯一清楚的是,使用此 client 和 serve
我搜索了 Google 结果,这似乎是不可能的,所以:有人知道如何使用 KMS 在控制台中更改或设置特定的视频分辨率吗? 我没有使用任何图形服务器或图形子系统,所以这个问题只与控制台有关。 我使用的是
我正在尝试验证使用 Google 的云 KMS 生成的签名,但我不断收到无效响应。 这是我测试它的方式: const versionName = client.cryptoKeyVersionPath
我的问题可能听起来太明显了,但我是 Amazon KMS 的新手。在阅读了 AWS 上的大量文档后,我了解到,如果我直接使用 CMK 进行加密和解密,我可以直接通过创建加密和解密请求来完成。但我不清楚
我已经能够使用私钥签署云端 URL,但很难保证私钥的安全。我正在考虑使用 KMS 来保证私钥的安全,有没有办法使用存储在亚马逊 KMS 中的 key 对 URL 进行签名? 最佳答案 答案是否定的,C
给定一个定义了以下内容的 CloudFormation 模板: KMS key KMS key 别名 一个 S3 存储桶 如果由于某种原因我需要删除 CloudFormation 堆栈并重新部署,删除
这是一个新手安全/控制台问题......我在我的项目中在欧洲的一个特定(错误)位置创建了一个 key 环。 我在控制台中看不到任何编辑甚至删除 key 环的方法。 key 圈完全是空的……里面没有 k
如何使用 boto3 资源从 S3 存储桶读取 KMS 加密文件? 下面是我用来读取非加密文件的片段 - s3 = boto3.resource('s3') obj = s3.Object(bucke
我正在 AWS Lambda 上编写无服务器函数。 在某些情况下,我需要使用 kms:GenerateDataKey*权限。 这样做的目的究竟是什么。我检查了 AWS 文档,但它太神秘了。有人可以举一
我是一名优秀的程序员,十分优秀!