Gerenciar chaves PGP - AWS Transfer Family

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar chaves PGP

Para gerenciar suas chaves PGP, use. AWS Secrets Manager

nota

Seu nome secreto inclui a ID do servidor Transfer Family. Isso significa que você já deve ter identificado ou criado um servidor antes de poder armazenar as informações de sua chave PGP em AWS Secrets Manager.

Se quiser usar uma chave e uma senha para todos os seus usuários, é possível armazenar as informações do bloco da chave PGP sob o nome secreto aws/transfer/server-id/@pgp-default, onde server-id é a ID do seu servidor Transfer Family. O Transfer Family usa essa chave padrão se não houver uma chave que user-name corresponda ao usuário que está executando o fluxo de trabalho.

Você pode criar uma chave para um usuário específico. Nesse caso, o formato do nome secreto éaws/transfer/server-id/user-name, onde user-name corresponde ao usuário que está executando o fluxo de trabalho para um servidor Transfer Family.

nota

É possível armazenar no máximo 3 chaves privadas PGP por servidor Transfer Family por usuário.

Para configurar chaves PGP para uso com decodificação

  1. Dependendo da versão do GPG que você está usando, execute um dos comandos a seguir para gerar um key pair PGP que não use o algoritmo de criptografia Curve 25519.

    • Se você estiver usando a versão 2.3.0 ou mais recente do GnuPG, execute o seguinte comando:

      gpg --full-gen-key

      É possível escolher RSA ou, se escolher ECC, pode escolher NIST ou BrainPool para a curva elíptica. Se em vez disso você executar gpg --gen-key, você criará um par de chaves que usa o algoritmo de criptografia ECC Curve 25519, que atualmente não oferecemos suporte para chaves PGP.

    • Para versões do GnuPG anteriores à 2.3.0, é possível usar o comando a seguir, já que RSA é o tipo de criptografia padrão.

      gpg --gen-key
    Importante

    Durante o processo de geração da chave, você deve fornecer uma senha e um endereço de e-mail. Certifique-se de anotar esses valores. Você deve fornecer a senha ao inserir os detalhes da chave AWS Secrets Manager posteriormente neste procedimento. E você deve fornecer o mesmo endereço de e-mail para exportar a chave privada na próxima etapa.

  2. Execute o comando a seguir para exportar a chave privada. Para usar esse comando, substitua private.pgp pelo nome do arquivo no qual salvar o bloco de chave privada e marymajor@example.com pelo endereço de e-mail que você usou ao gerar o par de chaves.

    gpg --output private.pgp --armor --export-secret-key marymajor@example.com

  3. Use AWS Secrets Manager para armazenar sua chave PGP.

    1. Faça login no Console de gerenciamento da AWS e abra o AWS Secrets Manager console em https://console.aws.amazon.com/secretsmanager/.

    2. No painel de navegação à esquerda, selecione Segredos.

    3. Na página Segredos, escolha Armazenar um novo segredo.

    4. Na página Escolher tipo de segredo, em Tipo de segredo, selecione Outro tipo de segredo.

    5. Na seção Pares de chave/valor, escolha a guia Chave/valor.

      • Chave — Insira PGPPrivateKey.

        nota

        Você deve inserir a string PGPPrivateKey exatamente: não adicione espaços antes ou entre os caracteres.

      • valor – cole o texto da sua chave privada no campo de valor. É possível encontrar o texto da sua chave privada no arquivo (por exemplo, private.pgp) que você especificou ao exportar sua chave anteriormente neste procedimento. A chave começa com -----BEGIN PGP PRIVATE KEY BLOCK----- e termina com -----END PGP PRIVATE KEY BLOCK-----.

        nota

        Certifique-se de que o bloco de texto contenha somente a chave privada e também não contenha a chave pública.

    6. Escolha Adicionar linha e, na seção Pares de chave/valor, escolha a guia Chave/valor.

      • Chave — Insira PGPPassphrase.

        nota

        Você deve inserir a string PGPPassphrase exatamente: não adicione espaços antes ou entre os caracteres.

      • valor — Insira a frase secreta que você usou ao gerar seu par de chaves PGP.

      O AWS Secrets Manager console, mostrando as chaves e os valores que você insere para gerenciar suas chaves PGP.
      nota

      É possível adicionar até três conjuntos de chaves e senhas. Para adicionar um segundo conjunto, adicione duas novas linhas, insira PGPPrivateKey2 e PGPPassphrase2 para as chaves e cole em outra chave privada e frase secreta. Para adicionar um terceiro conjunto, os valores-chave devem ser PGPPrivateKey3 e PGPPassphrase3.

    7. Escolha Próximo.

    8. Na página Configurar segredo, insira um nome e uma descrição para seu segredo.

      • Se você estiver criando uma chave padrão, ou seja, uma chave que possa ser usada por qualquer usuário do Transfer Family, insira aws/transfer/server-id/@pgp-default. Substitua server-id pela ID do servidor que contém o fluxo de trabalho que tem uma etapa de decriptografia.

      • Se você estiver criando uma chave para ser usada por um usuário específico do Transfer Family, insira aws/transfer/server-id/user-name. Substitua server-id pela ID do servidor que contém o fluxo de trabalho que tem uma etapa de decriptografia e substitua user-name pelo nome do usuário que está executando o fluxo de trabalho. O user-name é armazenado no provedor de identidade que o servidor Transfer Family está usando.

    9. Escolha Avançar e aceite os padrões na página Configurar rotação. Em seguida, escolha Próximo.

    10. Na página Revisão, escolha Armazenar para criar e armazenar o segredo.

A captura de tela a seguir mostra os detalhes para o usuário marymajor de um servidor Transfer Family específico. Este exemplo mostra três chaves e suas frases secretas correspondentes.

O AWS Secrets Manager console, mostrando a página de detalhes secretos com três chaves e frases secretas para um servidor e usuário do Transfer Family.