管理 PGP 金鑰 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 PGP 金鑰

若要管理您的 PGP 金鑰,請使用 AWS Secrets Manager。

注意

您的秘密名稱包含 Transfer Family 伺服器 ID。這表示在存放 PGP 金鑰資訊之前,您應該已經識別或建立伺服器 AWS Secrets Manager。

如果您想要為所有使用者使用一個金鑰和複雜密碼,您可以將 PGP 金鑰區塊資訊存放在秘密名稱 下aws/transfer/server-id/@pgp-default,其中 server-id是 Transfer Family 伺服器的 ID。如果沒有 user-name 符合執行工作流程之使用者的金鑰,Transfer Family 會使用此預設金鑰。

您可以為特定使用者建立金鑰。在此情況下,秘密名稱的格式為 aws/transfer/server-id/user-name,其中 user-name符合執行 Transfer Family 伺服器工作流程的使用者。

注意

每個使用者每個 Transfer Family 伺服器最多可存放 3 個 PGP 私有金鑰。

設定 PGP 金鑰以搭配解密使用

  1. 根據您使用的 GPG 版本,執行下列其中一個命令來產生不使用 Curve 25519 加密演算法的 PGP 金鑰對。

    • 如果您使用的是 2.3.0 GnuPG版或更新版本,請執行下列命令:

      gpg --full-gen-key

      您可以選擇 RSA,或者,如果您選擇 ECC,您可以選擇橢圓曲線BrainPoolNIST或 。如果您gpg --gen-key改為執行 ,您可以建立使用 ECC Curve 25519 加密演算法的金鑰對,我們目前不支援 PGP 金鑰。

    • 對於 2.3.0 GnuPG之前的 版本,您可以使用下列命令,因為 RSA 是預設加密類型。

      gpg --gen-key
    重要

    在金鑰產生過程中,您必須提供密碼短語和電子郵件地址。請務必記下這些值。當您在此程序 AWS Secrets Manager 稍後的 中輸入金鑰的詳細資訊時,必須提供密碼短語。而且,您必須提供相同的電子郵件地址,才能在下一個步驟中匯出私有金鑰。

  2. 執行下列命令以匯出私有金鑰。若要使用此命令,請將 private.pgp取代為儲存私有金鑰區塊的檔案名稱,並將 marymajor@example.com取代為您產生金鑰對時使用的電子郵件地址。

    gpg --output private.pgp --armor --export-secret-key marymajor@example.com

  3. 使用 AWS Secrets Manager 來存放 PGP 金鑰。

    1. 登入 AWS Management Console 並在 https://https://console.aws.amazon.com/secretsmanager/ 開啟 AWS Secrets Manager 主控台。

    2. 在左側導覽窗格中,選擇秘密

    3. 秘密頁面上,選擇儲存新的秘密

    4. 選擇秘密類型頁面上,針對秘密類型,選取其他類型的秘密

    5. 鍵/值對區段中,選擇鍵/值索引標籤。

      • 金鑰 – 輸入 PGPPrivateKey

        注意

        您必須完全輸入PGPPrivateKey字串:請勿在字元之前或之間新增任何空格。

      • value – 將私有金鑰的文字貼到值欄位中。您可以在稍早在此程序中匯出金鑰時指定的 檔案 (例如 private.pgp) 中找到私有金鑰的文字。金鑰開頭為 -----BEGIN PGP PRIVATE KEY BLOCK-----,結尾為 -----END PGP PRIVATE KEY BLOCK-----

        注意

        請確定文字區塊只包含私有金鑰,也不包含公有金鑰。

    6. 選取新增資料列,然後在鍵/值對區段中,選擇鍵/值索引標籤。

      • 金鑰 – 輸入 PGPPassphrase

        注意

        您必須準確輸入PGPPassphrase字串:請勿在字元之前或之間新增任何空格。

      • value – 輸入您在產生 PGP 金鑰對時使用的密碼短語。

      AWS Secrets Manager 主控台,顯示您為了管理 PGP 金鑰而輸入的金鑰和值。
      注意

      您最多可以新增 3 組金鑰和密碼片語。若要新增第二組,請新增兩個新資料列,並為金鑰輸入 PGPPrivateKey2PGPPassphrase2 ,然後貼上另一個私有金鑰和密碼片語。若要新增第三個集合,索引鍵值必須為 PGPPrivateKey3PGPPassphrase3

    7. 選擇下一步

    8. 設定秘密頁面上,輸入秘密的名稱和描述。

      • 如果您要建立預設金鑰,也就是任何 Transfer Family 使用者都可以使用的金鑰,請輸入 aws/transfer/server-id/@pgp-defaultserver-id 將 取代為包含具有解密步驟之工作流程的伺服器 ID。

      • 如果您要建立要供特定 Transfer Family 使用者使用的金鑰,請輸入 aws/transfer/server-id/user-nameserver-id 將 取代為包含具有解密步驟之工作流程的伺服器 ID,並將 取代user-name為執行工作流程的使用者名稱。user-name 存放在 Transfer Family 伺服器正在使用的身分提供者中。

    9. 選擇下一步,並接受設定輪換頁面上的預設值。然後選擇下一步

    10. 檢閱頁面上,選擇存放以建立和存放秘密。

下列螢幕擷取畫面顯示特定 Transfer Family 伺服器marymajor的使用者詳細資訊。此範例顯示三個金鑰及其對應的密碼短語。

AWS Secrets Manager 主控台會顯示秘密詳細資訊頁面,其中包含 Transfer Family 伺服器和使用者的三個金鑰和密碼片語。