My Posts

在 AWS 中跨主账号（Cross-Account）共享 KMS 密钥，核心在于**“双重授权”**： 不仅要在账号 A 的 KMS 密钥策略（Key Policy） 中允许账号 B 访问 还要在账号 B 的 IAM 策略 中给对应的子账号赋权 以下是实现步骤： ...

在传统数据库体系中，账号密码通常是长期存在的静态凭证，这在云原生环境里会带来明显的安全隐患： 凭证泄露、轮转困难、权限管理分散。 AWS 提供的 IAM Database Authentication 则允许你使用 IAM 身份体系直接登录数据库，并通过短期 Token 取代密码，实现真正的“无密码数据库访问”。 ...

概述 EET 的功能可归纳为三部分： 类别 说明 贴近实际应用 envelope 与 structured：信封加密、结构化配置叶子加密，均支持本地模式与云 KMS 模式，让用户一键实现配置文件加密与敏感数据信封加密。 密码学基础原子能力 AES/SM4/ZUC 对称加解密，RSA/ECC/SM2 非对称加解密与签名验签，Hash、HMAC 等。 常用工具能力 大小端转换、时间戳转换、字符串编码转换、安全随机串、证书解析、Shell 补全等。 安装与入口： ...

实现 aws-cli 直接登录 EC2，并使用 KMS 加密 Session

1. 简介 EET（easy-encryption-tool）的 envelope 命令支持使用华为云密钥管理服务（KMS，密码安全中心 DEW）进行信封加密。通过 --kms-backend huaweicloud 可调用华为云 KMS 的 CreateDatakey 和 DecryptDatakey 接口，实现 DEK 的云端生成与解密。 ...