如何实现零停机键轮换

我有几个微服务在AWS中运行,其中一些微服务彼此通信,其中一些微服务有外部客户或是外部服务的客户。

要实现我的服务,我需要一些秘密(RSA密钥对用于签名/验证令牌、对称密钥、API密钥等)。我使用的是AWS SecretsManager,它工作得很好,但是我现在正在为键旋转实现适当的支持,我有一些想法。

• 我正在使用AWS SecretsManager,定期(大约5分钟)获取秘密并在本地缓存它们。
• 我正在使用AWS SecretsManager的版本阶段功能,根据需要引用当前版本和先前版本。

假设服务A需要服务B的密钥K:

• 假设在开始时,k的当前值为k1,前一个值为k0。
• 服务A在与B通信时始终使用(和本地缓存)当前版本的k,因此在本例中是k1
• 服务B将在本地缓存中保持版本awscurrent和awsprevious,并接受这两个版本[k1,k0]
• 当旋转k时,我首先确保服务b使用的秘密被旋转,这样在刷新间隔结束后,服务b的所有实例都接受[k2,k1]而不是[k1,k0]。在刷新间隔结束之前,的所有实例仍使用k1。
• 当刷新间隔已过,意味着B的所有实例都必须已获取k2时,我旋转键进行服务,以便A将使用k1或k2,直到刷新间隔已过,然后仅使用k2。
• 这就完成了键的旋转(但是如果k1被认为受到了影响,我们可以再次旋转b的秘密来推出k1并得到[k3,k2])。

这是最好的方法还是有其他方法可以考虑?

然后,在某些情况下,我有一个对称的密钥j,它在同一个服务中使用,例如一个密钥来加密某些会话。因此,在对服务C的一个请求中,一个会话是用密钥j1加密的,随后需要用j1解密。我有多个C服务实例。

这里的问题是,如果加密和解密同时使用相同的秘密,则旋转它会变得更混乱-如果将密钥旋转为具有值j2,并且一个实例已刷新,以便使用j2进行加密,而另一个实例仍看不到j2,则解密将失败。

我可以在这里看到一些方法:

1. 通过单独的旋转方案分为两个秘密,一次旋转一个,与上面类似。这就增加了处理额外机密的开销,这些机密具有相同的值(除了它们之间的旋转时间)。

2. 如果解密失败,将强制刷新机密:

   • 加密始终使用awsccurrent(j1或j2,取决于是否刷新)
   • 解密将先尝试awscurrent,然后尝试awsprevious,如果两者都失败(因为存储了另一个使用j2和j1的实例的加密),则会请求手动刷新该机密([j2,j1]现在已存储),然后再次尝试awscurrent和awsprevious。

3. 在“密钥”窗口中使用三个密钥,并始终使用中间的密钥加密,因为它应始终位于所有其他实例的窗口中(除非它旋转了几次,速度比刷新间隔快)。这增加了复杂性。

还有其他的选择吗?这看起来像是一个标准的用例,但是我仍然很难找到最好的方法。

编辑-------------

根据Joeb的答案,到目前为止我提出的算法是: 假设秘密最初的值为k1,而挂起的值为空。

正常运行

• 所有服务定期(每t秒)查询SecretsManager AWSCURRENT , AWSPENDING 和自定义标签 ROTATING 接受所有服务(如果存在)->所有服务都接受[ AWS电流 = K1]
• 所有客户使用 AWS电流 = K1

密钥旋转

1. 为挂起阶段添加新值k2
2. 等待t秒->所有服务现在接受[ AWS电流 = K1, 消费支出 = K2]
3. 添加 旋转的 到K1版本+移动 AWS电流 至k2版本+删除 消费支出 来自k2的标签(标签似乎没有原子交换)。在T秒过去之前,一些客户机将使用k2和一些k1,但所有服务都接受这两者
4. 等待t秒->所有服务仍接受[ AWS电流 = K2, 消费支出 =k1]和所有客户端使用 AWS电流 = K2
5. 移除 旋转的 从K1阶段开始。请注意,k1仍然具有 AWSPREVIOUS 阶段。
6. T秒后,所有服务将只接受[ AWS电流 =k2],而k1实际上是死的。

这既适用于单独的机密,也适用于用于加密和解密的对称机密。

不幸的是,我不知道如何使用内置的旋转机制来实现这一点,因为它需要几个步骤,其间会有延迟。一个想法是发明一些定制的步骤 setSecret 步骤创建一个cloudwatch cron事件,该事件将在t秒后再次调用该函数,并用步骤调用它 swapPending 和 removePending . 如果SecretsManager能够自动支持这一点,比如通过支持函数返回一个值来指示下一步应该在t秒后调用,那就太棒了。