Кто-нибудь пытался использовать AWS KMS на Heroku?Использование сервиса Amazon KMS на Heroku
С одной стороны, Heroku работает на AWS, поэтому, по-видимому, это должно сработать.
С другой стороны, я не видел никаких ссылок, которые использовались в Heroku.
Моя основная цель - получить ключ шифрования от аппаратного защищенного модуля (против жесткого кодирования его в моем коде или поместить его в переменную окружения).
Нет причин, по которым вы не сможете позвонить конечной точке KMS из любого места, где есть подключение к Интернету.
вам по-прежнему нужен ключ доступа + секретный ключ для учетной записи AWS, которую вы используете, и для этой учетной записи необходимы разрешения для KMS.
вы распространяете зашифрованные файлы + aws на свой экземпляр heroku. вы расшифровываете и используете оттуда.
Одна вещь, о которой стоит упомянуть: при использовании KMS вы никогда не видите фактический ключ KMS. вы создаете ключ, вы можете шифровать и расшифровывать, у вас есть разрешения на операции, но вы не можете получить ключ.
Что вы обычно делаете, это своего рода шифрование конвертов, в котором вы создаете свой собственный ключ и шифруете его через KMS и отправляете зашифрованный ключ + зашифрованные данные в пункт назначения.