Encrypt

Una función básica de AWS KMS es cifrar un objeto con una clave KMS. Por diseño, AWS KMS proporciona operaciones criptográficas de baja latencia en. HSMs Por lo tanto, hay un límite de 4 KB en la cantidad de texto sin formato que se puede cifrar en una llamada directa a la función de cifrado. Se AWS Encryption SDK puede usar para cifrar mensajes más grandes. AWS KMS, tras autenticar el comando, adquiere el EKT activo actual correspondiente a la clave KMS. Pasa el EKT junto con el texto sin formato y el contexto de cifrado a cualquier HSM disponible en la región. Se envían a través de una sesión autenticada entre el AWS KMS host y un HSM del dominio.

El HSM ejecuta lo siguiente:

Descifra el EKT para obtener la HBK = Decrypt(DK_i, EKT) .
Genera un nonce N aleatorio.
Obtiene una clave de cifrado derivada K de AES-GCM de 256 bits desde HBK y N.
Cifra el texto sin formato ciphertext = Encrypt(K, context, plaintext).

Se le devuelve el valor del texto cifrado y ni los datos en texto simple ni el texto cifrado se conservan en ninguna parte de la infraestructura. AWS Sin tener el texto cifrado, el contexto de cifrado y la autorización para utilizar la clave de KMS, no se puede devolver el texto sin formato subyacente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Generar claves de datos

Decrypt