本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的基本功能 AWS KMS 是对 KMS 密钥下的对象进行加密。在设计上, AWS KMS 提供低延迟的加密操作。 HSMs因此,直接调用加密函数时,可以加密的明文量限制为 4 KB。 AWS Encryption SDK 可用于加密较大的邮件。 AWS KMS,在对命令进行身份验证后,获取与 KMS 密钥相关的当前活动 EKT。它将 EKT 连同明文和加密上下文传递给区域中任何可用 HSM。它们通过 AWS KMS 主机与域中的 HSM 之间的经过身份验证的会话发送。
HSM 运行以下操作:
-
解密 EKT 以获取 HBK = Decrypt(DKi, EKT)。
-
生成一次性的随机数 N。
-
从 HBK 和 N 派生 256 位 AES-GCM 派生的加密密钥 K。
-
加密明文 ciphertext = Encrypt(K, context, plaintext)。
密文值将返回给您,并且无论是纯文本数据还是密文都不会保留在基础架构中的任何地方。 AWS 如果没有密文、加密上下文和使用 KMS 密钥的授权,则无法返回底层明文。
