本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資料金鑰快取
資料金鑰快取會將資料金鑰和相關加密資料全部儲存到快取中。當您加密或解密資料時,會在快取中 AWS Encryption SDK 尋找相符的資料金鑰。如果找到符合的金鑰,它就會使用該快取資料金鑰,而不會產生新的金鑰。資料金鑰快取可以提升效能、降低成本,並且讓您在應用程式規模不斷擴展時維持不超過服務用量。
應用程式在下列條件下能發揮資料金鑰快取優勢:
-
它可以重複使用資料金鑰。
-
它會產生大量的資料金鑰。
-
您的加密操作會異常地變慢速度、成本昂貴、效能受限或過度使用資源。
快取可以減少您對加密服務的使用,例如 AWS Key Management Service (AWS KMS)。如果您達到了AWS KMS requests-per-second極限,緩存可以提供幫助。您的應用程式可以使用快取金鑰來服務部分資料金鑰要求,而非呼叫 AWS KMS。您也可以在 Sup AWS port 中心
可 AWS Encryption SDK 協助您建立和管理資料金鑰快取。它提供本機快取和快取加密材料管理員 (快取 CMM),可與快取互動,並強制執行您設定的安全性閾值。這些元件在整合運作之後,能夠讓您透過重複使用資料金鑰提高產能效率,同時維護系統安全性。
資料金鑰快取是您應該謹慎使用的選用功能。 AWS Encryption SDK 依預設,會為每個加密作業 AWS Encryption SDK 產生新的資料金鑰。這項技術能支援加密操作的最佳實務,而這種做法並不鼓勵過度重複使用資料金鑰。一般而言,資料金鑰快取只會在為了滿足效能目標時才會啟用。接著,請使用資料金鑰快取安全性閾值,確保您是使用最低快取數來達成成本和效能目標。
AWS Encryption SDK 對於 .NET,不支援快取 CMM。版本 3. 適用於 JAVA 的 AWS Encryption SDK 唯一的 x 支援使用舊版主金鑰提供者介面快取 CMM,而不是金鑰圈介面。但是,版本 4。 AWS Encryption SDK 適用於 .NET 和版本 3 的 x。 的 x 適用於 JAVA 的 AWS Encryption SDK 支持AWS KMS 分層密鑰環,一種替代的加密材料緩存解決方案。使用 AWS KMS 階層式金鑰圈加密的內容只能使用 AWS KMS 階層式金鑰圈解密。
如需這些安全性權衡的詳細討論,請參閱 AWS Encryption SDK:如何在 AWS 安全性部落格中判斷資料金鑰快取是否適合您的應用程式
