加密 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密

的基本函數 AWS KMS 是加密 KMS 金鑰下的物件。根據設計, AWS KMS 在 HSM 上提供低延遲的密碼編譯操作。因此,在對函數進行加密的直接呼叫中,對可以加密的純文字量限制為 4 KB。 AWS Encryption SDK 可用來加密較大的訊息。在驗證命令之後 AWS KMS, 會取得與 KMS 金鑰相關的目前作用中 EKT。它會將 EKT 連同純文字和加密內容傳遞給區域中任何可用的 HSM。這些會透過 AWS KMS 主機與網域中的 HSM 之間的已驗證工作階段傳送。

HSM 會執行下列項目:

  1. 解密 EKT 以取得 HBK = Decrypt(DKi, EKT)

  2. 產生隨機 nonce N

  3. HBKN 衍生 256 位元 AES-GCM 衍生的加密金鑰 K

  4. 加密純文字 ciphertext = Encrypt(K, context, plaintext)

加密文字值會傳回給您,而且純文字資料或加密文字都不會保留在 AWS 基礎設施中的任何位置。如果沒有擁有加密文字和加密內容,以及使用 KMS 金鑰的授權,則無法傳回基礎純文字。