將信封加密與客戶主金鑰結合使用 - 金融服務產業聚焦

將信封加密與客戶主金鑰結合使用

FSISEC15:如何管理加密金鑰?

AWS KMS 解決方案使用信封加密策略和客戶主金鑰 (CMK)。信封加密是一種使用資料金鑰對純文字資料進行加密,然後使用另一個金鑰對資料金鑰進行加密的做法。使用 CMK 產生、加密和解密在 AWS KMS 之外用於加密資料的資料金鑰。CMK 在 AWS KMS 中建立,並且永遠不會使 AWS KMS 處於未加密狀態。

AWS KMS 支援三種類型的 CMK:客戶管理的 CMK、AWS 管理的 CMK 和 AWS 擁有的 CMK (如需詳細資訊,請參閱此處 - https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。對於許多 FSI 客戶而言,客戶管理的 CMK 將是首選,因為它允許客戶控制從其任何應用程式或 AWS 服務使用金鑰的許可。客戶管理的 CMK 還為金鑰產生和儲存提供了更大的靈活性。另外,每次使用金鑰或對其政策進行的修改都會記錄到 AWS CloudTrail 中,以用於稽核。