选项1:如果我们use an AWS KMS-managed customer master key (CMK),它是否提供端到端加密?
选项2:或者,我们是否必须use a client-side master key,以便只有客户才能解密他们的数据?
答案 0 :(得分:1)
更新:KMS不是非对称的,但您可以使用Envelope Encryption从CMK生成数据密钥。密钥在物理HSM上生成,使其无法从外部访问。您只需担心访问CMK which you can achieve using IAM access control。
有关机制如何运作的详细说明,请查看Envelope Encryption section on the KMS Cryptographic Details white paper。
所以如果你只是担心窃听可能是一个很好的解决方案。如果您正在寻找严格的端到端加密,您可能必须使用非对称密钥,KMS也可以帮助您。
答案 1 :(得分:0)
Aws kms 不存储任何数据,它为您提供两个密钥
1 个普通密钥:在它的帮助下,您可以加密数据并删除它(密钥)(无需保存在任何地方)。
2.encrypted data key :- 您需要保存此密钥以解密数据(首先使用加密数据密钥从 aws 获取明文密钥来解密数据),并在明文密钥的帮助下解密数据。< /p>
所以加密是在客户端完成的。