我有一个用例来验证两个应用程序之间发送的有效负载的完整性。当我查看AWS KMS时,非对称CMK似乎可以使用私钥对有效负载进行签名,并使用公钥在其他应用程序中对其进行验证。但是,我看到有一个选项可以生成用于实现相同目的的数据密钥对,并且密钥对受CMK保护。
除4KB的大小限制外,单独使用CMK签名有效负载是否有任何限制。何时使用数据密钥对逻辑进行CMK签名? CMK可以用于签署任何有效负载,还是仅需签署以下一个AWS博客中提到的AWS委托人?
通过使AWS KMS生成并存储以下内容的私有部分: 非对称密钥,您可以限制仅将密钥用于IAM签名 您定义的主体。 OIDC ID令牌,OAuth 2.0访问令牌, 文档,配置文件,系统更新消息和审核日志 只是您可能要签名的几种对象而已 验证是否使用此功能。