AWS 拥有的 CMK 与 AWS 托管的 CMK

Question

问题 # 0：AWS 控制台显示 AWS 托管密钥和客户托管密钥；它不会将 AWS 拥有的 CMK 显示为列表中的项目。根据 documentation，客户无法查看或管理 AWS 拥有的 CMK。但是，在 AWS 托管密钥下，我看到的密钥不是我隐式或显式创建的。特别是我看到这个键的别名为 aws/dynamodb。当我创建 DynamoDB 表时，我使用了默认设置，这意味着它将使用 AWS 拥有的 CMK 进行静态加密。这是否意味着“aws/dynamodb”是 AWS 拥有的 CMK？这有点模棱两可。 aws kms describe-key 中是否有显示类型的字段？

us-east-1 中的默认选项是 AWS 拥有的 CMK

问题 1：除了轮换政策、所有权和成本之外，与 AWS 托管的 CMK 相比，AWS 拥有的 CMK 加密/解密数据的方式是否存在根本差异？< /p>

问题 2：根据文档，AWS 拥有的 CMK 使用不限于一个特定账户，这意味着 AWS 有可能在多个不同账户中使用相同的 CMK，这是理解正确吗？

问题 # 3：除了 DynamoDB 之外，还有哪些服务使用 AWS 拥有的 CMK 进行静态加密？在图片中，我看到了更多的键，这些是我尝试过的相应服务。

感谢任何帮助。提前致谢。

Answer 1

<块引用>

这是否意味着“aws/dynamodb”是 AWS 拥有的 CMK？

没有。 AWS 拥有的 CMK 不会显示在您的 KMS 控制台中。 aws/dynamodb 是 AWS 管理的 CMK，不免费。它是 DynamoDB 表创建中的第二个选项：

第一季度。从密码学的角度来看，没有区别，至少我不知道有什么区别。但实际的区别是您不能自己使用 AWS-owned CMKs。您不能使用它来使用 AWS CLI 或 SDK 解密/加密您自己的数据，因为 CMK 仅由 AWS 使用。另一个区别是在账户之间移动加密数据可以更容易，因为 AWS 将在两个账户上使用相同的 AWS 拥有的密钥，而不是您在不同账户上管理不同的密钥。

第 2 季度。对，那是正确的。 AWS 可以为多个客户重复使用相同的密钥。

第三季度。我认为 S3 是使用 AWS 拥有的密钥 SSE-S3 的最常见服务。