amazon-web-services - 是否可以使用 AWS KMS 进行 key 管理，但将 key 保留在内存中以在本地加密/解密(无需进一步的 api 调用)？

Question

我预计我的一项服务的流量会非常高，并且我想为一项新功能添加加密。我知道 KMS 在每次加密/解密调用时都会进行 API 调用，但是是否可以使用 KMS 进行 key 管理并将 key 缓存在内存中以在本地加密/解密，而无需额外的 API 调用？

Answer 1

KMS key 永远不会离开其硬件。就是这样。

默认情况下，KMS 适用于 envelope encryption 。存在数据加密 key ，使用KMS对数据 key 进行加密。

您可以调用 KMS 生成随机数据 key 及其加密值，然后使用数据 key 加密数据本身。

如果您正在为同一系统加密(数据为同一目标加密)，您可以重复使用相同的数据 key 并使用唯一的 IV 来加密多条消息。

编辑:我建议使用 AWS Encryption SDK有点帮助开发人员正确地做到这一点