gpt4 book ai didi

amazon-web-services - kms :GenerateDataKey in AWS的目的是什么

转载 作者:行者123 更新时间:2023-12-04 11:25:01 27 4
gpt4 key购买 nike

我正在 AWS Lambda 上编写无服务器函数。

在某些情况下,我需要使用 kms:GenerateDataKey*权限。

这样做的目的究竟是什么。我检查了 AWS 文档,但它太神秘了。有人可以举一个实际例子来说明它的用途吗?

最佳答案

需要 kms:GenerateDataKey 权限的 Lambda 函数很可能使用对称数据 key 加密大量数据。
kms:GenerateDataKey用于实现信封加密,即用另一个 key 对一个 key 进行加密的过程。对称 key 算法比公钥算法更快并且产生更小的密文,而公钥算法提供了固有的角色分离和更容易的 key 管理。信封加密结合了每种策略的优势。

AWS 中的信封加密

  • 在 KMS 中创建客户主 key 。尽管 CMK 可用于加密高达 4K 的数据,但它主要用于加密/解密数据加密 key 。
  • 生成数据加密 key - 用于使用对称加密算法加密数据。
  • 使用 CMK 加密数据 key 。
  • 将加密数据和加密数据 key 存储在一起。

  • 当用户拨打 kms:GenerateDataKey ,KMS 生成数据 key ,使用 CMK 对其进行加密,最后返回明文和加密数据 key 对(上面的步骤 2 和 3)。

    用户负责管理这些 key 。明文数据 key 通常在加密数据后立即丢弃,而加密数据 key 与加密数据一起存储。必须使用 kms:decrypt 解密数据加密 key 在解密数据之前。

    关于amazon-web-services - kms :GenerateDataKey in AWS的目的是什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58850216/

    27 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com