amazon-web-services - AWS 拥有的 CMK 与 AWS 管理的 CMK

Question

问题 #0:AWS 控制台显示 AWS 托管 key 和客户托管 key ；它不会将 AWS 拥有的 CMK 显示为列表中的项目。根据 documentation , 客户无法查看或管理 AWS 拥有的 CMK。但是，在 AWS 托管 key 下，我看到了并非由我隐式或显式创建的 key 。特别是我看到这个 key 带有别名 aws/dynamodb。当我创建 DynamoDB 表时，我使用了默认设置，这意味着它将使用 AWS 拥有的 CMK 进行静态加密。这是否意味着“aws/dynamodb”是 AWS 拥有的 CMK？这有点模棱两可。 aws kms describe-key 中是否有显示类型的字段？

us-east-1 中的默认选项是 AWS 拥有的 CMK

问题 1:除了轮换政策、所有权和成本之外，与 AWS 管理的 CMK 相比，AWS 拥有的 CMK 加密/解密数据的方式是否存在根本差异？

问题 2:根据文档，AWS 拥有的 CMK 使用不限于一个特定账户，这意味着 AWS 有可能在多个不同账户中使用相同的 CMK 这是理解正确吗？

问题 3:除了 DynamoDB 之外，还有哪些服务使用 AWS 拥有的 CMK 进行静态加密？在图片中，我看到了更多的键，这些是我尝试过的相应服务。

感谢任何帮助。提前致谢。

Answer 1

Does this mean, "aws/dynamodb" is an AWS-owned CMK?

没有。 AWS 拥有的 CMK 不会显示在您的 KMS 控制台中。 aws/dynamodb 是 AWS 管理的 CMK，它不是免费的。它是 DynamoDB 建表中的第二个选项:

Q1。从密码学的角度来看，没有区别，至少我不知道。但实际区别在于您不能自己使用 AWS 拥有的 CMKs。您不能通过 AWS CLI 或 SDK 使用它来解密/加密您自己的数据，因为 CMK 仅供 AWS 使用。另一个区别是，在账户之间移动加密数据会更容易，因为 AWS 将在两个账户上使用相同的 AWS 拥有的 key ，而不是您在不同的账户上管理不同的 key 。

Q2。对，那是正确的。 AWS 可以为多个客户重复使用相同的 key 。

Q3。我认为 S3 是使用 AWS 拥有的 key 的最常见服务 SSE-S3 .