AWS KMS/AWS 服务如何保护传输中的纯文本数据密钥?
How does AWS KMS/ AWS services protect the plain text data-key in transit?
AWS 服务要求 KMS 解密加密的数据密钥,KMS 使用 CMK 对其解密并发回纯文本数据密钥。该密钥在传输过程中如何受到保护?
假设 S3,它是一个 public 服务,从 KMS 请求明文数据密钥。 S3 是具有 public 端点的 public 服务。如何保护数据密钥?流量是否通过 Internet 流动?
KMS <-> S3 encryption/decryption 交互发生在 AWS 网络内。静态数据使用各种密钥提供程序(客户 managed/server-side)支持的 AES-256 加密进行加密,传输中使用 TLS v1.2 进行加密。无论如何,如果您制作一个对象 public 并且任何人都可以访问,他们将能够访问它。您必须确保您没有制作水桶或物体 public.
"S3 is public service with a public endpoint. How is the data-key protected?"
"public service" 仍然利用身份和访问管理来控制对对象的访问,而不是任何人都可以读取存储桶或其中的 blob。
Amit 的提交中发布的文档 link 也将为您解释交互流程,这并不简单:https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html
AWS 服务要求 KMS 解密加密的数据密钥,KMS 使用 CMK 对其解密并发回纯文本数据密钥。该密钥在传输过程中如何受到保护?
假设 S3,它是一个 public 服务,从 KMS 请求明文数据密钥。 S3 是具有 public 端点的 public 服务。如何保护数据密钥?流量是否通过 Internet 流动?
KMS <-> S3 encryption/decryption 交互发生在 AWS 网络内。静态数据使用各种密钥提供程序(客户 managed/server-side)支持的 AES-256 加密进行加密,传输中使用 TLS v1.2 进行加密。无论如何,如果您制作一个对象 public 并且任何人都可以访问,他们将能够访问它。您必须确保您没有制作水桶或物体 public.
"S3 is public service with a public endpoint. How is the data-key protected?" "public service" 仍然利用身份和访问管理来控制对对象的访问,而不是任何人都可以读取存储桶或其中的 blob。
Amit 的提交中发布的文档 link 也将为您解释交互流程,这并不简单:https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html