是否可以使用 AWS KMS 进行密钥管理,但将密钥保存在内存中以在本地加密/解密(无需进一步 api 调用)?
Is it possible to use AWS KMS for key management but keep the keys in memory to encrypt / decrypt locally (without further api calls)?
我预计我的一项服务的流量非常大,我想为一项新功能添加加密。我知道 KMS 在每次 encrypt/decrypt 调用时都会进行 API 调用,但是是否可以使用 KMS 进行密钥管理并将内存中的密钥缓存到本地 encrypt/decrypt 而无需额外的 API 调用?
KMS 密钥永远不会离开其硬件。就是这样。
默认情况下,KMS 适用于 envelope encryption。有一个数据加密密钥,KMS用于加密数据密钥。
您可以调用 KMS 生成随机数据密钥及其加密值,然后使用数据密钥加密数据本身。
如果您正在为同一系统加密(数据针对同一目标加密),您可以重复使用相同的数据密钥并使用唯一的 IV 来加密多条消息。
编辑:我建议使用 AWS Encryption SDK 一点帮助开发人员正确地做到这一点
我预计我的一项服务的流量非常大,我想为一项新功能添加加密。我知道 KMS 在每次 encrypt/decrypt 调用时都会进行 API 调用,但是是否可以使用 KMS 进行密钥管理并将内存中的密钥缓存到本地 encrypt/decrypt 而无需额外的 API 调用?
KMS 密钥永远不会离开其硬件。就是这样。
默认情况下,KMS 适用于 envelope encryption。有一个数据加密密钥,KMS用于加密数据密钥。
您可以调用 KMS 生成随机数据密钥及其加密值,然后使用数据密钥加密数据本身。
如果您正在为同一系统加密(数据针对同一目标加密),您可以重复使用相同的数据密钥并使用唯一的 IV 来加密多条消息。
编辑:我建议使用 AWS Encryption SDK 一点帮助开发人员正确地做到这一点