AWS 拥有的 CMK 与 AWS 托管的 CMK
bp4*_*p4D 4 amazon-web-services amazon-kms
问题#0:AWS 控制台显示 AWS 托管密钥和客户托管密钥;它不会将 AWS 拥有的 CMK 显示为列表中的项目。根据文档,客户无法查看或管理 AWS 拥有的 CMK。但是,在 AWS 托管密钥下,我看到不是由我隐式或显式创建的密钥。特别是我看到这个键带有别名aws/dynamodb。当我创建 DynamoDB 表时,我使用了默认设置,这意味着它将使用 AWS 拥有的 CMK 进行静态加密。这是否意味着“aws/dynamodb”是 AWS 拥有的 CMK?这有点模棱两可。是否有一个字段aws kms describe-key显示类型?
us-east-1 中的默认选项是 AWS 拥有的 CMK
问题 # 1:除了轮换政策、所有权和成本之外,AWS 拥有的 CMK 与 AWS 托管的 CMK 相比,加密/解密数据的方式是否存在根本差异?
问题#2:根据文档,AWS 拥有的 CMK 使用不限于一个特定账户,这意味着 AWS 有可能在多个不同账户中使用相同的 CMK 这种理解正确吗?
问题 #3:除了 DynamoDB 之外,还有哪些服务使用 AWS 拥有的 CMK 进行静态加密?在图中,我看到了更多的按键,这些是我尝试过的相应服务。
感谢任何帮助。提前致谢。
这是否意味着“aws/dynamodb”是 AWS 拥有的 CMK?
不会。AWS 拥有的 CMK 不会显示在您的 KMS 控制台中。这aws/dynamodb是 AWS 管理的 CMK,不是免费的。这是 DynamoDB 表创建中的第二个选项:
Q1. 从密码学的角度来看,没有区别,至少我不知道有什么区别。但实际的区别是你不能自己使用AWS-owned CMKs。您无法使用AWS CLI 或 SDK 使用它来解密/加密您自己的数据,因为 CMK 仅由 AWS 使用。另一个区别是,在账户之间移动加密数据会更容易,因为 AWS 将在两个账户上使用相同的 AWS 拥有的密钥,而不是您在不同账户上管理不同的密钥。
Q2。对,那是正确的。AWS 可以为多个客户重复使用相同的密钥。
Q3。我认为 S3 是使用 AWS 拥有的密钥SSE-S3的最常见服务。
| 归档时间: |
|
| 查看次数: |
3731 次 |
| 最近记录: |