irr*_*lar 2 encryption amazon-web-services amazon-kms
我预计我的一项服务的流量会非常高,并且我想为一项新功能添加加密。我知道 KMS 在每次加密/解密调用时都会进行 API 调用,但是是否可以使用 KMS 进行密钥管理并将密钥缓存在内存中以在本地加密/解密,而无需额外的 API 调用?
KMS 密钥永远不会离开其硬件。就是这样。
默认情况下,KMS 用于信封加密。有一个数据加密密钥,并且使用KMS来加密数据密钥。
您可以调用 KMS 生成随机数据密钥及其加密值,然后使用该数据密钥对数据本身进行加密。
如果您正在为同一系统加密(为同一目标加密数据),您可以重复使用相同的数据密钥并使用唯一的 IV 来加密多个消息。
编辑:我建议使用AWS Encryption SDK来帮助开发人员正确完成此操作