Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

aws-encryption-cli与aws kms encrypt/decrypt (aws-cli/2.9.5)的比较

0

【以下的问题经过翻译处理】 如果我比较标题中的两个选项 aws-encryption-cli 和在aws cli中的kms 命令,它们似乎有重叠。换句话说,严格从命令行角度来看,我可以使用 AWS CLI 进行加密和解密,那么使用需要额外安装的 aws-encryption-cli 而不是 aws kms encrypt/decrypt的原因是什么?

Themen
Sicherheit, Identität & KonformitätManagement & Unternehmensführung
Tags
AWS-SchlüsselverwaltungsserviceAWS Befehlszeilenschnittstelle
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten36 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 AWS Encryption SDK(ESDK)使用信封加密模式,您的数据在客户端进行加密,也就是在您的应用程序和您的硬件/实例内进行。加密的明文量取决于算法和数据密钥的大小,您可以配置ESDK使用KMS作为密钥提供程序来加密数据迷密钥,但也可以选择本地密钥来加密数据密钥。

使用KMS encrypt API进行加密是在服务器端完成,这意味着您发送明文到KMS,并获得密文作为回应。加密是在已验证的硬件安全模块中安全完成的(符合FIPS 140-2标准)。您可以加密/解密的有效载荷大小有限制(对于对称加密是4,096字节)。

为什么您会选择ESDK而不是KMS,或者反过来?这取决于您的使用场景。如果您有高性能要求(例如延迟,加密数量等),ESDK可能更有优势,因为使用信封加密模式,数据的加密是在您的应用程序中本地完成的,并且ESDK还提供了数据密钥缓存的功能来降低对KMS的调用次数来节省费用和降低延迟。如果您有需要在受信任和已验证的硬件下加密非常敏感的业务数据,则KMS可能更适合您的使用场景。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt