aws-encryption-cli与aws kms encrypt/decrypt (aws-cli/2.9.5)的比较

【以下的回答经过翻译处理】 AWS Encryption SDK（ESDK）使用信封加密模式，您的数据在客户端进行加密，也就是在您的应用程序和您的硬件/实例内进行。加密的明文量取决于算法和数据密钥的大小，您可以配置ESDK使用KMS作为密钥提供程序来加密数据迷密钥，但也可以选择本地密钥来加密数据密钥。

使用KMS encrypt API进行加密是在服务器端完成，这意味着您发送明文到KMS，并获得密文作为回应。加密是在已验证的硬件安全模块中安全完成的（符合FIPS 140-2标准）。您可以加密/解密的有效载荷大小有限制（对于对称加密是4,096字节）。

为什么您会选择ESDK而不是KMS，或者反过来？这取决于您的使用场景。如果您有高性能要求（例如延迟，加密数量等），ESDK可能更有优势，因为使用信封加密模式，数据的加密是在您的应用程序中本地完成的，并且ESDK还提供了数据密钥缓存的功能来降低对KMS的调用次数来节省费用和降低延迟。如果您有需要在受信任和已验证的硬件下加密非常敏感的业务数据，则KMS可能更适合您的使用场景。