1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 AWS Encryption SDK(ESDK)使用信封加密模式,您的数据在客户端进行加密,也就是在您的应用程序和您的硬件/实例内进行。加密的明文量取决于算法和数据密钥的大小,您可以配置ESDK使用KMS作为密钥提供程序来加密数据迷密钥,但也可以选择本地密钥来加密数据密钥。
使用KMS encrypt API进行加密是在服务器端完成,这意味着您发送明文到KMS,并获得密文作为回应。加密是在已验证的硬件安全模块中安全完成的(符合FIPS 140-2标准)。您可以加密/解密的有效载荷大小有限制(对于对称加密是4,096字节)。
为什么您会选择ESDK而不是KMS,或者反过来?这取决于您的使用场景。如果您有高性能要求(例如延迟,加密数量等),ESDK可能更有优势,因为使用信封加密模式,数据的加密是在您的应用程序中本地完成的,并且ESDK还提供了数据密钥缓存的功能来降低对KMS的调用次数来节省费用和降低延迟。如果您有需要在受信任和已验证的硬件下加密非常敏感的业务数据,则KMS可能更适合您的使用场景。
相关内容
- AWS 官方已更新 3 年前
- AWS 官方已更新 2 个月前
- AWS 官方已更新 10 个月前
- AWS 官方已更新 1 年前