如何驗證在呼叫 AWS Key Management Service (AWS KMS) Encrypt、Decrypt 和 ReEncrypt API 時是否使用了具有相關聯資料加密的驗證加密?
簡短說明
AWS KMS 提供的加密內容,可供您用來驗證 AWS KMS API 呼叫的真實性,以及 AWS Decrypt API 所傳回密文的完整性。
解決方法
若要驗證使用 AWS KMS API 加密的資料完整性,您可以在 AWS KMS 加密期間和呼叫 Decrypt 或 ReEncrypt API 時,將一組金鑰/值對作為加密內容來傳遞。如果您傳遞給 Decrypt API 的加密內容與您傳遞給 Encrypt 或 ReEncrypt API 的加密內容相同,則所傳回密文的完整性會受到保護。
若要進一步了解如何使用加密內容來保護加密資料的完整性,請參閱 AWS Security Blog 如何使用 AWS KMS 和 EncryptionContext 保護加密資料的完整性。