本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 数据库加密中的密钥存储 SDK
在 AWS 数据库加密中SDK,密钥存储是一个 Amazon DynamoDB 表,用于保存分层密钥环使用的AWS KMS 分层数据。密钥存储有助于减少使用分层密钥环执行加密操作所需的调用次数。 AWS KMS
密钥库保留并管理分支密钥,分层密钥环使用这些密钥来执行信封加密和保护数据加密密钥。密钥库存储活动分支密钥和分支密钥的所有先前版本。活动分支密钥为最新分支密钥版本。分层密钥环对每个加密请求使用唯一的数据加密密钥,并使用从活动分支密钥派生的唯一包装密钥对每个数据加密密钥进行加密。分层密钥环依赖在活动分支密钥及其派生包装密钥之间建立的层次结构。
密钥商店术语和概念
- Key store (密钥存储)
-
用于保存分层数据(例如分支密钥和信标密钥)的 DynamoDB 表。
- 根密钥
-
一种对称加密KMS密钥,用于生成和保护密钥库中的分支密钥和信标密钥。
- 分支密钥
-
一种数据密钥,可重复用于派生用于信封加密的唯一包装密钥。您可以在一个密钥库中创建多个分支密钥,但是每个分支密钥一次只能有一个有效的分支密钥版本。活动分支密钥为最新分支密钥版本。
分支密钥是 AWS KMS keys 通过使用 k ms: GenerateDataKeyWithoutPlaintext 操作派生的。
- 包装密钥
-
一种唯一的数据密钥,用于加密操作中使用的数据加密密钥。
包装密钥源自分支密钥。有关密钥派生过程的更多信息,请参阅AWS KMS 分层密钥环技术细节。
- 数据加密密钥
-
用于加密操作的数据密钥。分层密钥环对每个加密请求使用唯一的数据加密密钥。
- 信标钥匙
-
一种数据密钥,用于生成用于可搜索加密的信标。有关更多信息,请参阅可搜索的加密。
