密钥环的工作方式

加密数据时，会 AWS Encryption SDK 要求密钥环提供加密材料。密钥环返回一个明文数据密钥以及由密钥环中的每个包装密钥加密的数据密钥副本。 AWS Encryption SDK 使用明文密钥加密数据，然后销毁纯文本数据密钥。然后， AWS Encryption SDK 返回一条包含加密数据密钥和加密数据的加密消息。

解密数据时，您可以使用加密数据所用的密钥环，也可以使用其他密钥环。要解密数据，解密密钥环必须包含（或有权访问）加密密钥环中的至少一个包装密钥。

将加密的数据密钥从加密的消息 AWS Encryption SDK 传递到密钥环，并要求密钥环解密其中任何一个。密钥环使用其包装密钥以解密一个加密的数据密钥，并返回明文数据密钥。 AWS Encryption SDK 使用明文数据密钥以解密数据。如果密钥环中的所有包装密钥都无法解密任何加密的数据密钥，解密操作将失败。

您可以使用一个密钥环，也可以将相同类型或不同类型的密钥环组合到一个多重密钥环中。当您加密数据时，多重密钥环返回使用构成该多重密钥环的所有密钥环中的所有包装密钥加密的数据密钥副本。您可以使用包含多重密钥环中任一包装密钥的密钥环解密数据。