keyring 如何運作

當您加密資料時， AWS Encryption SDK 會詢問金鑰環是否有加密材料。金鑰圈會傳回純文字資料金鑰，以及金鑰圈中每個包裝金鑰所加密的資料金鑰副本。會 AWS Encryption SDK 使用純文字金鑰來加密資料，然後銷毀純文字資料金鑰。然後， AWS Encryption SDK 返回一個加密的消息，其中包括加密的數據密鑰和加密的數據。

解密資料時，您可以使用用來加密資料的相同金鑰環，或使用不同的金鑰環。若要解密資料，解密金鑰環必須在加密金鑰環中包含 (或具有存取權) 至少一個包裝金鑰。

會將加密的資料金鑰從加密的訊息 AWS Encryption SDK 傳遞至金鑰圈，並要求金鑰圈解密其中的任何一個。keyring 使用其包裝金鑰來解密其中一個加密的資料金鑰，並傳回純文字資料金鑰。 AWS Encryption SDK 使用純文字金鑰來解密資料。如果 keyring 中沒有任何包裝金鑰可以解密任何加密的資料金鑰，則解密操作會失敗。

您可以使用單一 keyring，也可以將相同類型或不同類型的 keyring 結合成多重 keyring。當您加密資料時，多重 keyring 會傳回由所有包裝金鑰 (在構成多重 keyring 的所有 keyring 中) 所加密的資料金鑰的副本。您可以使用包含多重金鑰圈中任何一個包裝金鑰的金鑰圈來解密資料。