【发布时间】:2020-10-29 11:13:55
【问题描述】:
我是 AWS 的新手,我希望有人可以为我澄清一些关于加密的事情。
我正在阅读有关 Amazon EBS 加密的 AWS 文档,在文档中,在“EBS 加密的工作原理”部分下,我注意到其中一个步骤是“Amazon EBS 发送一个向 AWS KMS 发出 GenerateDataKeyWithoutPlaintext 请求,指定用于加密卷的 CMK"
CMK 不应该加密然后用于加密卷的数据密钥吗?这是因为 CMK 无法加密大小超过 4KB 的数据。
我理解的方式是,CMK(位于 KMS 中)将加密没有 CMK 大小限制的数据密钥,然后数据密钥将加密 EC2 实例的卷并坐在在同一个加密卷上,因为数据密钥本身也是加密的。
我没有正确理解这一步吗?
文档链接:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html?icmpid=docs_ec2_console
【问题讨论】:
标签: amazon-ec2 amazon-ebs amazon-kms