aws-encryption-cli与aws kms encrypt/decrypt (aws-cli/2.9.5)的比较

0

【以下的问题经过翻译处理】 如果我比较标题中的两个选项 aws-encryption-cli 和在aws cli中的kms 命令,它们似乎有重叠。换句话说,严格从命令行角度来看,我可以使用 AWS CLI 进行加密和解密,那么使用需要额外安装的 aws-encryption-cli 而不是 aws kms encrypt/decrypt的原因是什么?

profile picture
专家
已提问 6 个月前44 查看次数
1 回答
0

【以下的回答经过翻译处理】 AWS Encryption SDK(ESDK)使用信封加密模式,您的数据在客户端进行加密,也就是在您的应用程序和您的硬件/实例内进行。加密的明文量取决于算法和数据密钥的大小,您可以配置ESDK使用KMS作为密钥提供程序来加密数据迷密钥,但也可以选择本地密钥来加密数据密钥。

使用KMS encrypt API进行加密是在服务器端完成,这意味着您发送明文到KMS,并获得密文作为回应。加密是在已验证的硬件安全模块中安全完成的(符合FIPS 140-2标准)。您可以加密/解密的有效载荷大小有限制(对于对称加密是4,096字节)。

为什么您会选择ESDK而不是KMS,或者反过来?这取决于您的使用场景。如果您有高性能要求(例如延迟,加密数量等),ESDK可能更有优势,因为使用信封加密模式,数据的加密是在您的应用程序中本地完成的,并且ESDK还提供了数据密钥缓存的功能来降低对KMS的调用次数来节省费用和降低延迟。如果您有需要在受信任和已验证的硬件下加密非常敏感的业务数据,则KMS可能更适合您的使用场景。

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则