KMS 的多區域策略

Question

我正在嘗試為使用 dynamodb 全局表的 lambda 實施多區域策略。

我想使用 KMS 對 userId 和 pin 進行客戶端加密。 如何為 KMS 實施多區域策略。 我發現這個例子討論了相同的https://aws.amazon.com/blogs/security/how-to-use-the-new-aws-encryption-sdk-to-simplify-data-encryption-and-improve -應用可用性/

這是否意味着我必須在我部署 lambda 的所有區域中創建 KMS 密鑰（延遲）？

問題1：如果是這樣，如果我在MultipleProviderFactory中提供多個區域，它使用哪個密鑰來加密數據，它使用哪個區域來解密數據？

問題 2：如果我必須加密大於 4096Kb 的數據，這將如何改變？

Answer 1

加密SDK的思路是使用信封加密。 因此，每次您加密消息或數據時，SDK 都會為該消息生成一個隨機數據密鑰，並使用它來加密消息正文。 然后它使用您的所有提供者對密鑰本身進行加密，並將這些加密密鑰包含在消息的 header 中。

只要可以從 header 解密密鑰的 forms 中的任何一個，SDK 就可以檢索數據密鑰並使用它來解密消息正文。

所以第一個問題：它用所有這些加密並用其中任何一個解密。 我不知道它如何選擇解密提供者的實際邏輯，但它可能只是按照它們在 MultipleProviderFactory 中定義的順序。

另一個：您可以加密超過 4KB（猜測“4096Kb”是一個拼寫錯誤）而無需任何更改，因為正文是使用 AES 在本地加密/解密的。 4KB 限制僅適用於進出 KMS 的有效負載，這只是數據密鑰。