使用 AWS KMS 加密开发工具包 - MultipleProviderFactory,可以将来自不同区域的多个 CMK 合并为单个主 key 提供程序,第一个 CMK 用于生成数据 key ,其他 CMK 仅用于加密数据 key 。这有助于使用本地 KMS 端点进行解密。
如果第一个 CMK 的 Region 宕机并且没有生成数据 key ,会不会失败,因为第一个 CMK 是生成数据 key 的 CMK?有什么解决方案或解决方法吗??
最佳答案
基于 Greg 在另一个 AWS 论坛上的回答 此回复来自本博文的作者 Greg:
“这是正确的。如果第一个区域无法生成数据 key ,或者任何其他区域无法加密数据 key ,则加密将会失败。这是一个有意的设计决策,因为否则您可能会得到密文无法用所有预期的 key 解密。解密时,所需要的只是任何一个主 key 可用并且能够解密。
格雷格”
关于amazon-web-services - AWS KMS 多区域,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42475578/