使用AWS KMS加密SDK - MultipleProviderFactory,来自不同区域的多个CMK可以组合成单个主密钥提供者,第一个CMK用于生成数据密钥,其他CMK用于加密数据密钥。这有助于使用本地KMS端点进行解密。
如果第一个CMK的Region已经关闭并且没有生成数据键,那么它是否会失败,因为第一个CMK是生成数据键的CMK?任何解决方案或解决方法??
答案 0 :(得分:0)
基于Greg在其他AWS论坛上的回答 本回复来自此博客文章的作者,Greg:
“这是正确的。如果第一个区域无法生成数据密钥,或者任何其他区域无法加密数据密钥,加密将失败。这是一个有意的设计决定,因为否则您最终可能会遇到密文所有预期的密钥都不能解密。当解密时,所需要的只是任何一个主密钥都可用并且能够解密。
格雷格“
答案 1 :(得分:0)
对于那些仍在寻找这个的人,AWS 已经发布了多区域 KMS 密钥。这是news.
这是他们documentation的摘录。
<块引用>AWS KMS 支持多区域密钥,即不同 AWS 区域中的客户主密钥 (CMK),可以互换使用——就好像您在多个区域拥有相同的密钥一样。每组相关的多区域密钥都具有相同的密钥材料和密钥 ID,因此您可以在一个 AWS 区域中加密数据并在不同的 AWS 区域中对其进行解密,而无需重新加密或跨区域调用 AWS KMS。< /p>