Amazon web services 为什么即使禁用KMS密钥，我仍然能够在EC2中读取加密的EBS卷数据？

我正在尝试验证AWS中EBS卷的数据加密。我用KMS密钥加密了一个EBS卷，并将其装载到EC2实例上。我在这个卷中有一些文件，我希望如果我禁用KMS密钥，我将无法读取EBS卷中的文件，但这不会发生。我猜可能是在将EBS卷连接到EC2实例时，我们需要密钥。之后，即使我们禁用了密钥，我们仍然能够读取数据。我的理解正确吗？

来自：

对于每个卷，Amazon EBS要求AWS KMS生成一个在您指定的CMK下加密的唯一数据密钥。Amazon EBS将加密的数据密钥存储在卷中。然后，当您将卷附加到Amazon EC2实例时，Amazon EBS调用AWS KMS来解密数据密钥。AmazonEBS使用虚拟机监控程序内存中的明文数据密钥加密卷的所有磁盘I/O

实例实际上只在启动并附加卷以解密数据密钥时调用KMS一次。之后，它会将其保存在内存中，因为每次调用KMS都需要很长时间。因此，只要实例正在运行，使用密钥执行什么操作都不重要

我的假设是，每当您停止并启动实例或将卷附加到另一个实例时，都会出现故障，因为它会尝试从KMS获取密钥

---

有关更多详细信息，我建议您查看。

将卷附加到EC2实例时，EBS调用AWS KMS对数据密钥进行解密。EBS还将加密的数据密钥存储在卷中。如果分离卷，然后尝试重新连接，会发生什么情况？如果禁用KMS密钥，它将不会连接。很好，这是我对其工作原理的理解。谢谢你的确认。