Encryption 使用AWS KMS管理的客户主密钥是否提供端到端加密？

选项1：如果是，是否提供端到端加密

---

选项2：或者，我们是否必须这样做，以便只有客户端可以解密其数据？

更新：KMS不是不对称的，尽管您可以使用信封加密从CMK生成数据密钥。密钥是在物理HSM上生成的，因此无法从外部访问。您只需担心对CMK的访问

有关该机制如何工作的详细说明，请查看

---

因此，如果你只担心窃听，这是一个很好的解决办法。如果您正在寻找严格的端到端加密，您可能必须使用KMS也可以帮助您的非对称密钥。

Aws KMS不存储它提供给您两个密钥的任何数据

1普通密钥：在它的帮助下，您可以加密数据并将其删除（密钥）（无需保存在任何地方）

2.加密数据密钥：-您需要保存此密钥以解密数据（要先解密数据，请使用加密数据密钥从aws获得普通密钥），然后在普通密钥的帮助下解密数据

---

因此，加密是在客户端完成的。

最好能获得有关您的用例的更多详细信息。是的，这样做是可能的，但这样做并不能获得信封加密的好处。此外，您正在发送未加密的数据（TLS除外）。如果有人可以访问CMK，那么他们不能解密使用该CMK加密的消息吗？我们只想让用户能够解密他们自己的消息（他们发送或接收的消息）。我们不希望允许AWS帐户（根用户）或AWS支持对任何用户的消息进行解密。请使用定义谁可以使用您的密钥。AWS KMS密钥生成在专用HSA上执行。您甚至可以使用CloudTrail来了解谁使用了您的密钥。调查。这并不能回答我的问题。我想知道选项1是否允许我们这样做，只有用户才能解密他们自己的消息。是还是不是？请编辑你的答案，这样我就可以改变我的投票。不是真的。我们的问题是：是否可以使用选项1实现“只有通信用户才能读取消息”？仅使用KMS的客户端加密，不可以。任何访问CMK的人都可以解密消息。如果您想确保只有用户才能阅读消息，请查看非对称加密选项。