Чтобы приложение могло читать значения хранилища параметров, мне нужно дать ему разрешение на это, и если используются безопасные строковые значения, приложению / потребителю также необходим доступ к ключу KMS, которым они были зашифрованы.
Но какой смысл использовать безопасные строки, если я уже должен явно разрешить доступ к значению в первую очередь, если я позволю вам запросить параметр, я, конечно, также разрешу вам расшифровать его.Кроме того, значения фактически возвращаются расшифрованному запрашивающей стороне, если у них есть доступ к ключу KMS, и они запрашиваются «с расшифровкой», так что это также не касается безопасности в полете.
Для справки:
https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html https://aws.amazon.com/blogs/mt/the-right-way-to-store-secrets-using-parameter-store/
Это тот же вариант использования для шифрования томов EBS.Это препятствует тому, чтобы сотрудники Amazon или кто-либо, кто украл оборудование или что-то подобное, не имели доступа к вашим конфиденциальным материалам.