AWS KMS: CMK vs Data Key уточняющий вопрос

Question

Я новичок в AWS, и я надеялся, что кто-нибудь сможет прояснить мне кое-что относительно шифрования.

Я читал документ AWS о шифровании Amazon EBS, и в этом документе под section « Как работает шифрование EBS » Я заметил, что одним из шагов является « Amazon EBS отправляет запрос GenerateDataKeyWithoutPlaintext на AWS KMS, указывая CMK, который будет использоваться для шифрования тома »

Разве CMK не должна шифровать ключ данных, который затем используется для шифрования тома? Это связано с тем, что CMK не может зашифровать данные размером более 4 КБ.

Как я понимаю, CMK (находящийся в KMS) будет шифровать ключ данных, имеют ограничение размера, установленное CMK, и тогда ключ данных будет шифровать том экземпляра EC2 и находиться на том же зашифрованном томе, потому что сам ключ данных также зашифрован.

Я неправильно понял этот шаг ?

Ссылка на документ: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html?icmpid=docs_ec2_console

Заранее спасибо!

Answer 1

Да, вы правы, что ключ данных будет использоваться для шифрования тома [а сам CMK не будет использоваться напрямую]. Я считаю, что приведенное вами утверждение:

Amazon EBS отправляет запрос GenerateDataKeyWithoutPlaintext на AWS KMS, указывая CMK, который вы выбрали для шифрования тома.

можно интерпретировать как: EBS вызывает API GenerateDataKeyWithoutPlaintext, и для получения ключа данных от KMS EBS необходимо указать CMK. KeyId - это обязательный параметр для GenerateDataKeyWithoutPlaintext API. Я считаю, что следующий шаг (указанный ниже) в документе действительно заявляет об этом и устраняет путаницу.

AWS KMS генерирует новый ключ данных, шифрует его под CMK который вы выбрали для шифрования тома, и отправляет зашифрованный ключ данных в Amazon EBS для хранения с метаданными тома.

Это AWS Сообщение на форуме очень интересно, если вы хотите знать, почему вызывается GenerateDataKeyWithoutPlaintext вместо GenerateDataKey.