Я запутался в том, как aws-kms выбирает, какой ключ использовать для расшифровки зашифрованного текста?
aws-kms
При вызове метода расшифровки информация о ключе не предоставляется.
При шифровании KMS сохраняет информацию CMK в ciphertextblob (CiphertextBlob: Ciphertext, включая метаданные) в качестве метаданных.Таким образом, при вызове расшифровки KMS знает, какой CMK использовать.
Подробнее в: https://d1.awsstatic.com/whitepapers/aws-kms-best-practices.pdf https://docs.aws.amazon.com/cli/latest/reference/kms/encrypt.html