在调用 AWS Key Management Service (AWS KMS) Encrypt、Decrypt 和 ReEncrypt API 时,我该如何验证是否使用了经过身份验证的加密及关联数据加密?
AWS KMS 提供了一种加密上下文,您可以用它验证 AWS KMS API 调用的真实性及 AWS Decrypt API 所返回的密文的完整性。
要验证使用 AWS KMS API 加密的数据的完整性,您可以在 AWS KMS 加密期间及调用 Decrypt 或 ReEncrypt API 时将键值对组作为加密上下文传递。如果您传递至 Decrypt API 的加密上下文与您传递至 Encrypt 或 ReEncrypt API 的加密上下文相同,则所返回密文的完整性得到保护。
要了解使用加密上下文保护加密数据完整性的更多信息,请参阅 AWS 安全博客 How to protect the integrity of your encrypted data by using AWS KMS and EncryptionContext。