Я новичок в AWS, и я надеялся, что кто-нибудь может что-то прояснить для меня в отношении шифрования.
Я читал документ AWS о шифровании Amazon EBS, и в этом документе в разделе Как работает шифрование EBS я заметил, что одним из шагов является Amazon EBS отправляет запрос GenerateDataKeyWithoutPlaintext в AWS KMS, указание CMK для шифрования тома
Разве CMK не должен шифровать ключ данных, который затем используется для шифрования тома? Это связано с тем, что CMK не может зашифровать данные размером более 4 КБ.
Насколько я понимаю, CMK (сидящий в KMS) будет шифровать ключ данных, который не имеет предельного размера CMK, и ключ данных затем будет шифровать том экземпляра EC2 и сидеть на том же зашифрованный том, потому что сам ключ данных также зашифрован.
Я неправильно понял этот шаг?
Ссылка на документ: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html?icmpid=docs_ec2_console
Заранее спасибо!