Вопрос № 0: в консоли AWS отображаются ключи, управляемые AWS, и ключи, управляемые клиентом; он не отображает CMK, принадлежащие AWS, как элемент в списке. Согласно документации, клиенты не могут просматривать или управлять AWS СМК в собственности. Однако в управляемых ключах AWS я вижу ключи, которые не были созданы мной явно или неявно. В частности, я вижу этот ключ с псевдонимом aws/dynamodb. Когда я создавал таблицы DynamoDB, я использовал настройки по умолчанию, что означает, что он будет использовать CMK, принадлежащие AWS, для шифрования в состоянии покоя. Означает ли это, что aws/dynamodb является CMK, принадлежащим AWS? Это немного двусмысленно. Есть ли в aws kms describe-key поле, отображающее тип?
Параметр по умолчанию в us-east-1 — CMK, принадлежащий AWS.
Вопрос № 1. Помимо политики ротации, владения и стоимости, есть ли принципиальное различие в том, как CMK, принадлежащие AWS, шифруют/расшифровывают данные по сравнению с CMK, управляемыми AWS?
Вопрос № 2. Согласно документации, использование CMK, принадлежащего AWS, не ограничивается одной конкретной учетной записью. Это означает, что существует вероятность того, что AWS использует один и тот же CMK для нескольких разных учетных записей. Верно ли это понимание?
Вопрос 3. Какие сервисы, помимо DynamoDB, используют принадлежащие AWS ключи CMK для шифрования в состоянии покоя? На картинке я вижу еще несколько ключей, и это соответствующие сервисы, которые я пробовал.
Цените любую помощь. Заранее спасибо.
