翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 暗号化
<a name="encrypt-operation"></a>

の基本的な機能は、KMS キーでオブジェクトを暗号化 AWS KMS することです。設計上、 AWS KMS では HSM で低レイテンシーの暗号化オペレーションが提供されます。この結果として、暗号化関数への直接の呼び出しで暗号化できるプレーンテキストの量には 4 KB という制限があります。を使用して、より大きなメッセージを暗号化 AWS Encryption SDK できます。 コマンドを認証すると、 は AWS KMS KMS キーに関連する現在のアクティブな EKT を取得します。EKT は、プレーンテキストと暗号化コンテキストとともに、リージョン内の利用可能なすべての HSM に渡されます。これらは、 AWS KMS ホストとドメイン内の HSM の間で認証されたセッションを介して送信されます。

HSM では、次の操作を実行します。

1. EKT を復号化し、*HBK = Decrypt(DKi, EKT)* を取得します。

1. ランダムなノンス *N* を生成します。

1. *HBK* および *N* から、256 ビットの AES-GCM 導出暗号化キー *K* を取得します。

1. プレーンテキスト *ciphertext = Encrypt(K, context, plaintext)* を暗号化します。

暗号文の値が返され、プレーンテキストのデータも暗号文も AWS インフラストラクチャのどこにも保持されません。*暗号文*、暗号化コンテキスト、KMS キーを使用する権限がない場合、基礎となるプレーンテキストを返すことはできません。