本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS KMS 階層式 keyring 技術詳細資訊 [AWS KMS 階層式 keyring](use-hierarchical-keyring.md) 使用不必要資料金鑰來加密每個訊息,並使用衍生自作用中分支金鑰的唯一包裝金鑰來加密每個資料金鑰。它使用計數器模式中的[金鑰衍生](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-108r1.pdf)搭配 HMAC SHA-256 的虛擬隨機函數,來衍生具有下列輸入的 32 位元組包裝金鑰。 + 16 位元組隨機 salt + 作用中分支金鑰 + 金鑰提供者識別符 "aws-kms-hierarchy" [的 UTF-8 編碼](https://en.wikipedia.org/wiki/UTF-8)值 階層式 keyring 使用衍生的包裝金鑰,使用 AES-GCM-256 搭配 16 位元組身分驗證標籤和下列輸入來加密純文字資料金鑰的副本。 + 衍生的包裝金鑰會用作 AES-GCM 密碼金鑰 + 資料金鑰用作 AES-GCM 訊息 + 12 位元組隨機初始化向量 (IV) 用作 AES-GCM IV + 包含下列序列化值的其他已驗證資料 (AAD)。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/encryption-sdk/latest/developer-guide/hierarchical-keyring-details.html)