本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密
<a name="encrypt-operation"></a>

的基本函數 AWS KMS 是在 KMS 金鑰下加密物件。根據設計， AWS KMS 在 HSM 上提供低延遲的密碼編譯操作。因此，在對函數進行加密的直接呼叫中，對可以加密的純文字量限制為 4 KB。 AWS Encryption SDK 可用來加密較大的訊息。在驗證命令之後 AWS KMS， 會取得與 KMS 金鑰相關的目前作用中 EKT。它會將 EKT 連同純文字和加密內容傳遞給區域中任何可用的 HSM。這些會透過 AWS KMS 主機與網域中的 HSM 之間的已驗證工作階段傳送。

HSM 會執行下列項目：

1. 解密 EKT 以取得 *HBK = Decrypt(DKi, EKT)*。

1. 產生隨機 nonce *N*。

1. 從 *HBK* 和 *N* 衍生 256 位元 AES-GCM 衍生的加密金鑰 *K*。

1. 加密純文字 *ciphertext = Encrypt(K, context, plaintext)*。

加密文字值會傳回給您，而純文字資料或加密文字都不會保留在 AWS 基礎設施中的任何位置。如果沒有擁有*加密文字*和加密內容，以及使用 KMS 金鑰的授權，則無法傳回基礎純文字。