本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS KMS 分层钥匙圈技术细节 [AWS KMS 分层密钥环](use-hierarchical-keyring.md)使用唯一的数据密钥来加密每条消息,并使用源自活动分支密钥的唯一包装密钥对每个数据密钥进行加密。它使用计数器模式下的[密钥派生](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-108r1.pdf)和带有 HMAC SHA-256 的伪随机函数,通过以下输入推导出 32 字节的包装密钥。 + 一个 16 字节的随机加密盐 + 活动分支密钥 + 密钥提供商标识符 “aws-kms-hierarchy” 的[UTF-8 编码](https://en.wikipedia.org/wiki/UTF-8)值 分层密钥环使用派生的包装密钥使用 AES-GCM-256 带有 16 字节身份验证标签和以下输入的纯文本数据密钥副本进行加密。 + 派生的包装密钥用作 AES-GCM 密码密钥 + 数据密钥用作 AES-GCM 消息 + 使用 12 字节的随机初始化向量 (IV) 作为 AES-GCM IV + 包含以下序列化值的其他额外验证数据(AAD)。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/encryption-sdk/latest/developer-guide/hierarchical-keyring-details.html)