Мультирегиональная стратегия для KMS

Идея SDK для шифрования заключается в использовании шифрования конверта. Таким образом, каждый раз, когда вы шифруете сообщение или данные, SDK создает случайный ключ данных для этого сообщения и использует его для шифрования тела сообщения. Затем он шифрует сам ключ со ВСЕМИ вашими провайдерами и включает эти зашифрованные ключи в заголовок сообщения.

Если любую из этих форм ключа можно расшифровать из заголовка, пакет SDK может получить ключ данных и использовать его для расшифровки тела сообщения.

Итак, первый вопрос: он шифрует их всеми и расшифровывает любым из них. Я не знаю фактической логики того, как он выбирает поставщика для расшифровки, но, вероятно, это просто в том порядке, в котором они определены в MultipleProviderFactory.

И другое: вы можете зашифровать более 4 КБ (предположим, что 4096 КБ — это опечатка) без каких-либо изменений, поскольку тело шифруется/дешифруется локально с помощью AES. Ограничение в 4 КБ относится только к полезной нагрузке в/из KMS, которая является просто ключом данных.