使用AWS KMS在应用程序级别加密Postgres列

Question

问题

我需要将加密数据存储在Postgres列中。

我知道 pgcrypto ，但是我以前没有使用过，我没有使用过''' T有很多时间来研究和理解它（考虑到我将存储在列中的数据，我想这是我想要的）。

但是，我确实对 aws kms kms 。

我的阻力最小的直接路径是在应用级别处理加密。

建议的解决方案

• 使用KMS SDK加密纯文本数据。
• 通过ORM将加密数据保存到列中。
• 通过ORM从数据库中检索加密的数据。
• 使用KMS SDK解密加密数据。

钥匙将使用EC2 IAM角色在KWS中固定。

很高兴知道：

• 这个特定表不经常查询，因此在这种情况下，性能并不是我最大的关注点。
• 我的需求比简单地使用RDS使用加密更具体。

问题：

• 以这种方式处理数据库数据的加密有潜在的缺陷吗？