KEK (Key Encryption Key) — промежуточный ключ в схеме BYOK. Роль в системе:
- Выводится из мастер-ключа с учётом контекста
- Используется для шифрования DEK
- Разный для разных типов данных
- Не хранится — генерируется при необходимости
Схема: Мастер-ключ (в KMS) → KEK (производный) → DEK (для данных). Компрометация KEK не даёт доступа к другим данным.
Подробнее в базе знаний
Читать в справке →