Предполагается, что шифрование базы защищает от вмешательства админов облака, но без доли веры никуда, это да. Поэтому амазон и сертифицируется по PCI DSS, чтобы сказать, что "вы можете нам доверять". Стоит ли, это уже другой вопрос
Ну, там нужно не просто шифрование базы (с него толку мало), а сложные политики доступа к этим ключам (они не должны быть в доступе у одного сотрудника, нужен или HSM или шамир, но все это сильно усложняет деплой и делает невозможной автоматизацию).