本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Key Management Service
Amazon Key Management Service(Amazon KMS) 使您能够轻松创建和管理密钥以及控制各种加密的使用Amazon服务和您的应用程序中。Amazon KMS是一项安全且有弹性的服务,它使用硬件安全模块来保护您的密钥。Amazon KMS已与集成Amazon CloudTrail为您提供所有密钥使用情况的日志,以满足您的监管和合规需求。
区域可用性
Amazon Key Management Service 在中国的以下区域中可用:
-
北京区域
-
宁夏区域
功能可用性和实现差异
Amazon Web Services 在中国实施的Amazon Key Management Service在以下方面是独一无二的:
-
硬件安全模块 (HSM)Amazon KMS在中国区域用于保护 KMS 密钥的使用符合所有相关的中国法规。Amazon KMS使用 OSCCA 认证的 HSM 来保护中国区域的 KMS 密钥。但是,中国区域的 KMS HSM 尚未根据以下规定进行验证FIPS 140-2 加密模块验证计划
。 -
该功能允许您导入密钥材料变成一个Amazon KMSkey 仅支持在中国区域导入对称密钥材料。密钥材料必须是 128 位对称加密密钥。中国区域不支持导入非对称密钥和 HMAC 密钥。
-
自定义密钥存储功能不适用于中国区域。
以下自定义密钥存储管理 API 不受支持:
-
ConnectCustomKeyStore
-
CreateCustomKeyStore
-
DeleteCustomKeyStore
-
DescribeCustomKeyStores
-
DisconnectCustomKeyStore
-
UpdateCustomKeyStore
如果你尝试使用这些 API,你会得到一个UnknownOperationException例外。
-
-
Amazon与之集成的服务Amazon KMS在其他Amazon即使这些服务在中国区域中可用,也可能无法集成到中国区域。查找与之集成的服务列表Amazon KMS在中国区域中,请参阅Amazon服务集成
。 -
的Amazon KMS密码学细节
中讨论的文档Amazon Key Management Service《开发人员指南》没有描述的实现Amazon KMS在中国地区。 -
混合后量子 TLS 功能,使您能够使用混合后量子 TLS 密钥交换算法来处理您的请求Amazon KMS,不适用于中国区域。
-
Amazon KMS支持中国区域的终端节点的传输层安全 (TLS) 1.0—1.3。
-
多区域密钥不适用于中国区域。您无法在 aws-cn 分区中创建多区域主键或多区域副本密钥。因此,不支持以下 API:
-
ReplicateKey
-
UpdatePrimaryRegion
-
指南和参考
中国亚马逊 Web Services 用户指南有 HTML 和 PDF 版本,有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考都适用于北京和宁夏区域。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意,指南和参考文献中描述的某些特性和功能可能在当前的 Amazon Web Services 中国版本中不可用。
有关中国亚马逊 Web Services 的一般信息
以下信息适用于中国地区提供的所有 Amazon Web 服务。
中国地区的亚马逊 Web Services 账户
要使用北京和宁夏区域的服务,您必须拥有特定于北京和宁夏的账户和证书。
-
其他人的账户和凭证Amazon区域不适用于运行于北京和宁夏地区的服务。
-
北京和宁夏区域的账户和凭证不适用于其他区域Amazon区域。
-
有关更多信息,请参阅注册、账户和证书:
中国亚马逊 Web Services 的域名
中国亚马逊网络服务(Amazon Web Services)的域名是www.amazonaws.cn
。
终端节点和 Amazon 资源名称 (ARN)
要了解中国亚马逊云服务(Amazon Web Services)中的终端节点和 ARN,请参阅中国亚马逊 Web Services 的终端节点和 ARN。
中国区域的可用区
-
在北京区域,有三个可用区。
-
在宁夏区域,有三个可用区。
中国亚马逊 Web Services 的一般信息
以下内容适用于中国地区提供的所有 Amazon Web 服务。有关特定 Amazon Web Services 的详细信息,请参阅本指南中的特定服务主题。
-
Amazon Identity and Access Management (IAM)
-
您可以使用
Principal
策略元素授予或拒绝服务对资源的访问。 -
服务委托人值因区域而异。
-
-
EC2-Classic 平台
-
不支持 EC2-Classic 平台。
-
-
免费使用套餐
-
宁夏区域支持免费使用套餐。
-
北京地区不支持免费使用套餐。
-
亚马逊 Web Services 控制台
中国亚马逊云服务(Amazon Web Services)的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。
代码示例
Amazon Web Services 文档可能在非北京和宁夏区域特有的代码示例中包含终端节点和 ARN。使用示例时,请确认您使用的是适用于您的区域的终端节点和 ARN。