Amazon Key Management Service - 中国亚马逊 Web Services 入门
区域可用性功能可用性和实现差异指南和参考有关中国亚马逊 Web Services 的一般信息
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Key Management Service

Amazon Key Management Service(Amazon KMS) 使您能够轻松创建和管理密钥以及控制各种加密的使用Amazon服务和您的应用程序中。Amazon KMS是一项安全且有弹性的服务,它使用硬件安全模块来保护您的密钥。Amazon KMS已与集成Amazon CloudTrail为您提供所有密钥使用情况的日志,以满足您的监管和合规需求。

区域可用性

Amazon Key Management Service 在中国的以下区域中可用:

  • 北京区域

  • 宁夏区域

功能可用性和实现差异

Amazon Web Services 在中国实施的Amazon Key Management Service在以下方面是独一无二的:

  • 硬件安全模块 (HSM)Amazon KMS在中国区域用于保护 KMS 密钥的使用符合所有相关的中国法规。Amazon KMS使用 OSCCA 认证的 HSM 来保护中国区域的 KMS 密钥。但是,中国区域的 KMS HSM 尚未根据以下规定进行验证FIPS 140-2 加密模块验证计划

  • 该功能允许您导入密钥材料变成一个Amazon KMSkey 仅支持在中国区域导入对称密钥材料。密钥材料必须是 128 位对称加密密钥。中国区域不支持导入非对称密钥和 HMAC 密钥。

  • 自定义密钥存储功能不适用于中国区域。

    以下自定义密钥存储管理 API 不受支持:

    • ConnectCustomKeyStore

    • CreateCustomKeyStore

    • DeleteCustomKeyStore

    • DescribeCustomKeyStores

    • DisconnectCustomKeyStore

    • UpdateCustomKeyStore

    如果你尝试使用这些 API,你会得到一个UnknownOperationException例外。

  • Amazon与之集成的服务Amazon KMS在其他Amazon即使这些服务在中国区域中可用,也可能无法集成到中国区域。查找与之集成的服务列表Amazon KMS在中国区域中,请参阅Amazon服务集成

  • Amazon KMS密码学细节中讨论的文档Amazon Key Management Service《开发人员指南》没有描述的实现Amazon KMS在中国地区。

  • 混合后量子 TLS 功能,使您能够使用混合后量子 TLS 密钥交换算法来处理您的请求Amazon KMS,不适用于中国区域。

  • Amazon KMS支持中国区域的终端节点的传输层安全 (TLS) 1.0—1.3。

  • 多区域密钥不适用于中国区域。您无法在 aws-cn 分区中创建多区域主键或多区域副本密钥。因此,不支持以下 API:

    • ReplicateKey

    • UpdatePrimaryRegion

指南和参考

中国亚马逊 Web Services 用户指南有 HTML 和 PDF 版本,有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考都适用于北京和宁夏区域。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意,指南和参考文献中描述的某些特性和功能可能在当前的 Amazon Web Services 中国版本中不可用。

有关中国亚马逊 Web Services 的一般信息

以下信息适用于中国地区提供的所有 Amazon Web 服务。

中国地区的亚马逊 Web Services 账户

要使用北京和宁夏区域的服务,您必须拥有特定于北京和宁夏的账户和证书。

  • 其他人的账户和凭证Amazon区域不适用于运行于北京和宁夏地区的服务。

  • 北京和宁夏区域的账户和凭证不适用于其他区域Amazon区域。

  • 有关更多信息,请参阅注册、账户和证书

中国亚马逊 Web Services 的域名

中国亚马逊网络服务(Amazon Web Services)的域名是www.amazonaws.cn

终端节点和 Amazon 资源名称 (ARN)

要了解中国亚马逊云服务(Amazon Web Services)中的终端节点和 ARN,请参阅中国亚马逊 Web Services 的终端节点和 ARN

中国区域的可用区

  • 在北京区域,有三个可用区。

  • 在宁夏区域,有三个可用区。

中国亚马逊 Web Services 的一般信息

以下内容适用于中国地区提供的所有 Amazon Web 服务。有关特定 Amazon Web Services 的详细信息,请参阅本指南中的特定服务主题。

  • Amazon Identity and Access Management (IAM)

    • 您可以使用 Principal 策略元素授予或拒绝服务对资源的访问。

    • 服务委托人值因区域而异。

  • EC2-Classic 平台

    • 不支持 EC2-Classic 平台。

  • 免费使用套餐

    • 宁夏区域支持免费使用套餐。

    • 北京地区不支持免费使用套餐。

亚马逊 Web Services 控制台

中国亚马逊云服务(Amazon Web Services)的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。

代码示例

Amazon Web Services 文档可能在非北京和宁夏区域特有的代码示例中包含终端节点和 ARN。使用示例时,请确认您使用的是适用于您的区域的终端节点和 ARN。