Amazon Key Management Service - 中国亚马逊 Web Services 入门
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Key Management Service

Amazon Key Management Service (Amazon KMS) 使您可以轻松地创建和管理密钥,并控制各种 Amazon 服务和应用程序中加密的使用。 Amazon KMS 是一项安全且有弹性的服务,它使用硬件安全模块来保护您的密钥。 Amazon KMS 与集成 Amazon CloudTrail ,为您提供所有密钥使用情况的日志,以帮助满足您的监管和合规需求。

区域可用性

Amazon Key Management Service 在中国的以下区域中可用:

  • 北京区域

  • 宁夏区域

功能可用性和实现差异

Amazon Web Services 在中国实施 Amazon Key Management Service 的独特之处在于:

    • Amazon KMS 用于在中国区域保护 KMS 密钥的硬件安全模块 (HSMs) 符合所有相关的中国法规。 Amazon KMS 使用 OSCCA 认证 HSMs 来保护中国区域的 KMS 密钥。但是,中国 HSMs 地区的 KMS 尚未通过 FIPS 140-2 加密模块验证计划进行验证。

  • 要将密钥材料导入中国区域的对称加密 Amazon KMS 密钥,密钥材料必须是 128 位的二进制数据。 Amazon KMS 支持中国地区的 SM2 PKE 包装算法,用于包装导入的 RSA、ECC 和密钥材料。 SM2

  • 自定义密钥存储功能在中国区域不可用。

    不支持以下自定义密钥库管理 APIs :

    • ConnectCustomKeyStore

    • CreateCustomKeyStore

    • DeleteCustomKeyStore

    • DescribeCustomKeyStores

    • DisconnectCustomKeyStore

    • UpdateCustomKeyStore

    如果您尝试使用这些 APIs,则会出现异UnknownOperationException常。

  • Amazon 与其他 Amazon KMSAmazon 地区集成的服务可能无法集成到中国区域,即使这些服务在中国地区可用。要查找在中国区域 Amazon KMS 中与之集成的服务列表,Amazon 请参阅服务集成。

  • 《 Amazon Key Management Service 开发者指南》中讨论的Amazon KMS 加密详细信息文档并未描述在中国 Amazon KMS 地区的实施情况。

  • 混合后量子 TLS 功能在中国地区不可用,该功能允许您使用混合后量子 TLS 密钥交换算法来 Amazon KMS处理您的请求。

  • Amazon KMS 支持中国区域终端节点的传输层安全 (TLS) 1.0—1.3。

  • 您可以使用多区域密钥功能在中国区域分区 () aws-cn 内复制 KMS 密钥。

    • 您可以将主键从中国(北京)复制到中国(宁夏),也可以反过来复制。将密钥从一个中国地区复制到另一个中国地区,即表示您同意使用该 Amazon Key Management Service 地区的密钥并遵守该地区的所有适用协议条款。

    • 您不能将主键从中国(北京)或中国(宁夏)区域复制到中国区域分区之外的区域。同样,您不能将密钥从中国区域分区以外的区域复制到北京和宁夏区域。

    • 在中国区域 Amazon KMS ,支持 SM2 密钥交换协议 SM2 (KEP),将多区域主密钥从一个中国区域安全复制到另一个中国区域。

指南和参考

中国的 Amazon Web Services 用户指南有 HTML 和 PDF 版本,有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考在北京和宁夏区域都可用。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意,指南和参考资料中描述的某些特性和功能可能无法在当前的 Amazon Web Services 中国版本中提供。

关于中国亚马逊 Web Services 的一般信息

以下信息适用于在中国地区提供的所有 Amazon Web Services。

中国地区的亚马逊 Web Services 账户

要在北京和宁夏区域使用服务,您需要一个账户和每个区域的专属证书。

  • 其他 Amazon 地区的账户和凭证不适用于在北京和宁夏区域运营的服务。

  • 北京和宁夏区域的账户和凭证不适用于其他 Amazon 区域。

  • 有关更多信息,请参阅 注册、账户和证书

中国亚马逊 Web Services 的域名

中国 Amazon Web Services 的域名www.amazonaws.cn是。

终端节点和 Amazon 资源名称 (ARNs)

有关终端节点和 ARNs 中国的 Amazon Web Services 的信息,终端节点和 ARNs 适用于中国的 Amazon Web Services请参阅。

中国区域的可用区

  • 在北京区域,有三个可用区。

  • 在宁夏区域,有三个可用区。

中国亚马逊 Web Services 的一般信息

以下内容适用于在中国地区提供的所有 Amazon Web Services。有关特定 Amazon Web Services 的详细信息,请参阅本指南中的特定服务主题。

  • Amazon Identity and Access Management (IAM)

    • 您可以使用 Principal 策略元素授予或拒绝服务对资源的访问。

    • 服务委托人值因区域而异。

  • EC2-经典平台

    • 不支持 EC2-经典平台。

  • 免费使用套餐

    • 宁夏区域支持免费使用套餐。

    • 北京地区不支持免费使用套餐。

亚马逊 Web Services 控制台

中国 Amazon Web Services 的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。

代码示例

Amazon Web Services 文档可能包括非北京和 ARNs 宁夏区域特有的终端节点和代码示例。使用示例时,请确认您使用的是您所在地区的终端节点和 ARNs 终端节点。