本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Key Management Service
<a name="kms"></a>

 Amazon Key Management Service (Amazon KMS) 使您可以轻松地创建和管理密钥，并控制各种 Amazon 服务和应用程序中加密的使用。 Amazon KMS 是一项安全且有弹性的服务，它使用硬件安全模块来保护您的密钥。 Amazon KMS 与集成 Amazon CloudTrail ，为您提供所有密钥使用情况的日志，以帮助满足您的监管和合规需求。

**Topics**
+ [区域可用性](#feature-regions)
+ [功能可用性和实现差异](#feature-diff)
+ [指南和参考](#feature-guides)
+ [关于中国亚马逊 Web Services 的一般信息](#general-info)

## 区域可用性
<a name="feature-regions"></a>

Amazon Key Management Service 在中国的以下区域中可用：
+ 北京区域
+ 宁夏区域

## 功能可用性和实现差异
<a name="feature-diff"></a>

Amazon Web Services 在中国实施 Amazon Key Management Service 的独特之处在于：
+ 
  +  Amazon KMS 用于在中国区域保护 KMS 密钥的硬件安全模块 (HSMs) 符合所有相关的中国法规。 Amazon KMS 使用 OSCCA 认证 HSMs 来保护中国区域的 KMS 密钥。但是，中国 HSMs 地区的 KMS 尚未通过 [FIPS 140-2 加密](https://csrc.nist.gov/projects/cryptographic-module-validation-program/)模块验证计划进行验证。
+ 要将[密钥材料导](/kms/latest/developerguide/importing-keys.html)入中国区域的对称加密 Amazon KMS 密钥，密钥材料必须是 128 位的二进制数据。 Amazon KMS 支持中国地区的 SM2 PKE 包装算法，用于包装导入的 RSA、ECC 和密钥材料。 SM2 
+ 自定义密钥存储功能在中国区域不可用。

  不支持以下自定义密钥库管理 APIs ：
  + ConnectCustomKeyStore
  + CreateCustomKeyStore
  + DeleteCustomKeyStore
  + DescribeCustomKeyStores
  + DisconnectCustomKeyStore
  + UpdateCustomKeyStore

  如果您尝试使用这些 APIs，则会出现异*UnknownOperationException*常。
+ [Amazon 与其他 Amazon KMSAmazon 地区集成的服务](https://docs.amazonaws.cn/kms/latest/developerguide/service-integration.html)可能无法集成到中国区域，即使这些服务在中国地区可用。要查找在中国区域 Amazon KMS 中与之集成的服务列表，[Amazon 请参阅服务](https://www.amazonaws.cn/kms/features/#AWS_Service_Integration)集成。
+ 《 Amazon Key Management Service 开发者指南》中讨论的[Amazon KMS 加密详细信息](https://docs.aws.amazon.com/kms/latest/cryptographic-details/)文档并未描述在中国 Amazon KMS 地区的实施情况。
+ 混合后量子 TLS 功能在中国地区不可用，该功能允许您使用混合后量子 TLS 密钥交换算法来 Amazon KMS处理您的请求。
+ Amazon KMS 支持中国区域终端节点的传输层安全 (TLS) 1.0—1.3。
+ 您可以使用[多区域密钥功能在中国区域](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)分区 () `aws-cn` 内复制 KMS 密钥。
  + 您可以将主键从中国（北京）复制到中国（宁夏），也可以反过来复制。将密钥从一个中国地区复制到另一个中国地区，即表示您同意使用该 Amazon Key Management Service 地区的密钥并遵守该地区的所有适用协议条款。
  + 您不能将主键从中国（北京）或中国（宁夏）区域复制到中国区域分区之外的区域。同样，您不能将密钥从中国区域分区以外的区域复制到北京和宁夏区域。
  + 在中国区域 Amazon KMS ，支持 SM2 密钥交换协议 SM2 (KEP)，将多区域主密钥从一个中国区域安全复制到另一个中国区域。
+ ML-DSA 后量子签名算法在中国地区不可用。

## 指南和参考
<a name="feature-guides"></a>

中国的 Amazon Web Services 用户指南有 HTML 和 PDF 版本，有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前，并非所有 API 参考在北京和宁夏区域都可用。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意，指南和参考资料中描述的某些特性和功能可能无法在当前的 Amazon Web Services 中国版本中提供。
+  [Amazon Key Management Service 开发人员指南](https://docs.amazonaws.cn/kms/latest/developerguide/) 
+  [Amazon Key Management Service API 引用](https://docs.amazonaws.cn/kms/latest/APIReference/) 

## 关于中国亚马逊 Web Services 的一般信息
<a name="general-info"></a>

 以下信息适用于在中国地区提供的所有 Amazon Web Services。

 **中国地区的亚马逊 Web Services 账户** 

 要在北京和宁夏区域使用服务，您需要一个账户和每个区域的专属证书。
+ 其他 Amazon 地区的账户和凭证不适用于在北京和宁夏区域运营的服务。
+ 北京和宁夏区域的账户和凭证不适用于其他 Amazon 区域。
+ 有关更多信息，请参阅 [注册、账户和证书](accounts-and-credentials.md)。

 **中国亚马逊 Web Services 的域名** 

 中国 Amazon Web Services 的域名**`www.amazonaws.cn`**是。

 **终端节点和 Amazon 资源名称 (ARNs)** 

 有关终端节点和 ARNs 中国的 Amazon Web Services 的信息，[终端节点和 ARNs 适用于中国的 Amazon Web Services](endpoints-arns.md)请参阅。

 **中国区域的可用区** 
+ 在北京区域，有三个可用区。
+ 在宁夏区域，有三个可用区。

 **中国亚马逊 Web Services 的一般信息** 

 以下内容适用于在中国地区提供的所有 Amazon Web Services。有关特定 Amazon Web Services 的详细信息，请参阅本指南中的特定服务主题。
+ Amazon Identity and Access Management (IAM)
  + 您可以使用 `Principal` 策略元素授予或拒绝服务对资源的访问。
  + 服务委托人值因区域而异。
+ 免费使用套餐
  + 有关中国地区的免费套餐优惠和可用性的信息，[请参阅 Amazon Web Services 中国地区免费](https://www.amazonaws.cn/en/free)套餐。

 **亚马逊 Web Services 控制台** 

 中国 Amazon Web Services 的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息，请参阅本指南中针对各项服务的主题。

 **代码示例** 

 Amazon Web Services 文档可能包括非北京和 ARNs 宁夏区域特有的终端节点和代码示例。使用示例时，请确认您使用的是您所在地区的终端节点和 ARNs 终端节点。