本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
正在访问 Amazon Key Management Service
您可以通过以下 Amazon KMS 方式使用:
Amazon Web Services Management Console
控制台是一个基于 Web 的用户界面,用于 Amazon KMS 管理和 Amazon 资源。如果您已经注册了 Amazon Web Services 账户,则可以通过登录 Amazon Web Services Management Console 并 Amazon KMS 从 Amazon Web Services Management Console 主页上进行选择来访问 Amazon KMS 控制台。
使用 Amazon KMS 控制台所需的权限
要使用 Amazon KMS 控制台,用户必须拥有一组允许他们使用控制台中的 Amazon KMS 资源的最低权限 Amazon Web Services 账户。除这些 Amazon KMS 权限外,用户还必须拥有列出IAM用户和IAM角色的权限。如果创建比必需的最低权限更为严格的 IAM 策略,对于附加了该 IAM 策略的用户, Amazon KMS 控制台将无法按预期正常运行。
有关允许用户对 Amazon KMS 控制台进行只读访问所需的最低权限,请参阅允许用户在 Amazon KMS 控制台中查看KMS密钥。
要允许用户使用 Amazon KMS 控制台创建和管理KMS密钥,请将AWSKeyManagementServicePowerUser托管策略附加到用户,如中所述Amazon 的托管策略 Amazon Key Management Service。
您无需为使用Amazon SDKs
Amazon Command Line Interface
您可以使用这些 Amazon CLI 工具在系统的命令行中发出命令或生成脚本来执行 Amazon (包括 Amazon KMS)任务。
有关 Amazon KMS 通过使用的更多信息 Amazon CLI,请参阅《Amazon CLI 命令参考
Amazon KMS REST API
的架构设计 Amazon KMS 为与编程语言无关,使用 Amazon支持的接口来存储和检索对象。您可以使用 S3 并 Amazon 以编程方式访问 S3 Amazon KMS REST API。 的 REST API 是的HTTP接口 Amazon KMS。使用 REST API,您可以使用标准HTTP请求来创建、获取和删除存储桶和对象。
有关使用的更多信息 Amazon KMS REST API,参见Amazon Key Management Service API参考资料
Amazon SDKs
Amazon 提供SDKs(软件开发套件),其中包括常用编程语言和平台(Java、、C JavaScript、Python 等)的库和示例代码。 Amazon SDKs提供了一种便捷的方式来创建对 Amazon KMS 和的编程访问 Amazon。 Amazon KMS 是一个 REST 服务。你可以 Amazon KMS 使用封装底层 Amazon SDK库的库向发送请求 Amazon KMS REST API 并简化您的编程任务。有关信息 Amazon SDKs,包括如何下载和安装它们,请参阅构建工具 Amazon
为 Amazon KMS 通过使用使用的代码示 Amazon KMS 例 Amazon SDKs提供了一个很好的起点 Amazon SDKs.
Amazon Encryption SDK
Amazon Encryption SDK 是在应用程序中实现客户端加密的工具。它不提供对密钥的完全访问权限KMS,而是与密钥集成 Amazon KMS,或者可以在SDK不引用KMS密钥的情况下作为独立设备使用。库可用于 Java、 JavaScript、C、Python 和其他编程语言。
有关更多信息,请参见Amazon Encryption SDK 开发人员指南。
Amazon KMS key 政策和IAM政策
Amazon KMS 最终一致性
由于系统的分布式特性, Amazon KMS API遵循最终一致
当您执行 Amazon KMS API呼叫时,可能会有短暂的延迟,直到更改始终可用 Amazon KMS。更改通常需要不到几秒钟的时间即可在整个系统中传播,但在某些情况下,可能需要几分钟。在这段时间内,您可能会遇到意外错误,例如 NotFoundException
或 InvalidStateException
。例如,NotFoundException
如果您在呼叫后GetParametersForImport
立即拨打电话,则 Amazon KMS 可能会返回CreateKey
。
我们建议您在 Amazon KMS 客户端上配置重试策略,以便在短暂的等待时间后自动重试操作。有关更多信息,请参阅《工具参考指南》 Amazon SDKs和《工具参考指南》中的重试行为。
对于与授权相关的API调用,您可以使用授权令牌来避免任何潜在的延迟,并立即在授权中使用权限。有关更多信息,请参阅最终一致性(用于授权)。