使用 Amazon CloudFormation 创建 Amazon KMS 资源 - Amazon Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon CloudFormation 创建 Amazon KMS 资源

Amazon Key Management Service 与 Amazon CloudFormation 集成,后者是一项服务,可帮助您对 Amazon 资源进行建模和设置,这样您只需花较少的时间来创建和管理资源与基础设施。您创建一个模板,描述Amazon资源的费用,包括客户主密钥 (CMK) 和别名,以及Amazon CloudFormation预配置和配置这些资源。有关的信息Amazon KMS对 CloudFormation 的支持,请参阅KMS 资源类型参考中的Amazon CloudFormation用户指南

在您使用 Amazon CloudFormation 时,可重复使用您的模板来不断地重复设置您的 Amazon KMS 资源。描述您的资源一次,然后以多个Amazon Web Services 账户和区域。

预配和配置资源Amazon KMS和其他Amazon服务,您必须了解Amazon CloudFormation模板。模板是 JSON 或 YAML 格式的文本文件。这些模板描述要在 Amazon CloudFormation 堆栈中调配的资源。如果您不熟悉 JSON 或 YAML,可以在 Amazon CloudFormation Designer 的帮助下开始使用 Amazon CloudFormation 模板。有关更多信息,请参阅 。是什么Amazon CloudFormation设计器?中的Amazon CloudFormation用户指南

Amazon KMS中的资源Amazon CloudFormation模板

Amazon KMS支持以下Amazon CloudFormation资源的费用。

模板创建的 CMK 是Amazon Web Services 账户。授权委托人可以使用和管理模板创建的 CMK,方法是使用模板、Amazon KMS控制台或Amazon KMSAPI 的费用。从模板中删除 CMK 时,系统会使用您提前指定的等待时间来计划删除 CMK。

例如,您可以使用Amazon CloudFormation模板创建包含您喜欢的密钥策略、密钥规范、密钥用法、别名和标签的测试 CMK。您可以通过测试套件运行它,查看结果,然后使用模板计划删除测试密钥。稍后,您可以再次运行模板以创建具有相同属性的测试密钥。

或者,您可以使用Amazon CloudFormation模板来定义满足您的业务规则和安全标准的特定 CMK 配置。然后,您可以在需要创建 CMK 的任何时候使用该模板。对于配置错误,您无需担心。如果您的首选配置发生了变化,您可以使用模板更新 CMK。例如,模板可以轻松地在模板定义的所有 CMK 上以编程方式启用自动密钥轮替。

有关 的更多信息Amazon KMS资源(包括示例),请参阅KMS 资源类型参考中的Amazon CloudFormation用户指南

了解有关 Amazon CloudFormation 的更多信息

要了解有关 Amazon CloudFormation 的更多信息,请参阅以下资源: