使用 Amazon KMS 创建 Amazon CloudFormation 资源 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon KMS 创建 Amazon CloudFormation 资源

Amazon Key Management Service 与 Amazon CloudFormation 集成,后者是一项服务,可帮助您对 Amazon 资源进行建模和设置,这样您只需花较少的时间来创建和管理资源与基础设施。您可以创建描述 KMS 密钥和别名的模板,Amazon CloudFormation 将为您预置和配置这些资源。有关 Amazon KMS 对 CloudFormation 支持的信息,请参阅 Amazon CloudFormation 用户指南中的 KMS 资源类型参考

在您使用 Amazon CloudFormation 时,可重复使用您的模板来不断地重复设置您的 Amazon KMS 资源。描述您的资源一次,然后在多个 Amazon Web Services 账户 和区域中反复预置相同的资源。

要为 Amazon KMS 和其他 Amazon 服务预置和配置资源,您必须了解 Amazon CloudFormation 模板。模板是 JSON 或 YAML 格式的文本文件。这些模板描述要在 Amazon CloudFormation 堆栈中调配的资源。如果您不熟悉 JSON 或 YAML,可以在 Amazon CloudFormation Designer 的帮助下开始使用 Amazon CloudFormation 模板。有关更多信息,请参阅 Amazon CloudFormation 用户指南中的什么是 Amazon CloudFormation Designer?

区域

支持 Amazon CloudFormation 的所有区域都支持 Amazon KMS CloudFormation 资源。但是,在亚太地区(雅加达)区域 (ap-southeast-3) 中,您无法使用 CloudFormation 模板创建或管理非对称 KMS 密钥多区域 KMS 密钥(主密钥或副本密钥)。

Amazon CloudFormation 模板中的 Amazon KMS 资源

Amazon KMS 支持以下 Amazon CloudFormation 资源。

模板创建的 KMS 密钥是您的 Amazon Web Services 账户 中的实际资源。授权委托人可以通过使用模板、Amazon KMS 控制台或 Amazon KMS API 来使用和管理模板创建的 KMS 密钥。当您从模板中删除 KMS 密钥时,系统将使用您提前指定的等待时间来计划删除 KMS 密钥。

例如,您可以使用 Amazon CloudFormation 模板创建包含您喜欢的密钥策略、密钥规范、密钥用法、别名和标签的测试 KMS 密钥。您可以通过测试套件运行它,查看结果,然后使用模板计划删除测试密钥。稍后,您可以再次运行模板以创建具有相同属性的测试密钥。

或者,您可以使用 Amazon CloudFormation 模板来定义满足您的业务规则和安全标准的特定 KMS 密钥配置。然后,您可以在需要创建 KMS 密钥的任何时候使用该模板。对于密钥配置错误,您无需担心。如果您的首选配置发生了更改,您可以使用模板更新 KMS 密钥。例如,您可以使用模板轻松地以编程方式对模板定义的所有 KMS 密钥启用自动密钥轮替。

有关 Amazon KMS 资源更多信息,包括示例,请参阅 Amazon CloudFormation 用户指南中的 KMS 资源类型参考

了解有关 Amazon CloudFormation 的更多信息

要了解有关 Amazon CloudFormation 的更多信息,请参阅以下资源: