本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon CloudFormation 创建 Amazon KMS 资源
Amazon Key Management Service 与 Amazon CloudFormation 集成,后者是一项服务,可帮助您对 Amazon 资源进行建模和设置,这样您只需花较少的时间来创建和管理资源与基础设施。您可以创建描述 KMS 密钥和别名的模板,Amazon CloudFormation 将为您预置和配置这些资源。有关 Amazon KMS 对 CloudFormation 支持的信息,请参阅 Amazon CloudFormation 用户指南中的 KMS 资源类型参考。
在您使用 Amazon CloudFormation 时,可重复使用您的模板来不断地重复设置您的 Amazon KMS 资源。描述您的资源一次,然后在多个 Amazon Web Services 账户 和区域中反复预置相同的资源。
要为 Amazon KMS 和其他 Amazon 服务预置和配置资源,您必须了解 Amazon CloudFormation 模板。模板是 JSON 或 YAML 格式的文本文件。这些模板描述要在 Amazon CloudFormation 堆栈中调配的资源。如果您不熟悉 JSON 或 YAML,可以在 Amazon CloudFormation Designer 的帮助下开始使用 Amazon CloudFormation 模板。有关更多信息,请参阅 Amazon CloudFormation 用户指南中的什么是 Amazon CloudFormation Designer?。
区域
支持 Amazon CloudFormation 的所有区域都支持 Amazon KMS CloudFormation 资源。
Amazon CloudFormation 模板中的 Amazon KMS 资源
Amazon KMS 支持以下 Amazon CloudFormation 资源。
-
AWS::KMS::Key创建对称或非对称 KMS 密钥。您可以使用此资源创建对称或非对称的多区域主 KMS 密钥。若要创建多区域副本密钥,请使用AWS::KMS::ReplicaKey资源。您不能使用此资源创建具有导入的密钥材料的 KMS 密钥或自定义密钥存储中的 KMS 密钥。 -
AWS::KMS::Alias创建一个别名并将其与 KMS 密钥关联。KMS 密钥可以在模板中定义,也可以由其他机制创建。 -
AWS::KMS::ReplicaKey创建一个多区域副本密钥。要创建多区域主密钥,请使用AWS::KMS::Key资源。您不能使用此资源复制具有导入密钥材料的多区域密钥。有关多区域密钥的详细信息,请参阅 Amazon KMS 中的多区域密钥。
重要
如果您更改现有 KMS 密钥的 KeyUsage、KeySpec 或 MultiRegion 属性的值,则会安排删除现有 KMS 密钥,并使用指定值创建新的 KMS 密钥。
安排删除后,现有 KMS 密钥将无法使用。如果您不取消按计划删除 Amazon CloudFormation 之外的现有 KMS 密钥,则在删除 KMS 密钥之后,使用现有 KMS 密钥加密的所有数据都将无法恢复。
模板创建的 KMS 密钥是您的 Amazon Web Services 账户 中的实际资源。授权委托人可以通过使用模板、Amazon KMS 控制台或 Amazon KMS API 来使用和管理模板创建的 KMS 密钥。当您从模板中删除 KMS 密钥时,系统将使用您提前指定的等待时间来计划删除 KMS 密钥。
例如,您可以使用 Amazon CloudFormation 模板创建包含您喜欢的密钥策略、密钥规范、密钥用法、别名和标签的测试 KMS 密钥。您可以通过测试套件运行它,查看结果,然后使用模板计划删除测试密钥。稍后,您可以再次运行模板以创建具有相同属性的测试密钥。
或者,您可以使用 Amazon CloudFormation 模板来定义满足您的业务规则和安全标准的特定 KMS 密钥配置。然后,您可以在需要创建 KMS 密钥的任何时候使用该模板。对于密钥配置错误,您无需担心。如果您的首选配置发生了更改,您可以使用模板更新 KMS 密钥。例如,您可以使用模板轻松地以编程方式对模板定义的所有 KMS 密钥启用自动密钥轮替。
有关 Amazon KMS 资源更多信息,包括示例,请参阅 Amazon CloudFormation 用户指南中的 KMS 资源类型参考。
了解有关 Amazon CloudFormation 的更多信息
要了解有关 Amazon CloudFormation 的更多信息,请参阅以下资源: