使用创建 Amazon KMS 资源 Amazon CloudFormation - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用创建 Amazon KMS 资源 Amazon CloudFormation

Amazon Key Management Service 与一项服务集成 Amazon CloudFormation,该服务可帮助您对 Amazon 资源进行建模和设置,从而减少创建和管理资源和基础架构所花费的时间。您可以创建描述 KMS 密钥和别名的模板, Amazon CloudFormation 将为您预置和配置这些资源。有关 Amazon KMS 支持的信息 CloudFormation,请参阅《Amazon CloudFormation 用户指南》中的 KMS 资源类型参考

使用时 Amazon CloudFormation,您可以重复使用模板来一致且重复地设置 Amazon KMS 资源。只需描述一次您的资源,然后在多个 Amazon Web Services 账户 区域中一遍又一遍地配置相同的资源。

要为和其他 Amazon 服务配置 Amazon KMS 和配置资源,必须了解Amazon CloudFormation 模板。模板是 JSON 或 YAML 格式的文本文件。这些模板描述了您要在 Amazon CloudFormation 堆栈中配置的资源。如果你不熟悉 JSON 或 YAML,可以使用 D Amazon CloudFormation esigner 来帮助你开始使用 Amazon CloudFormation 模板。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的什么是 Amazon CloudFormation Designer?

区域

Amazon KMS CloudFormation 所有支持的区域 Amazon CloudFormation 都支持资源。

Amazon KMSAmazon CloudFormation 模板中的资源

Amazon KMS 支持以下 Amazon CloudFormation 资源。

  • AWS::KMS::Key资源在中指定了 KMS 密钥 Amazon Key Management Service。您可以使用此资源创建对称加密 KMS 密钥、用于加密或签名的非对称 KMS 密钥以及对称 HMAC KMS 密钥。您可以使用AWS::KMS::Key创建所有支持类型的多区域主密钥。要复制多区域密钥,请使用 AWS::KMS::ReplicaKey 资源。

  • AWS::KMS::Alias 创建一个别名并将其与 KMS 密钥关联。KMS 密钥可以在模板中定义,也可以由其他机制创建。

  • AWS::KMS::ReplicaKey 创建一个多区域副本密钥。要创建多区域主密钥,请使用 AWS::KMS::Key 资源。您不能使用此资源复制具有导入密钥材料的多区域密钥。有关多区域密钥的详细信息,请参阅 中的多区域密钥 Amazon KMS

重要

如果您更改现有 KMS 密钥的 KeyUsageKeySpecMultiRegion 属性的值,则会安排删除现有 KMS 密钥,并使用指定值创建新的 KMS 密钥。

安排删除后,现有 KMS 密钥将无法使用。如果您不取消计划删除之外的现有 KMS 密钥,则删除 KMS 密钥后 Amazon CloudFormation,在现有 KMS 密钥下加密的所有数据都将无法恢复。

模板创建的 KMS 密钥是您的实际资源 Amazon Web Services 账户。授权委托人可以使用模板、 Amazon KMS 控制台或 Amazon KMS API 使用和管理模板创建的 KMS 密钥。当您从模板中删除 KMS 密钥时,系统将使用您提前指定的等待时间来计划删除 KMS 密钥。

例如,您可以使用 Amazon CloudFormation 模板创建包含密钥策略、密钥规范、密钥用法、别名和您喜欢的标签的测试 KMS 密钥。您可以通过测试套件运行它,查看结果,然后使用模板计划删除测试密钥。稍后,您可以再次运行模板以创建具有相同属性的测试密钥。

或者,您可以使用 Amazon CloudFormation 模板来定义满足您的业务规则和安全标准的特定 KMS 密钥配置。然后,您可以在需要创建 KMS 密钥的任何时候使用该模板。对于密钥配置错误,您无需担心。如果您的首选配置发生了更改,您可以使用模板更新 KMS 密钥。例如,您可以使用模板轻松地以编程方式对模板定义的所有 KMS 密钥启用自动密钥轮替。

有关 Amazon KMS 资源的更多信息(包括示例),请参阅《Amazon CloudFormation 用户指南》中的 KMS 资源类型参考

了解更多关于 Amazon CloudFormation

要了解更多信息 Amazon CloudFormation,请参阅以下资源: