本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在外部密钥存储中管理 KMS 密钥
若要在外部密钥存储中创建、查看、管理、使用和计划删除 KMS 密钥,您使用的过程与用于其他 KMS 密钥的过程非常相似。但是,在外部密钥存储中创建 KMS 密钥时,您需要指定外部密钥存储和外部密钥。在外部密钥存储中使用 KMS 密钥时,外部密钥管理器将使用指定的外部密钥执行加密和解密操作。
Amazon KMS 无法在外部密钥管理器中创建、查看、更新或删除任何加密密钥。Amazon KMS 绝不会直接访问您的外部密钥管理器或任何外部密钥。所有加密操作请求均由您的外部密钥存储代理调解。若要在外部密钥存储中使用 KMS 密钥,必须先将托管 KMS 密钥的外部密钥存储连接到其外部密钥存储代理。
支持的功能
除了此部分中讨论的过程之外,您还可以使用外部密钥存储中的 KMS 密钥执行下列操作:
-
使用密钥策略、IAM policy 和授权以控制对 KMS 密钥的访问。
-
启用和禁用 KMS 密钥。这些操作不会影响外部密钥管理器中的外部密钥。
-
分配标签并创建别名,然后使用基于属性的访问权限控制(ABAC)授予对 KMS 密钥的访问权限。
-
将 KMS 密钥和与 Amazon KMS 集成的 Amazon Web Services
结合使用并支持客户托管密钥。
不支持的功能
-
外部密钥存储仅支持对称加密 KMS 密钥。您无法在外部密钥存储中创建 HMAC KMS 密钥或非对称 KMS 密钥。
-
GenerateDataKeyPair外部GenerateDataKeyPairWithoutPlaintext密钥存储库中的 KMS 密钥不支持和。
-
您不能使用 Amazon CloudFormation 模板创建外部密钥存储或在外部密钥存储中创建 KMS 密钥。
-
外部密钥存储不支持多区域密钥。
-
外部密钥存储不支持拥有导入密钥材料的 KMS 密钥。
-
外部密钥存储中的 KMS 密钥不支持自动密钥轮换。