CloudHSM 密钥存储中的 KMS 密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudHSM 密钥存储中的 KMS 密钥

您可以创建、查看、管理、使用和计划删除 Amazon CloudHSM 密钥库 Amazon KMS keys 中的。您使用的过程与用于其他 KMS 密钥的过程非常相似。唯一的区别是,您在创建 KMS Amazon CloudHSM 密钥时指定了密钥存储。然后, Amazon KMS 为 Amazon CloudHSM 集群中与密钥存储库关联的 KMS 密钥创建不可提取的 Amazon CloudHSM 密钥材料。当您在密钥存储中使用 KMS Amazon CloudHSM 密钥时,加密操作将在集群 HSMs 中执行。

支持的特征

除了本节中讨论的步骤外,您还可以使用密钥存储中的 KMS 密钥执行以下操作: Amazon CloudHSM

不支持的 特征

  • Amazon CloudHSM 密钥存储仅支持对称加密 KMS 密钥。您无法在密钥存储中创建 HMAC KMS 密钥、非对称 KMS 密钥或非对称数据密钥对。 Amazon CloudHSM

  • 您无法将密钥材料导入密钥库中的 KMS Amazon CloudHSM 密钥中。 Amazon KMS 为 Amazon CloudHSM 集群中的 KMS 密钥生成密钥材料。

  • 您无法启用或禁用密钥库中 KMS 密钥的密钥材料的Amazon CloudHSM 自动轮换

在密钥库中使用 KMS Amazon CloudHSM 密钥

当您在请求中使用 KMS 密钥时,请按其 ID 或别名识别 KMS 密钥;您无需指定 Amazon CloudHSM 密钥存储或 Amazon CloudHSM 集群。响应包含为任何对称加密 KMS 密钥返回的相同字段。

但是,当您在密钥存储中使用 KMS Amazon CloudHSM 密钥时,加密操作完全在与 Amazon CloudHSM 密钥存储关联的 Amazon CloudHSM 集群内执行。该操作使用集群中与您选择的 KMS 密钥关联的密钥材料。

要做到这一点,必须满足以下条件。

  • KMS 密钥的密钥状态必须为 Enabled。要查找密钥状态,请使用Amazon KMS 控制台中的状态KeyState字段或DescribeKey响应中的字段。

  • 密 Amazon CloudHSM 钥库必须连接到其 Amazon CloudHSM 集群。它在Amazon KMS 控制台DescribeCustomKeyStores响应ConnectionState中的状态必须为CONNECTED

  • 与自定义密钥库关联的 Amazon CloudHSM 集群必须包含至少一个活动的 HSM。要查找集群 HSMs 中的活动人数,请使用Amazon KMS 控制台、 Amazon CloudHSM 控制台或DescribeClusters操作。

  • 集 Amazon CloudHSM 群必须包含 KMS 密钥的密钥材料。如果已从集群中删除密钥材料,或者已从未包含密钥材料的备份中创建 HSM,则加密操作将失败。

如果不满足这些条件,则加密操作将失败并 Amazon KMS 返回KMSInvalidStateException异常。通常,您只需要重新连接 Amazon CloudHSM 密钥库即可。有关其他帮助,请参阅如何修复失败的 KMS 密钥

在密钥存储中使用 KMS 密 Amazon CloudHSM 钥时,请注意,每个密钥存储区中的 KMS 密 Amazon CloudHSM 钥共享用于加密操作的自定义密钥存储请求配额。如果超过配额,则 Amazon KMS 返回 a ThrottlingException。如果与 Amazon CloudHSM 密钥库关联的 Amazon CloudHSM 集群正在处理大量命令,包括与 Amazon CloudHSM 密钥库无关的命令,则可能会以更低的ThrottlingException速率获得。如果您收到任何请求的 ThrottlingException,请降低您的请求速率并重试这些命令。有关自定义密钥存储请求限额的详细信息,请参阅 自定义密钥存储请求限额

了解更多