CloudHSM 密钥存储中的 KMS 密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

CloudHSM 密钥存储中的 KMS 密钥

您可以在 Amazon CloudHSM 密钥存储中创建、查看、管理、使用和计划删除 Amazon KMS keys。您使用的过程与用于其他 KMS 密钥的过程非常相似。唯一的区别是您在创建 KMS 密钥时指定了 Amazon CloudHSM 密钥存储。然后,Amazon KMS 在与 Amazon CloudHSM 密钥存储关联的 Amazon CloudHSM 集群中为 KMS 密钥创建不可提取的密钥材料。在 Amazon CloudHSM 密钥存储中使用 KMS 密钥时,会在集群中的 HSM 中执行加密操作

支持的功能

除了此部分中讨论的过程之外,您还可以使用 Amazon CloudHSM 密钥存储中的 KMS 密钥执行下列操作:

不支持的 特征

  • Amazon CloudHSM 密钥存储仅支持对称加密 KMS 密钥。您无法在 Amazon CloudHSM 密钥存储中创建 HMAC KMS 密钥、非对称 KMS 密钥或非对称数据密钥对。

  • 您无法向 Amazon CloudHSM 密钥存储中的 KMS 密钥导入密钥材料。Amazon KMS 为 Amazon CloudHSM 集群中的 KMS 密钥生成密钥材料。

  • 您无法启用或禁用 Amazon CloudHSM 密钥存储中 KMS 密钥的密钥材料的自动轮换

在 Amazon CloudHSM 密钥存储中使用 KMS 密钥

当您在请求中使用 KMS 密钥时,按 KMS 密钥的 ID 或别名对其进行标识;您无需指定 Amazon CloudHSM 密钥存储或 Amazon CloudHSM 集群。响应包含为任何对称加密 KMS 密钥返回的相同字段。

但是,在 Amazon CloudHSM 密钥存储中使用 KMS 密钥时,加密操作完全在与 Amazon CloudHSM 密钥存储关联的 Amazon CloudHSM 集群中执行。该操作使用集群中与您选择的 KMS 密钥关联的密钥材料。

要做到这一点,必须满足以下条件。

  • KMS 密钥的密钥状态必须为 Enabled。要查找密钥状态,请使用 Amazon KMS 控制台中的状态字段或 DescribeKey 响应中的 KeyState 字段。

  • Amazon CloudHSM 密钥存储必须连接到其 Amazon CloudHSM 集群。其在 Amazon KMS 控制台中的 Status(状态)或在 DescribeCustomKeyStores 响应中的 ConnectionState 必须为 CONNECTED

  • 与自定义密钥存储关联的 Amazon CloudHSM 集群必须包含至少一个活动 HSM。要查找集群中的活动 HSM 的数量,请使用 Amazon KMS 控制台、Amazon CloudHSM 控制台或 DescribeClusters 操作。

  • Amazon CloudHSM 集群必须包含 KMS 密钥的密钥材料。如果已从集群中删除密钥材料,或者已从未包含密钥材料的备份中创建 HSM,则加密操作将失败。

如果未满足这些条件,则加密操作失败,并且 Amazon KMS 会返回 KMSInvalidStateException 异常。通常,您只需重新连接 Amazon CloudHSM 密钥存储。有关其他帮助,请参阅如何修复失败的 KMS 密钥

在 Amazon CloudHSM 密钥存储中使用 KMS 密钥时,请注意每个 Amazon CloudHSM 密钥存储中的 KMS 密钥针对加密操作共享自定义密钥存储请求限额。如果您超过该配额,则 Amazon KMS 将返回 ThrottlingException。如果与 Amazon CloudHSM 密钥存储关联的 Amazon CloudHSM 集群正在处理大量命令(包括与 Amazon CloudHSM 密钥存储不相关的命令),则您可能以较低速率获得 ThrottlingException。如果您收到任何请求的 ThrottlingException,请降低您的请求速率并重试这些命令。有关自定义密钥存储请求限额的详细信息,请参阅 自定义密钥存储请求限额

了解更多