AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

什么是 AWS Key Management Service?

AWS Key Management Service (AWS KMS) 是一项托管服务,可让您轻松创建和控制加密您的数据所用的加密密钥。您在 AWS KMS 中创建的客户主密钥均受硬件安全模块 (HSM) 保护。我们的 HSM 通过 FIPS 140-2 加密模块验证计划进行验证(中国(北京)和中国 (宁夏)区域除外)。

AWS KMS 与大多数其他 AWS 服务集成,这些服务使用您管理的加密密钥加密数据。AWS KMS 还与 AWS CloudTrail 集成,从而为您提供加密密钥的使用记录,帮助您满足审核、监督和合规性要求。

您可以对 AWS KMS 主密钥执行以下管理操作:

  • 创建、描述和列出主密钥

  • 启用和禁用主密钥

  • 创建和查看您的主密钥的授权和访问控制策略

  • 启用和禁用主密钥中加密材料的自动轮换

  • 将加密材料导入 AWS KMS 主密钥

  • 标记您的主密钥,从而更加轻松地识别、分类和跟踪

  • 创建、删除、列出和更新别名,即与您的主密钥关联的易记名称

  • 删除主密钥来完成密钥生命周期

借助 AWS KMS,您还可以使用主密钥执行以下加密功能:

  • 数据加密、解密和重新加密

  • 生成可从该服务以明文形式导出或使用不会离开服务的主密钥加密的数据加密密钥

  • 生成适用于加密应用程序的随机数

通过使用 AWS KMS,您能够更好地控制对加密数据的访问权限。您可以直接在应用程序中或通过与 AWS KMS 集成的 AWS 服务使用密钥管理和加密功能。无论您是在为 AWS 编写应用程序,还是在使用 AWS 服务,您都可以借助 AWS KMS 控制哪些人可以使用主密钥并访问您的加密数据。

AWS KMS 与 AWS CloudTrail 集成,后者是一项将日志文件传输到您指定的 Amazon S3 存储桶的服务。通过 CloudTrail,您可以监控和调查哪些人在何时通过何种方式使用了您的主密钥。

了解更多

AWS 区域中的 AWS KMS

AWS 区域和终端节点AWS Key Management Service 部分中列出了支持 AWS KMS 的 AWS 区域。如果 AWS KMS 支持的 AWS 区域中不支持某项 AWS KMS 功能,则在有关该功能的主题中描述区域差异。

AWS KMS 定价

与其他 AWS 产品一样,在使用 AWS KMS 时,您无需签订合同或承诺最低使用量。有关 AWS KMS 定价的更多信息,请参阅 AWS Key Management Service 定价

服务等级协议

AWS Key Management Service 由定义服务可用性策略的服务等级协议提供支持。