本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Key Management Service
<a name="overview"></a>

Amazon Key Management Service (Amazon KMS) 是一项 Amazon 托管服务，可让您轻松创建和控制用于加密和签名数据的密钥。您在中创建的 Amazon KMS 受 Amazon KMS keys 到 [FIPS 140-3 安全等级 3 验证的硬件安全模块 (](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)HSM) 的保护。他们永远不会以 Amazon KMS 未加密的方式离开。要使用或管理您的 KMS 密钥，您需要与进行交互 Amazon KMS。

## 为什么要使用 Amazon KMS？
<a name="service-kms-why"></a>

在加密数据时，您需要保护加密密钥。如果加密您的密钥，您需要保护加密密钥。最终，您必须保护数据保护层次结构中最高级别的加密密钥（称为*根密钥*）。这就是用 Amazon KMS 武之地。

![\[根密钥保护用于保护您数据的数据密钥\]](http://docs.amazonaws.cn/kms/latest/developerguide/images/key-hierarchy-root.png)


Amazon KMS 保护您的根密钥。KMS 密钥完全是在其中创建、管理、使用和删除的 Amazon KMS。其绝不会使服务处于未加密状态。要使用或管理您的 KMS 密钥，请致电 Amazon KMS。

![\[Amazon KMS 保护您的根密钥\]](http://docs.amazonaws.cn/kms/latest/developerguide/images/key-hierarchy-kms-key.png)


此外，您还可以在中创建和管理[密钥策略](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html) Amazon KMS，确保只有受信任的用户才能访问 KMS 密钥。

## Amazon KMS in Amazon Web Services 区域
<a name="kms_regions"></a>

[Amazon Key Management Service 终端节点和配额中列出了支持的内容](https://docs.amazonaws.cn/general/latest/gr/kms.html)。 Amazon Web Services 区域 Amazon KMS 如果支持的 Amazon KMS 功能不 Amazon KMS 支持 Amazon Web Services 区域 ，则在有关该功能的主题中描述了区域差异。

## Amazon KMS 定价
<a name="pricing"></a>

与其他 Amazon 产品一样，使用 Amazon KMS 不需要合同或最低购买量。有关 Amazon KMS 定价的更多信息，请参阅[Amazon Key Management Service 定价](https://www.amazonaws.cn/kms/pricing/)。

## Amazon KMS 服务等级协议
<a name="kms_service_levels"></a>

Amazon Key Management Service 以[服务等级协议为后盾，该协议](https://www.amazonaws.cn/kms/sla/)定义了我们的服务可用性政策。