密钥类型引用

不过，对于不同类型的 KMS 密钥，Amazon KMS 支持不同功能。例如，只能使用对称加密 KMS 密钥生成对称数据密钥和非对称数据密钥对。此外，只有对称加密 KMS 密钥支持导入密钥材料和自动密钥轮换，并且在自定义密钥存储中只能创建对称加密 KMS 密钥。

此参考包括两个表。

密钥类型表列出了对对称加密 KMS 密钥、非对称 KMS 密钥，以及 HMAC KMS 密钥有效的 Amazon KMS 操作。
特殊功能表列出了对多区域 KMS 密钥、包含导入的密钥材料的 KMS 密钥，以及自定义密钥存储中的 KMS 密钥有效的 Amazon KMS 操作。

密钥类型表

您可能需要水平或垂直滚动才能查看此表中的所有数据。

Amazon KMS API 操作	对称加密 KMS 密钥	HMAC KMS 密钥	非对称 KMS 密钥 (ENCRYPT_DECRYPT)	非对称 KMS 密钥 (SIGN_VERIFY)
CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey
Decrypt
DeleteAlias
DeleteImportedKeyMaterial	仅在包含导入的密钥材料的 KMS 密钥上有效（`Origin` 为 `EXTERNAL`）。
DescribeKey
DisableKey
DisableKeyRotation	仅在包含 Amazon KMS 密钥材料的 KMS 密钥上有效（`Origin` 为 `AWS_KMS`）。
EnableKey
EnableKeyRotation	仅在包含 Amazon KMS 密钥材料的 KMS 密钥上有效（`Origin` 为 `AWS_KMS`）。
Encrypt
GenerateDataKey
GenerateDataKeyPair 生成受对称加密 KMS 密钥保护的非对称数据密钥对。	在自定义密钥存储中的 KMS 密钥上无效。
GenerateDataKeyPairWithoutPlaintext 生成受对称加密 KMS 密钥保护的非对称数据密钥对。	在自定义密钥存储中的 KMS 密钥上无效。
GenerateDataKeyWithoutPlaintext
GenerateMac
GetKeyPolicy
GetKeyRotationStatus		（`KeyRotationEnabled` 将始终为 `false`。）	（`KeyRotationEnabled` 将始终为 `false`。）	（`KeyRotationEnabled` 将始终为 `false`。）
GetParametersForImport	仅在包含导入的密钥材料的 KMS 密钥上有效（`Origin` 为 `EXTERNAL`）。
GetPublicKey
ImportKeyMaterial	仅在包含导入的密钥材料的 KMS 密钥上有效（`Origin` 为 `EXTERNAL`）。
ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt
ReplicateKey - 仅在多区域密钥上有效
RetireGrant
RevokeGrant
ScheduleKeyDeletion
Sign
TagResource
UntagResource
UpdateAlias 当前 KMS 密钥和新的 KMS 密钥必须为相同类型（要么都是对称的，要么都是非对称的，要么都是 HMAC），并且它们必须用于相同的密钥用途。
UpdateKeyDescription
UpdateReplicaRegion - 仅在多区域密钥上有效
验证
VerifyMac

特殊功能表

此表显示了每种类型的特殊用途密钥上支持的 Amazon KMS API 操作。

在阅读此表时，请注意以下交互：

多区域密钥：
- 多区域密钥可以是对称加密 KMS 密钥、非对称 KMS 密钥、HMAC KMS 密钥，以及包含导入的密钥材料的 KMS 密钥。
- 您不能在自定义密钥存储中创建多区域密钥。
导入的密钥材料
- 只有对称加密 KMS 密钥可具有导入的密钥材料。
- 您可创建具有导入密钥材料的多区域密钥。
- 您不能在自定义密钥存储中使用导入的密钥材料创建密钥。
- 带有导入密钥材料的 KMS 密钥不支持自动密钥轮换 (EnableKeyRotation、DisableKeyRotation)。
自定义密钥存储
- 自定义密钥存储仅支持对称加密 KMS 密钥。
- 自定义密钥存储中的 KMS 密钥不支持对非对称密钥对（GenerateDataKeyPair、GenerateDataKeyPairWithoutPlaintext）进行对称操作。
- 自定义密钥存储中的 KMS 密钥不支持自动密钥转换 (EnableKeyRotation、DisableKeyRotation)。
- 您不能在自定义密钥存储中创建多区域密钥。

您可能需要水平或垂直滚动才能查看此表中的所有数据。

Amazon KMS API 操作	多区域密钥	导入的密钥材料
CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey 您可以使用 `CreateKey` 创建多区域主密钥、包含导入的密钥材料的 KMS 密钥，或自定义密钥存储中的 KMS 密钥。若要创建多区域副本密钥，请使用 `ReplicateKey`。
Decrypt	仅当 `KeyUsage` 为 `ENCRYPT_DECRYPT` 时才有效
DeleteAlias
DeleteImportedKeyMaterial	仅对包含导入的密钥材料的密钥有效（`Origin` 为 `EXTERNAL`）
DescribeKey
DisableKey
DisableKeyRotation	仅在包含 Amazon KMS 密钥材料的对称加密密钥上有效（`Origin` 为 `AWS_KMS`）。
EnableKey	仅在对称加密 KMS 密钥上有效
EnableKeyRotation	仅在包含 Amazon KMS 密钥材料的对称加密密钥上有效（`Origin` 为 `AWS_KMS`）。
Encrypt	仅当 `KeyUsage` 为 `ENCRYPT_DECRYPT` 时才有效
GenerateDataKey	仅在对称加密 KMS 密钥上有效
GenerateDataKeyPair	仅在对称加密 KMS 密钥上有效
GenerateDataKeyPairWithoutPlaintext	仅在对称加密 KMS 密钥上有效
GenerateDataKeyWithoutPlaintext	仅在对称加密 KMS 密钥上有效
GenerateMac	仅在 HMAC KMS 密钥上有效
GetKeyPolicy
GetKeyRotationStatus		（`KeyRotationEnabled` 将始终为 `false`。）
GetParametersForImport	仅对包含已导入的密钥材料的密钥有效（`Origin` 为 `EXTERNAL`）。
GetPublicKey	仅对非对称 KMS 密钥有效。
ImportKeyMaterial	仅对包含已导入的密钥材料的密钥有效（`Origin` 为 `EXTERNAL`）。
ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt	仅当 `KeyUsage` 为 `ENCRYPT_DECRYPT` 时才有效
ReplicateKey	仅在多区域主密钥上有效。	仅在多区域主密钥上有效。
RetireGrant
RevokeGrant
ScheduleKeyDeletion
Sign	仅当 `KeyUsage` 为 `SIGN_VERIFY` 时才有效。
TagResource
UntagResource
UpdateAlias – 当前 KMS 密钥和新的 KMS 密钥必须为相同类型（要么都是对称的，要么都是非对称的，要么都是 HMAC），并且它们必须用于相同的密钥用途。
UpdateKeyDescription
UpdateReplicaRegion		仅在多区域密钥上有效。
验证	仅当 `KeyUsage` 为 `SIGN_VERIFY` 时才有效。
VerifyMac	– 仅在 HMAC KMS 密钥上有效

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

排查外部密钥存储的问题

安全性