本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对称 CMK 和非对称 CMK 的比较
您可以通过使用 Amazon KMS 控制台和 Amazon KMS API,创建和管理对称 CMK 和非对称 CMK。不过,对于不同类型的 CMK,Amazon KMS 支持不同功能。
例如,只能使用对称 CMK 生成对称数据密钥和非对称数据密钥对。此外,只有对称 CMK 支持导入密钥材料和自动密钥轮换,并且在自定义密钥存储中只能创建对称 CMK。
下表列出了可用于创建和管理每种类型 CMK 的 Amazon KMS 操作。如果对 CMK 执行不受支持的操作,则该操作将失败。
|
Amazon KMS 操作及对称 CMK 和非对称 CMK
|
|||
|---|---|---|---|
| Amazon KMS API 操作 | 对称 CMK | 非对称 CMK (ENCRYPT_DECRYPT) | 非对称 CMK (SIGN_VERIFY) |
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
|
- 无密钥材料(Origin (源) = EXTERNAL) -在自定义密钥存储中(源 = AWS_CloudhSM) |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
( |
( |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
当前 CMK 和新的 CMK 必须是相同的类型(要么都是对称的,要么都是非对称的),并且它们必须用于相同的密钥用途( |
|
|
|
|
|
|
|
|
|
|
|
|
[1]GenerateDataKeyPair和GenerateDataKeyPairWithoutPlaintext生成受对称 CMK 保护的非对称数据 key pair。