密钥类型引用 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

密钥类型引用

不过,对于不同类型的 KMS 密钥,Amazon KMS 支持不同功能。例如,只能使用对称加密 KMS 密钥生成对称数据密钥非对称数据密钥对。此外,只有对称加密 KMS 密钥支持导入密钥材料自动密钥轮换,并且在自定义密钥存储中只能创建对称加密 KMS 密钥。

除了此表中的信息外,KMS 密钥还可用于以下 Amazon KMS 特殊功能。

  • 多区域密钥

    • 所有支持对称 KMS 密钥的 API 操作也支持多区域对称 KMS 密钥。所有支持非对称 KMS 密钥的 API 操作也支持多区域非对称 KMS 密钥。

    • 您不能在自定义密钥存储中创建多区域密钥。

  • 导入的密钥材料

    • 只有对称加密 KMS 密钥可具有导入的密钥材料。

    • 非对称 KMS 密钥、HMAC KMS 密钥和自定义密钥存储中的 KMS 密钥不能具有导入的密钥材料。

    • 多区域对称加密密钥可具有导入的密钥材料。

    • 具有导入的密钥材料的密钥不支持自动密钥转换(EnableKeyRotation、DisableKeyRotation)。

  • 自定义密钥存储

    • 自定义密钥存储仅支持对称 KMS 密钥。

    • 自定义密钥存储中的密钥不支持自动密钥转换(EnableKeyRotation、DisableKeyRotation)。

    • 您不能在自定义密钥存储中创建多区域密钥。

下表列出了可用于创建和管理每种类型的 KMS 密钥的 Amazon KMS 操作。如果对 KMS 密钥执行不受支持的操作,则该操作将失败。

您可能需要水平或垂直滚动才能查看此表中的所有数据。

Amazon KMS API 操作 对称加密 KMS 密钥 HMAC KMS 密钥 非对称 KMS 密钥 (ENCRYPT_DECRYPT) 非对称 KMS 密钥 (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

- 拥有导入密钥材料(Origin (源) = EXTERNAL)

 

- 在自定义密钥存储中 (Origin = AWS_CLOUDHSM)

 

- 创建多区域主密钥

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

- 在多区域密钥受支持

- 在非对称 KMS 密钥、HMAC KMS 密钥或自定义密钥存储中的 KMS 密钥中不受支持。

DescribeKey

DisableKey

DisableKeyRotation

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

EnableKey

EnableKeyRotation

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

Encrypt

GenerateDataKey

GenerateDataKeyPair

[1]

GenerateDataKeyPairWithoutPlaintext

[1]

GenerateDataKeyWithoutPlaintext

GenerateMac

GetKeyPolicy

GetKeyRotationStatus

KeyRotationEnabled 将始终为 false。)

KeyRotationEnabled 将始终为 false。)

KeyRotationEnabled 将始终为 false。)

GetParametersForImport

- 在多区域密钥受支持

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

GetPublicKey

ImportKeyMaterial

- 在多区域密钥受支持

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

ReplicateKey

- 仅在多区域密钥上有效

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource

UntagResource

UpdateAlias

当前 KMS 密钥和新的 KMS 密钥必须是相同的类型(要么都是对称的,要么都是非对称的),并且它们必须用于相同的密钥用途

UpdateKeyDescription

UpdateReplicaRegion

- 仅在多区域密钥上有效

Verify

VerifyMac

[1] GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext 生成受对称加密 KMS 密钥保护的非对称数据密钥对。