比较对称和不对称 CMKs - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

比较对称和不对称 CMKs

您可以创建和管理对称和不对称 CMKs 通过使用 AWS KMS 和 AWS KMS API。但是, AWS KMS 支持不同的功能 CMKs 不同的类型。

例如,您只能使用对称 CMKs 至 生成对称数据密钥非对称数据密钥对. 此外, 导入关键物料自动键旋转 仅用于对称 CMKs,并且您只能创建对称 CMKs 在 自定义密钥存储.

下表列出了 AWS KMS 可用于创建和管理 CMKs 每种类型的。如果您在 CMK 操作失败。

AWS KMS 对称和不对称的操作 CMKs
AWS KMS API 操作 对称性 CMKs 非对称 CMKs (ENCRYPT_DECRYPT) 非对称 CMKs (签名_验证)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

- 无密钥材料(Origin (源) = EXTERNAL)

- 在自定义密钥存储中(Origin (源) = AWS_CLOUSDHSM)

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

DescribeKey

DisableKey

DisableKeyRotation

EnableKey

EnableKeyRotation

加密

GenerateDataKey

GenerateDataKeyPair

= 1.

GenerateDataKeyPairWithoutPlaintext

= 1.

GenerateDataKeyWithoutPlaintext

GetKeyPolicy

GetKeyRotationStatus

KeyRotationEnabled 将始终为 false。)

KeyRotationEnabled 将始终为 false。)

GetParametersForImport

GetPublicKey

ImportKeyMaterial

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource ()

UntagResource

UpdateAlias

当前 CMK 和新的 CMK 必须属于同一类型(对称或不对称),并且必须具有相同的关键用途(ENCRYPT_DECRYPTSIGN_VERIFY)。

UpdateKeyDescription

验证

[1] GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext 生成受对称 CMK 保护的非对称数据密钥对。