对称 CMK 和非对称 CMK 的比较 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对称 CMK 和非对称 CMK 的比较

您可以通过使用 Amazon KMS 控制台和 Amazon KMS API,创建和管理对称 CMK 和非对称 CMK。不过,对于不同类型的 CMK,Amazon KMS 支持不同功能。

例如,只能使用对称 CMK 生成对称数据密钥非对称数据密钥对。此外,只有对称 CMK 支持导入密钥材料自动密钥轮换,并且在自定义密钥存储中只能创建对称 CMK。

下表列出了可用于创建和管理每种类型 CMK 的 Amazon KMS 操作。如果对 CMK 执行不受支持的操作,则该操作将失败。

Amazon KMS 操作及对称 CMK 和非对称 CMK
Amazon KMS API 操作 对称 CMK 非对称 CMK (ENCRYPT_DECRYPT) 非对称 CMK (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

- 无密钥材料(Origin (源) = EXTERNAL)

-在自定义密钥存储中(源 = AWS_CloudhSM)

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

DescribeKey

DisableKey

DisableKeyRotation

EnableKey

EnableKeyRotation

Encrypt

GenerateDataKey

GenerateDataKeyPair

[1]

GenerateDataKeyPairWithoutPlaintext

[1]

GenerateDataKeyWithoutPlaintext

GetKeyPolicy

GetKeyRotationStatus

KeyRotationEnabled 将始终为 false。)

KeyRotationEnabled 将始终为 false。)

GetParametersForImport

GetPublicKey

ImportKeyMaterial

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource

UntagResource

UpdateAlias

当前 CMK 和新的 CMK 必须是相同的类型(要么都是对称的,要么都是非对称的),并且它们必须用于相同的密钥用途(ENCRYPT_DECRYPTSIGN_VERIFY)。

UpdateKeyDescription

验证

[1]GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext生成受对称 CMK 保护的非对称数据 key pair。