密钥类型引用
不过,对于不同类型的 KMS 密钥,Amazon KMS 支持不同功能。例如,只能使用对称加密 KMS 密钥生成对称数据密钥和非对称数据密钥对。此外,只有对称加密 KMS 密钥支持导入密钥材料和自动密钥轮换,并且在自定义密钥存储中只能创建对称加密 KMS 密钥。
除了此表中的信息外,KMS 密钥还可用于以下 Amazon KMS 特殊功能。
-
-
所有支持对称 KMS 密钥的 API 操作也支持多区域对称 KMS 密钥。所有支持非对称 KMS 密钥的 API 操作也支持多区域非对称 KMS 密钥。
-
您不能在自定义密钥存储中创建多区域密钥。
-
-
-
只有对称加密 KMS 密钥可具有导入的密钥材料。
-
非对称 KMS 密钥、HMAC KMS 密钥和自定义密钥存储中的 KMS 密钥不能具有导入的密钥材料。
-
多区域对称加密密钥可具有导入的密钥材料。
-
具有导入的密钥材料的密钥不支持自动密钥转换(EnableKeyRotation、DisableKeyRotation)。
-
-
-
自定义密钥存储仅支持对称 KMS 密钥。
-
自定义密钥存储中的密钥不支持自动密钥转换(EnableKeyRotation、DisableKeyRotation)。
-
您不能在自定义密钥存储中创建多区域密钥。
-
下表列出了可用于创建和管理每种类型的 KMS 密钥的 Amazon KMS 操作。如果对 KMS 密钥执行不受支持的操作,则该操作将失败。
您可能需要水平或垂直滚动才能查看此表中的所有数据。
| Amazon KMS API 操作 | 对称加密 KMS 密钥 | HMAC KMS 密钥 | 非对称 KMS 密钥 (ENCRYPT_DECRYPT) | 非对称 KMS 密钥 (SIGN_VERIFY) |
|---|---|---|---|---|
|
|
 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 拥有导入密钥材料(Origin (源) = EXTERNAL)
- 在自定义密钥存储中 (Origin = AWS_CLOUDHSM)
- 创建多区域主密钥 |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 在多区域密钥受支持 - 在非对称 KMS 密钥、HMAC KMS 密钥或自定义密钥存储中的 KMS 密钥中不受支持。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。 |
|
|
|
|
|
|
|
|
|
|
|
- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| GenerateMac | |
|
|
|
|
|
|
|
|
|
|
|
( |
( |
( |
|
|
- 在多区域密钥受支持 - 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。 |
|
|
|
|
|
|
|
|
|
|
|
- 在多区域密钥受支持 - 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 仅在多区域密钥上有效 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
当前 KMS 密钥和新的 KMS 密钥必须是相同的类型(要么都是对称的,要么都是非对称的),并且它们必须用于相同的密钥用途。 |
|
|
|
|
|
|
|
|
|
|
|
- 仅在多区域密钥上有效 |
|
|
|
|
|
|
|
|
|
|
| VerifyMac | |
|
|
|
[1] GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext 生成受对称加密 KMS 密钥保护的非对称数据密钥对。