对称 CMK 和非对称 CMK 的比较 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对称 CMK 和非对称 CMK 的比较

您可以通过使用 AWS KMS 控制台和 AWS KMS API,创建和管理对称 CMK 和非对称 CMK。不过,AWS KMS 对于不同类型的 CMK,支持不同功能。

例如,只能使用对称 CMK 生成对称数据密钥非对称数据密钥对。此外,只有对称 CMK 支持导入密钥材料自动密钥轮换,并且在自定义密钥存储中只能创建对称 CMK。

下表列出了可用于创建和管理每种类型 CMK 的 AWS KMS 操作。如果对 CMK 执行不受支持的操作,则该操作将失败。

具有对称 CMK 和非对称 CMK 的 AWS KMS 操作
AWS KMS API 操作 对称 CMK 非对称 CMK (ENCRYPT_DECRYPT) 非对称 CMK (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

- 无密钥材料(Origin (源) = EXTERNAL)

-在自定义密钥存储中(Origin (源) = AWS_ClouDHSM)

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

DescribeKey

DisableKey

DisableKeyRotation

EnableKey

EnableKeyRotation

Encrypt

GenerateDataKey

GenerateDataKeyPair

[1]

GenerateDataKeyPairWithoutPlaintext

[1]

GenerateDataKeyWithoutPlaintext

GetKeyPolicy

GetKeyRotationStatus

KeyRotationEnabled 将始终为 false。)

KeyRotationEnabled 将始终为 false。)

GetParametersForImport

GetPublicKey

ImportKeyMaterial

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource

UntagResource

UpdateAlias

当前 CMK 和新的 CMK 必须是相同的类型(要么都是对称的,要么都是非对称的),并且它们必须用于相同的密钥用途(ENCRYPT_DECRYPTSIGN_VERIFY)。

UpdateKeyDescription

验证

[1]GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext生成受对称 CMK 保护的非对称数据 key pair。