使用对称密钥和非对称密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用对称密钥和非对称密钥

Amazon KMS 会为您用于保护数据和数据密钥的客户主密钥 (CMK) 提供保护。私有密钥仅在设计的硬件安全模块中生成和使用,这样任何人(包括 Amazon 员工)都不能访问明文密钥材料。

您可以在您的 Amazon Web Services 账户 ,包括设置密钥策略IAM 策略, 和GRANT控制对 CMK 的访问。启用和禁用CMK,创建标签别名, 和删除 CMK. 您可以使用 CMK 来保护您在Amazon 服务集成在一起Amazon KMS. 此外,可以在 Amazon CloudTrail 日志中审核使用或管理 CMK 的所有操作。

Amazon KMS 支持对称 CMK 和非对称 CMK。

  • 对称 CMK:表示为单个 256 位私有加密密钥,它永远不会让处于离开状态Amazon KMS未加密。要使用对称 CMK,必须调用 Amazon KMS。

  • 非对称 CMK:表示为数学上相关的公有密钥和私有 key pair,可用于加密和解密或签名和验证,但不能同时用于二者。私有密钥永远不会让 Amazon KMS 处于未加密状态。您可以通过调用 Amazon KMS API 操作在 Amazon KMS 内使用公有密钥,或下载公有密钥并在 Amazon KMS 外部使用该密钥。

Amazon KMS也支持对称数据密钥和非对称数据密钥对设计用于外部的客户端签名和加密Amazon KMS. 非对称数据密钥对中的对称数据密钥和私有密钥由 Amazon KMS 中的对称 CMK 保护。

  • 对称数据密钥 — 可用于加密外部数据的对称加密密钥。Amazon KMS. 此密钥由 Amazon KMS 中的对称 CMK 保护。

  • 非对称数据 key pair — 由公有密钥和私有密钥组成的 RSA 或椭圆曲线 (ECC) key pair。私有密钥由 Amazon KMS 中的对称 CMK 保护。在 Amazon KMS 外部,可以使用数据密钥对加密和解密数据,或者签署消息并验证签名。

    Amazon KMS建议您使用 ECC 密钥对进行签名,并将 RSA 密钥对用于加密或签名,但不能同时使用两者。然而,Amazon KMS无法对数据密钥对的使用实施任何限制。Amazon KMS.

本主题将介绍对称 CMK 和非对称 CMK 的工作原理、它们之间的差异,以及如何确定需要采用哪种 CMK 保护数据。还将介绍对称数据密钥和非对称数据密钥对的工作原理,以及如何在 Amazon KMS 外部使用这些密钥。

区域

非对称 CMK 和非对称数据密钥对在所有Amazon区域Amazon KMS支持。

了解更多信息