Amazon KMS 中的非对称密钥
Amazon KMS 支持非对称 KMS 密钥,这些密钥代表与数学相关的 RSA、椭圆曲线(ECC)或 SM2(仅限中国区域)公有和私有密钥对。这些密钥对在通过 FIPS 140-2 加密模块验证计划
您可以在 Amazon Web Services 账户 中创建和管理非对称 KMS 密钥,包括设置用于控制密钥访问权限的密钥策略、IAM policy 和授权、启用和禁用 KMS 密钥、创建标签和别名,以及删除 KMS 密钥。您可以在 Amazon CloudTrail 日志的 Amazon 中审核使用或管理非对称 KMS 密钥的所有操作。
Amazon KMS 还提供了非对称数据密钥对,这些密钥设计用于 Amazon KMS 外部的客户端加密。非对称数据密钥对中的对称数据密钥和私有密钥由 Amazon KMS 中的对称加密 KMS 密钥保护。
本主题将介绍非对称 KMS 密钥的工作原理、它们与其他 KMS 密钥之间的差异,以及如何确定需要采用哪种 KMS 密钥保护数据。还将介绍非对称数据密钥对的工作原理,以及如何在 Amazon KMS 外部使用这些密钥。
区域
Amazon KMS 支持的所有 Amazon Web Services 区域 中都支持非对称 KMS 密钥和非对称数据密钥对。
了解更多
-
若要创建非对称 KMS 密钥,请参阅 创建非对称 KMS 密钥。若要创建对称加密 KMS 密钥,请参阅 创建密钥。
-
若要创建多区域非对称 KMS 密钥,请参阅 创建多区域密钥。
-
要了解 KMS 密钥是对称的还是非对称的,请参阅 识别非对称 KMS 密钥。
-
有关比较应用于每种 KMS 密钥类型的 Amazon KMS API 操作的表格,请参阅 密钥类型引用。
-
要控制对账户中的委托人可用于 KMS 密钥和数据密钥的密钥规范、密钥用法、加密算法和签名算法的访问权限,请参阅 Amazon KMS 条件键。
-
要了解适用于不同类型 KMS 密钥的请求配额,请参阅 请求配额。
-
要了解如何使用非对称 KMS 密钥签署消息和验证签名,请参阅 Amazon 安全博客中的采用 Amazon KMS 的新的非对称密钥功能进行数字签名
。
非对称 KMS 密钥
您可以在 Amazon KMS 中创建非对称 KMS 密钥。非对称 KMS 密钥表示数学上相关的公有密钥和私有密钥对。公有密钥可以交给任何人,即使他们不可靠,但私有密钥必须保密。
在非对称 KMS 密钥中,私有密钥是在 Amazon KMS 中创建的,它永远不会让 Amazon KMS 处于未加密状态。要使用私有密钥,必须调用 Amazon KMS。您可以通过调用 Amazon KMS API 操作在 Amazon KMS 内使用公有密钥。或者,可以下载公有密钥并在 Amazon KMS 外部使用该密钥。
如果使用案例需要无法调用 Amazon KMS 的用户在 Amazon 外部进行加密,那么非对称 KMS 密钥是个不错的选择。但是,如果您要创建 KMS 密钥来加密在 Amazon 服务中存储或管理的数据,请使用对称加密 KMS 密钥。与 Amazon KMS 集成的 Amazon 服务
Amazon KMS 支持三种类型的非对称 KMS 密钥。
-
RSA KMS 密钥:具有 RSA 密钥对的 KMS 密钥,用于加密和解密或签名和验证(但不能同时用于二者)。Amazon KMS 支持多种密钥长度,以满足不同的安全要求。
-
椭圆曲线 (ECC) KMS 密钥:具有椭圆曲线密钥对的 KMS 密钥,用于签名和验证。Amazon KMS 支持多种常用的曲线。
SM2 KMS 密钥(仅限中国区域):具有 SM2 密钥对的 KMS 密钥,用于加密和解密或签名和验证(但不能同时用于二者)。
有关选择非对称密钥配置的帮助,请参阅 选择一种 KMS 密钥类型。有关 Amazon KMS 支持用于 RSA KMS 密钥的加密和签名算法的技术详细信息,请参阅 RSA 密钥规范。有关 Amazon KMS 支持用于 ECC KMS 密钥的签名算法的技术详细信息,请参阅椭圆曲线密钥规范。有关 Amazon KMS 支持用于 SM2 KMS 密钥的加密和签名算法的技术详细信息(仅限中国区域),请参阅 SM2 密钥规范。
有关可以对对称 KMS 密钥和非对称 KMS 密钥执行的操作的比较表格,请参阅比较对称 KMS 密钥与非对称 KMS 密钥。要获取确定 KMS 密钥是对称还是非对称的帮助,请参阅 识别非对称 KMS 密钥。
区域
Amazon KMS 支持的所有 Amazon Web Services 区域 中都支持非对称 KMS 密钥和非对称数据密钥对。