Amazon KMS 中的非对称密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon KMS 中的非对称密钥

非对称 KMS 密钥表示数学上相关的公有密钥和私有密钥对。公有密钥可以交给任何人,即使他们不可靠,但私有密钥必须保密。

在非对称 KMS 密钥中,私有密钥是在 Amazon KMS 中创建的,它永远不会让 Amazon KMS 处于未加密状态。要使用私有密钥,必须调用 Amazon KMS。您可以通过调用 Amazon KMS API 操作在 Amazon KMS 内使用公有密钥。或者,可以下载公有密钥并在 Amazon KMS 外部使用该密钥。

如果使用案例需要无法调用 Amazon KMS 的用户在 Amazon 外部进行加密,那么非对称 KMS 密钥是个不错的选择。但是,如果您要创建 KMS 密钥来加密在 Amazon 服务中存储或管理的数据,请使用对称加密 KMS 密钥。与 Amazon KMS 集成的 Amazon 服务仅使用对称加密 KMS 密钥来加密您的数据。这些服务不支持使用非对称 KMS 密钥进行加密。

Amazon KMS 支持三种类型的非对称 KMS 密钥。

RSA KMS 密钥

具有 RSA 密钥对的 KMS 密钥,用于加密和解密或签名和验证(但不能同时用于二者)。Amazon KMS 支持多种密钥长度,以满足不同的安全要求。

有关 Amazon KMS 支持用于 RSA KMS 密钥的加密和签名算法的技术详细信息,请参阅 RSA 密钥规范

椭圆曲线(ECC)KMS 密钥

具有椭圆曲线密钥对的 KMS 密钥,用于签名和验证或派生共享密钥(但不能同时用于二者)。Amazon KMS 支持多种常用曲线。

有关 Amazon KMS 支持用于 ECC KMS 密钥的签名算法的技术详细信息,请参阅椭圆曲线密钥规范

SM2 KMS 密钥(仅限中国区域)

具有 SM2 密钥对的 KMS 密钥,用于加密和解密,签名和验证,或者派生共享密钥(必须选择一种密钥用法类型)。

有关 Amazon KMS 支持用于 SM2 KMS 密钥的加密和签名算法的技术详细信息(仅限中国区域),请参阅 SM2 密钥规范

有关选择非对称密钥配置的帮助,请参阅 选择要创建的 KMS 密钥的类型

区域

Amazon KMS 支持的所有 Amazon Web Services 区域 中都支持非对称 KMS 密钥和非对称数据密钥对。

了解更多