使用对称密钥和非对称密钥

AWS KMS 会为您用于保护数据和数据密钥的客户主密钥 (CMK) 提供保护。私有密钥仅在设计的硬件安全模块中生成和使用，这样任何人（包括 AWS 员工）都不能访问明文密钥材料。

您可以在 AWS 账户中创建和管理 CMK，包括设置用于控制 CMK 访问权限的密钥策略、IAM 策略和授权、启用和禁用 CMK、创建标签和别名以及删除 CMK。您可以使用 CMK 保护与 AWS KMS 集成的 AWS 服务中的资源。此外，可以在 AWS CloudTrail 日志中审核使用或管理 CMK 的所有操作。

AWS KMS 支持对称 CMK 和非对称 CMK。

对称 CMK：表示为单个 256 位私有加密密钥，它永远不会让 AWS KMS 处于未加密状态。要使用对称 CMK，必须调用 AWS KMS。
非对称 CMK：表示为数学上相关的公有密钥和私有密钥对，可用于加密和解密或签名和验证，但不能同时用于二者。私有密钥永远不会让 AWS KMS 处于未加密状态。您可以通过调用 AWS KMS API 操作在 AWS KMS 内使用公有密钥，或下载公有密钥并在 AWS KMS 外部使用该密钥。

注意

除中国（北京）和中国 (宁夏) 外，AWS KMS 支持的所有 AWS 区域中都支持非对称 CMK 和非对称数据密钥对。

AWS KMS 还提供了对称数据密钥和非对称数据密钥对，这些密钥设计用于 AWS KMS 外部的客户端加密。非对称数据密钥对中的对称数据密钥和私有密钥由 AWS KMS 中的对称 CMK 保护。

对称数据密钥 — 可用于加密 AWS KMS 外部数据的对称加密密钥。此密钥由 AWS KMS 中的对称 CMK 保护。
非对称数据密钥对 — 由公有密钥和私有密钥组成的 RSA 或椭圆曲线 (ECC) 密钥对。在 AWS KMS 外部，可以使用数据密钥对加密和解密数据，或者签署消息并验证签名。私有密钥由 AWS KMS 中的对称 CMK 保护。

有关如何创建和使用数据密钥和数据密钥对的信息，请参阅数据密钥和数据密钥对。要了解如何限制账户中的委托人可以生成的数据密钥对类型，请使用 kms:DataKeyPairSpec 条件键。

本主题将介绍对称 CMK 和非对称 CMK 的工作原理、它们之间的差异，以及如何确定需要采用哪种 CMK 保护数据。还将介绍对称数据密钥和非对称数据密钥对的工作原理，以及如何在 AWS KMS 外部使用这些密钥。

了解更多

有关比较应用于每种 CMK 类型的 AWS KMS API 操作的表格，请参阅对称 CMK 和非对称 CMK 的比较。
要了解 CMK 是对称还是非对称，请参阅识别对称 CMK 和非对称 CMK。
要检查 AWS KMS 控制台为对称 CMK 和非对称 CMK 设置的默认密钥策略的差异，请参阅允许密钥用户将 CMK 与 AWS 服务一起使用。
要指定账户中的委托人可用于 CMK 的密钥规范、密钥用法、加密算法和签名算法，请参阅 AWS KMS 条件键。
要了解适用于不同类型 CMK 的请求配额，请参阅请求配额。
要了解如何使用非对称 CMK 签署消息并验证签名，请参阅 AWS 安全博客 中的采用 AWS KMS 新增的非对称密钥功能进行数字签名。

主题

Javascript 在您的浏览器中被禁用或不可用。

要使用 AWS 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

密钥访问故障排除

关于对称 CMK 和非对称 CMK