使用对称密钥和非对称密钥 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

使用对称密钥和非对称密钥

AWS KMS 保护 客户主密钥 (CMKs)用于保护您的数据和数据密钥。私有密钥仅在设计的硬件安全模块中生成和使用,这样任何人(包括 AWS 员工)都不能访问明文密钥材料。

您可以创建和管理 CMKs 在您的 AWS 包括设置 关键政策, IAM 政策、和 资助金 可以控制您的 CMKs, 启用和禁用 的 CMKs, 创建标记 和别名,以及 删除 CMKs. 您可以使用 CMKs 保护您的资源, AWS 与 AWS KMS. 而且,您可以审计所有使用或管理您的 CMKs 在 AWS CloudTrail 日志.

AWS KMS 支持对称和不对称 CMKs.

  • 对称性 CMK: 表示一个从不离开的256位密钥加密秘钥 AWS KMS 未加密。使用您的对称 CMK,您必须致电 AWS KMS.

  • 非对称 CMK: 表示数学相关的公共密钥和私有密钥对,可用于加密和加密或签名和验证,但不能同时用于两者。私有密钥永远不会让 AWS KMS 处于未加密状态。您可以通过调用 AWS KMS API 操作在 AWS KMS 内使用公有密钥,或下载公有密钥并在 AWS KMS 外部使用该密钥。

注意

除 中国(北京) 和 中国 (宁夏) 外,AWS KMS 支持的所有 AWS 区域中都支持非对称 CMK 和非对称数据密钥对。

AWS KMS 还提供了对称数据密钥和非对称数据密钥对,这些密钥设计用于 AWS KMS 外部的客户端加密。对称数据密钥对中的对称数据密钥和私有密钥通过对称 CMK 在 AWS KMS.

  • 对称数据密钥 — 可用于加密 AWS KMS 外部数据的对称加密密钥。该密钥受到对称 CMK 在 AWS KMS.

  • 非对称数据密钥对 — 由公有密钥和私有密钥组成的 RSA 或椭圆曲线 (ECC) 密钥对。在 AWS KMS 外部,可以使用数据密钥对加密和解密数据,或者签署消息并验证签名。私人密钥受到对称保护 CMK 在 AWS KMS.

有关如何创建和使用数据密钥和数据密钥对的信息,请参阅数据密钥数据密钥对。要了解如何限制账户中的委托人可以生成的数据密钥对类型,请使用 kms:DataKeyPairSpec 条件键。

这一主题解释了对称和不对称 CMKs 工作、工作的不同之处,以及如何决定 CMK 您需要保护您的数据。还将介绍对称数据密钥和非对称数据密钥对的工作原理,以及如何在 AWS KMS 外部使用这些密钥。

了解更多信息。