本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用对称密钥和非对称密钥
AWS KMS 可保护用于保护数据和数据密钥的 客户主密钥 (CMKs)。私有密钥仅在设计的硬件安全模块中生成和使用,这样任何人(包括 AWS 员工)都不能访问明文密钥材料。
您可以在您的账户CMKs中创建和管理 AWS ,包括设置用于控制对 的访问的密钥策略、 IAM 策略和授权CMKs、启用和禁用 CMKs 、创建标签和别名以及删除 CMKs 。您可以使用 CMKs 保护与 AWS 集成的 AWS KMS 服务中的资源。此外,您还可以审核在 CMKs AWS CloudTrail 日志中使用或管理 的所有操作。
AWS KMS 支持对称和非对称 CMKs。
AWS KMS 还提供了对称数据密钥和非对称数据密钥对,这些密钥设计用于 AWS KMS 外部的客户端加密。非对称数据密钥对中的对称数据密钥和私有密钥由 CMK 中的对称保护AWS KMS。
-
对称数据密钥 — 可用于加密 AWS KMS 外部数据的对称加密密钥。此密钥由 CMK 中的对称 保护AWS KMS。
-
非对称数据密钥对 — 由公有密钥和私有密钥组成的 RSA 或椭圆曲线 (ECC) 密钥对。在 AWS KMS 外部,可以使用数据密钥对加密和解密数据,或者签署消息并验证签名。私有密钥由 CMK 中的对称 保护AWS KMS。
有关如何创建和使用数据密钥和数据密钥对的信息,请参阅数据密钥和数据密钥对。要了解如何限制账户中的委托人可以生成的数据密钥对类型,请使用 kms:DataKeyPairSpec 条件键。
本主题介绍对称和非对称CMKs的工作原理、它们之间的差异以及如何确定保护数据CMK所需的类型。还将介绍对称数据密钥和非对称数据密钥对的工作原理,以及如何在 AWS KMS 外部使用这些密钥。
区域
除 中国(北京) 和 中国 (宁夏) 外,AWS KMS 支持的所有 AWS 区域中都支持非对称 CMK 和非对称数据密钥对。
了解更多信息
-
有关比较适用于每种类型的 的 AWS KMS API 操作的表CMK,请参阅比较对称和非对称 CMKs。
-
要了解 CMK 是对称还是非对称的,请参阅识别对称和非对称 CMKs。
-
要检查AWS KMS控制台为对称和非对称 设置的默认密钥策略的差异CMKs,请参阅允许密钥用户将 CMK 与 AWS 服务结合使用。
-
要指定您的账户中的委托人可用于 的密钥规范、密钥用法、加密算法和签名算法CMKs,请参阅AWS KMS 条件键。
-
要了解请求配额适用于不同类型的 的 CMKs,请参阅请求配额。
-
要了解如何使用非对称 对消息签名和验证签名CMKs,请参阅 AWS KMS 安全博客
AWS中的使用 的新非对称密钥功能进行数字签名。